Delen via

Key Vault instellen voor rotatie van beheerde referenties in Operator Nexus

  • Artikel

Azure Operator Nexus maakt gebruik van geheimen en certificaten om de beveiliging van onderdelen op het platform te beheren. Het Operator Nexus-platform verwerkt de rotatie van deze geheimen en certificaten. Operator Nexus slaat standaard de referenties op in een beheerde sleutelkluis. Als u de gedraaide referenties in hun eigen Key Vault wilt behouden, moet de gebruiker zijn eigen Key Vault configureren om gerouleerde referenties te ontvangen. Voor deze configuratie moet de gebruiker de Key Vault configureren voor het Azure Operator Nexus-exemplaar. Zodra deze is gemaakt, moet de gebruiker een roltoewijzing toevoegen aan de Key Vault van de klant om het Operator Nexus Platform toe te staan bijgewerkte referenties te schrijven en de Key Vault van de klant aan de Nexus-clusterresource te koppelen.

Vereisten

  • Installeer de nieuwste versie van de juiste CLI-extensies
  • De abonnements-id voor het abonnement van de klant ophalen

Notitie

Eén Key Vault kan worden gebruikt voor een willekeurig aantal clusters.

Key Vault configureren met beheerde identiteit voor het cluster

Notitie

De functionaliteit voor beheerde identiteiten van Key Vault en Cluster bestaat met de API 2024-10-01-preview en is beschikbaar met de GA-API van 2025-02-01.

Zie azure Operator Nexus Cluster-ondersteuning voor beheerde identiteiten en door de gebruiker geleverde resources

Key Vault configureren met beheerde identiteit voor clusterbeheer

Notitie

Deze methode is afgeschaft met de implementatie van de GA-API van 2025-02-01. Er is een overgangsperiode ter ondersteuning van de migratie, maar bestaande gebruikers moeten migreren naar de beheerde identiteit van het cluster. Zodra een cluster is bijgewerkt om de instellingen voor geheimarchief en de beheerde identiteit van het cluster te gebruiken, wordt de beheerde identiteit van Clusterbeheer genegeerd voor het rouleren van referenties.

Vanaf de API-versie 2024-07-01 worden beheerde identiteiten in clusterbeheer gebruikt voor schrijftoegang voor het leveren van gerouleerde referenties aan een sleutelkluis. De Cluster Manager-identiteit kan worden toegewezen aan het systeem of door de gebruiker toegewezen, en kan rechtstreeks worden beheerd via API's of via CLI.

Zie Clusterbeheer-identiteiten voor meer informatie over het toewijzen van beheerde identiteiten aan Clusterbeheer

Nexus Cluster Secret Archive configureren

Registreer de Key Vault van de klant als het geheime archief voor het Nexus-cluster. De resource-id van de sleutelkluis moet worden geconfigureerd in het cluster en moet zijn ingeschakeld om de geheimen van het cluster op te slaan.

Voorbeeld:

# Set and enable Customer Key Vault on Nexus cluster
az networkcloud cluster update --ids /subscriptions/<subscription ID>/resourceGroups/<Resource Group Name>/providers/Microsoft.NetworkCloud/clusters/<Nexus Cluster Name> --secret-archive "{key-vault-id:<Key Vault Resource ID>,use-key-vault:true}"

# Show Customer Key Vault setting (secretArchive) on the Nexus cluster
az networkcloud cluster show --ids /subscriptions/<subscription ID>/resourceGroups/<Resource Group Name>/providers/Microsoft.NetworkCloud/clusters/<Nexus Cluster Name> --query secretArchive

Voor meer hulp:

az networkcloud cluster update --secret-archive ?? --help

De principal-id ophalen voor de beheerde identiteit van Cluster Manager

Zodra een beheerde identiteit is geconfigureerd, gebruikt u de CLI om de identiteit en de bijbehorende principal-id-gegevens in clusterbeheer weer te geven.

Voorbeeld:

az networkcloud clustermanager show --ids /subscriptions/<Subscription ID>/resourceGroups/<Cluster Manager Resource Group Name>/providers/Microsoft.NetworkCloud/clusterManagers/<Cluster Manager Name>

Voorbeeld van door het systeem toegewezen identiteit:

    "identity": {
        "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
        "tenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
        "type": "SystemAssigned"
    },

Voorbeeld van door de gebruiker toegewezen identiteit:

    "identity": {
        "type": "UserAssigned",
        "userAssignedIdentities": {
            "/subscriptions/<subscriptionID>/resourcegroups/<resourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<userAssignedIdentityName>": {
                "clientId": "00001111-aaaa-2222-bbbb-3333cccc4444",
                "principalId": "bbbbbbbb-cccc-dddd-2222-333333333333"
            }
        }
    },

Raadpleeg Key Vault configureren met beheerde identiteit voor het cluster om de juiste rol toe te wijzen aan de principal-id van de beheerde identiteit.