Usar identidades gerenciadas para o Teste de Carga do Azure

Este artigo mostra como criar uma identidade gerenciada para o Teste de Carga do Azure. Você pode usar uma identidade gerenciada para ler com segurança segredos ou certificados do Cofre de Chaves do Azure em seu teste de carga.

Uma identidade gerenciada do Microsoft Entra ID permite que seu recurso de teste de carga acesse facilmente o Cofre de Chaves do Azure protegido pelo Microsoft Entra. A identidade é gerenciada pela plataforma Azure e não exige que você gerencie ou alterne nenhum segredo. Para obter mais informações sobre identidades gerenciadas no Microsoft Entra ID, consulte Identidades gerenciadas para recursos do Azure.

O Teste de Carga do Azure dá suporte a dois tipos de identidades:

• Uma identidade atribuída ao sistema é associada ao recurso de teste de carga e é excluída quando o recurso é excluído. Um recurso só pode ter uma identidade atribuída ao sistema.
• Uma identidade atribuída pelo usuário é um recurso autônomo do Azure que você pode atribuir ao seu recurso de teste de carga. Quando você exclui o recurso de teste de carga, a identidade gerenciada permanece disponível. Você pode atribuir várias identidades atribuídas pelo usuário ao recurso de teste de carga.

Atualmente, você só pode usar a identidade gerenciada para acessar o Cofre da Chave do Azure.

Pré-requisitos

• Uma conta do Azure com uma subscrição ativa. Se não tiver uma subscrição do Azure, crie uma conta gratuita antes de começar.
• Um recurso de teste de carga do Azure. Se você precisar criar um recurso de teste de carga do Azure, consulte o guia de início rápido Criar e executar um teste de carga.
• Para criar uma identidade gerenciada atribuída pelo usuário, sua conta precisa da atribuição de função de Colaborador de Identidade Gerenciada .

Atribuir uma identidade atribuída pelo sistema a um recurso de teste de carga

Para atribuir uma identidade atribuída ao sistema para seu recurso de teste de carga do Azure, habilite uma propriedade no recurso. Você pode definir essa propriedade usando o portal do Azure ou um modelo do Azure Resource Manager (ARM).

Portal

Para configurar uma identidade gerenciada no portal, primeiro crie um recurso de teste de carga do Azure e, em seguida, habilite o recurso.

1. No portal do Azure, vá para seu recurso de teste de carga do Azure.

2. No painel esquerdo, selecione Identidade.

3. No separador Sistema atribuído, mude Estado para Ativado e, em seguida, selecione Guardar.

   

4. Na janela de confirmação, selecione Sim para confirmar a atribuição da identidade gerenciada.

5. Após a conclusão dessa operação, a página mostra a ID do objeto da identidade gerenciada e permite que você atribua permissões a ela.

   

CLI do Azure

Execute o az load update comando com --identity-type SystemAssigned para adicionar uma identidade atribuída ao sistema ao seu recurso de teste de carga:

az load update --name <load-testing-resource-name> --resource-group <group-name> --identity-type SystemAssigned

Modelo ARM

Você pode usar um modelo ARM para automatizar a implantação de seus recursos do Azure. Para obter mais informações sobre como usar modelos ARM com o Azure Load Testing, consulte a documentação de referência do Azure Load Testing ARM.

Você pode atribuir uma identidade gerenciada atribuída ao sistema ao criar um recurso do tipo Microsoft.LoadTestService/loadtests. Configure a identity propriedade com o SystemAssigned valor na definição de recurso:

"identity": {
    "type": "SystemAssigned"
}

Ao adicionar o tipo de identidade atribuído pelo sistema, está a dizer ao Azure para criar e gerir a identidade do seu recurso. Por exemplo, um recurso de teste de carga do Azure pode ter a seguinte aparência:

{
    "type": "Microsoft.LoadTestService/loadtests",
    "apiVersion": "2021-09-01-preview",
    "name": "[parameters('name')]",
    "location": "[parameters('location')]",
    "tags": "[parameters('tags')]",
    "identity": {
        "type": "SystemAssigned"
    }
}

Após a conclusão da criação do recurso, as seguintes propriedades são configuradas para o recurso:

"identity": {
    "type": "SystemAssigned",
    "tenantId": "00000000-0000-0000-0000-000000000000",
    "principalId": "00000000-0000-0000-0000-000000000000"
}

A tenantId propriedade identifica a qual locatário do Microsoft Entra a identidade gerenciada pertence. O principalId é um identificador exclusivo para a nova identidade do recurso. No Microsoft Entra ID, a entidade de serviço tem o mesmo nome que o recurso de teste de carga do Azure.

