Udostępnij za pośrednictwem

Konfigurowanie usługi Key Vault na potrzeby rotacji poświadczeń zarządzanych w operatorze Nexus

  • Artykuł

Operator platformy Azure Nexus wykorzystuje wpisy tajne i certyfikaty do zarządzania zabezpieczeniami składników na całej platformie. Platforma Operator Nexus obsługuje rotację tych wpisów tajnych i certyfikatów. Domyślnie operator Nexus przechowuje poświadczenia w zarządzanej usłudze Key Vault. Aby zachować obrócone poświadczenia we własnym magazynie Key Vault, użytkownik musi skonfigurować własną usługę Key Vault, aby otrzymywać obrócone poświadczenia. Ta konfiguracja wymaga od użytkownika skonfigurowania usługi Key Vault dla wystąpienia urządzenia Azure Operator Nexus. Po utworzeniu użytkownik musi dodać przypisanie roli w usłudze Customer Key Vault, aby umożliwić operatorowi Nexus Platformy zapisywanie zaktualizowanych poświadczeń i dodatkowo łączenie magazynu kluczy klienta z zasobem klastra Nexus.

Wymagania wstępne

  • Instalowanie najnowszej wersji odpowiednich rozszerzeń interfejsu wiersza polecenia
  • Pobieranie identyfikatora subskrypcji dla subskrypcji klienta

Uwaga

Dla dowolnej liczby klastrów można użyć pojedynczego magazynu kluczy.

Konfigurowanie usługi Key Vault przy użyciu tożsamości zarządzanej dla klastra

Uwaga

Funkcje tożsamości zarządzanej dla usługi Key Vault i tożsamości zarządzanej klastra istnieją w interfejsie API 2024-10-01-preview i będą dostępne za pomocą interfejsu API ogólnie dostępnego w wersji 2025-02-01.

Zobacz Obsługa klastra Nexus operatora platformy Azure dla tożsamości zarządzanych i zasobów udostępnionych przez użytkownika

Konfigurowanie usługi Key Vault przy użyciu tożsamości zarządzanej dla menedżera klastra

Uwaga

Ta metoda jest przestarzała wraz z wdrożeniem interfejsu API ga 2025-02-01. Okres przejściowy ma na celu obsługę migracji, ale istniejący użytkownicy powinni szukać migracji do usługi przy użyciu tożsamości zarządzanej klastra. Po zaktualizowaniu klastra w celu korzystania z ustawień archiwum tajnego i tożsamości zarządzanej klastra tożsamość zarządzana menedżera klastra jest ignorowana na potrzeby rotacji poświadczeń.

Począwszy od wersji interfejsu API 2024-07-01, tożsamości zarządzane w Menedżerze klastra są używane do uzyskiwania dostępu do zapisu w celu dostarczania obróconych poświadczeń do magazynu kluczy. Tożsamość Menedżera klastra może być przypisana przez system lub przypisana przez użytkownika i może być zarządzana bezpośrednio za pośrednictwem interfejsów API lub interfejsu wiersza polecenia.

Aby uzyskać informacje na temat przypisywania tożsamości zarządzanych do Menedżera klastra, zobacz Tożsamość menedżera klastra

Konfigurowanie archiwum tajnego klastra Nexus

Zarejestruj usługę Customer Key Vault jako archiwum tajne dla klastra Nexus. Identyfikator zasobu magazynu kluczy musi być skonfigurowany w klastrze i włączony do przechowywania wpisów tajnych klastra.

Przykład:

# Set and enable Customer Key Vault on Nexus cluster
az networkcloud cluster update --ids /subscriptions/<subscription ID>/resourceGroups/<Resource Group Name>/providers/Microsoft.NetworkCloud/clusters/<Nexus Cluster Name> --secret-archive "{key-vault-id:<Key Vault Resource ID>,use-key-vault:true}"

# Show Customer Key Vault setting (secretArchive) on the Nexus cluster
az networkcloud cluster show --ids /subscriptions/<subscription ID>/resourceGroups/<Resource Group Name>/providers/Microsoft.NetworkCloud/clusters/<Nexus Cluster Name> --query secretArchive

Aby uzyskać więcej pomocy:

az networkcloud cluster update --secret-archive ?? --help

Pobieranie identyfikatora podmiotu zabezpieczeń tożsamości zarządzanej menedżera klastra

Po skonfigurowaniu tożsamości zarządzanej użyj interfejsu wiersza polecenia, aby wyświetlić tożsamość i skojarzone dane identyfikatora podmiotu zabezpieczeń w menedżerze klastra.

Przykład:

az networkcloud clustermanager show --ids /subscriptions/<Subscription ID>/resourceGroups/<Cluster Manager Resource Group Name>/providers/Microsoft.NetworkCloud/clusterManagers/<Cluster Manager Name>

Przykład tożsamości przypisanej przez system:

    "identity": {
        "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
        "tenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
        "type": "SystemAssigned"
    },

Przykład tożsamości przypisanej przez użytkownika:

    "identity": {
        "type": "UserAssigned",
        "userAssignedIdentities": {
            "/subscriptions/<subscriptionID>/resourcegroups/<resourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<userAssignedIdentityName>": {
                "clientId": "00001111-aaaa-2222-bbbb-3333cccc4444",
                "principalId": "bbbbbbbb-cccc-dddd-2222-333333333333"
            }
        }
    },

Zobacz Konfigurowanie usługi Key Vault przy użyciu tożsamości zarządzanej dla klastra, aby przypisać odpowiednią rolę do identyfikatora jednostki tożsamości zarządzanej.