Atribuir uma identidade atribuída pelo usuário a um recurso de teste de carga

Antes de adicionar uma identidade gerenciada atribuída pelo usuário a um recurso de teste de carga do Azure, você deve primeiro criar essa identidade na ID do Microsoft Entra. Em seguida, você pode atribuir a identidade usando seu identificador de recurso.

Você pode adicionar várias identidades gerenciadas atribuídas pelo usuário ao seu recurso. Por exemplo, se você precisar acessar vários recursos do Azure, poderá conceder permissões diferentes para cada uma dessas identidades.

Portal

1. Crie uma identidade gerenciada atribuída pelo usuário seguindo as instruções mencionadas em Criar uma identidade gerenciada atribuída pelo usuário.

   

2. No portal do Azure, vá para seu recurso de teste de carga do Azure.

3. No painel esquerdo, selecione Identidade.

4. Selecione a guia Usuário atribuído e selecione Adicionar.

5. Pesquise e selecione a identidade gerenciada que você criou anteriormente. Em seguida, selecione Adicionar para adicioná-lo ao recurso de teste de carga do Azure.

   

CLI do Azure

1. Crie uma identidade atribuída pelo usuário.

   az identity create --resource-group <group-name> --name <identity-name>
   

2. Execute o az load update comando com --identity-type UserAssigned para adicionar uma identidade atribuída pelo usuário ao seu recurso de teste de carga:

   az load update --name <load-testing-resource-name> --resource-group <group-name> --identity-type UserAssigned --user-assigned <identity-id>
   

Modelo ARM

Você pode criar um recurso de teste de carga do Azure usando um modelo ARM e o tipo Microsoft.LoadTestService/loadtestsde recurso . Para obter mais informações sobre como usar modelos ARM com o Azure Load Testing, consulte a documentação de referência do Azure Load Testing ARM.

1. Crie uma identidade gerenciada atribuída pelo usuário seguindo as instruções mencionadas em Criar uma identidade gerenciada atribuída pelo usuário.

2. Especifique a identidade gerenciada atribuída pelo usuário na identity seção da definição de recurso.

   Substitua o espaço reservado para <RESOURCEID> texto pelo ID do recurso da sua identidade atribuída pelo usuário:

   "identity": {
       "type": "UserAssigned",
       "userAssignedIdentities": {
           "<RESOURCEID>": {}
       }
   }
   

   O trecho de código a seguir mostra um exemplo de uma definição de recurso ARM de teste de carga do Azure com uma identidade atribuída pelo usuário:

   {
       "type": "Microsoft.LoadTestService/loadtests",
       "apiVersion": "2021-09-01-preview",
       "name": "[parameters('name')]",
       "location": "[parameters('location')]",
       "tags": "[parameters('tags')]",
       "identity": {
           "type": "UserAssigned",
           "userAssignedIdentities": {
               "<RESOURCEID>": {}
           }
   }
   

   Depois que o recurso de Teste de Carga é criado, o Azure fornece as principalId propriedades e clientId na saída:

   "identity": {
       "type": "UserAssigned",
       "userAssignedIdentities": {
           "<RESOURCEID>": {
               "principalId": "00000000-0000-0000-0000-000000000000",
               "clientId": "00000000-0000-0000-0000-000000000000"
           }
       }
   }
   

   O principalId é um identificador exclusivo para a identidade usada para a administração do Microsoft Entra. O clientId é um identificador exclusivo para a nova identidade do recurso que é usado para especificar qual identidade usar durante chamadas de tempo de execução.

Configurar recurso de destino

Talvez seja necessário configurar o recurso de destino para permitir o acesso a partir do recurso de teste de carga. Por exemplo, se você ler um segredo ou certificado do Cofre de Chaves do Azure ou se usar chaves gerenciadas pelo cliente para criptografia, também deverá adicionar uma política de acesso que inclua a identidade gerenciada do seu recurso. Caso contrário, suas chamadas para o Cofre da Chave do Azure serão rejeitadas, mesmo se você usar um token válido.

Da mesma forma, se você quiser definir critérios de falha em métricas de servidor, especifique uma Identidade de Referência de Métricas para buscar métricas. Você deve configurar o recurso de destino para que a identidade possa ler as métricas do recurso.

Conteúdos relacionados

• Usar segredos ou certificados em seu teste de carga
• Configurar chaves gerenciadas pelo cliente para criptografia
• O que são identidades geridas para recursos do Azure?