Поделиться через

Настройка Key Vault для смены управляемых учетных данных в операторе Nexus

  • Статья

Оператор Azure Nexus использует секреты и сертификаты для управления безопасностью компонентов на платформе. Платформа Operator Nexus обрабатывает поворот этих секретов и сертификатов. По умолчанию Оператор Nexus сохраняет учетные данные в управляемом хранилище ключей. Чтобы сохранить измененные учетные данные в собственном Хранилище ключей, пользователь должен настроить собственное Хранилище ключей для получения повернутых учетных данных. Для этой конфигурации пользователю требуется настроить Key Vault для экземпляра Оператора Azure Nexus. После создания пользователь должен добавить назначение ролей в Хранилище ключей клиента, чтобы разрешить оператору Nexus Platform записывать обновленные учетные данные, а также связать Хранилище ключей клиента с ресурсом кластера Nexus.

Необходимые компоненты

  • Установка последней версии соответствующих расширений CLI
  • Получение идентификатора подписки клиента

Примечание.

Для любого количества кластеров можно использовать одно хранилище ключей.

Настройка Key Vault с помощью управляемого удостоверения для кластера

Примечание.

Функции управляемого удостоверения для Key Vault и управляемого удостоверения кластера существуют с API предварительной версии 2024-10-01 и будут доступны в API общедоступной версии 2025-02-01.

Сведения о поддержке кластера Nexus оператора Azure для управляемых удостоверений и предоставленных пользователем ресурсов

Настройка Key Vault с помощью управляемого удостоверения для Диспетчера кластеров

Примечание.

Этот метод не рекомендуется использовать с развертыванием API общедоступной версии 2025-02-01. Переходный период применяется для поддержки миграции, но существующие пользователи должны искать миграцию на использование управляемого удостоверения кластера. После обновления кластера для использования параметров архива секретов и управляемого удостоверения кластера управляемое удостоверение Диспетчера кластеров игнорируется для смены учетных данных.

Начиная с версии API 2024-07-01, управляемые удостоверения в диспетчере кластеров используются для доставки измененных учетных данных в хранилище ключей. Удостоверение Диспетчера кластеров может быть назначено системой или назначаемое пользователем, и управлять их можно напрямую через API или с помощью ИНТЕРФЕЙСА командной строки.

Сведения о назначении управляемых удостоверений диспетчеру кластеров см. в разделе "Удостоверение Cluster Manager"

Настройка архива секретов кластера Nexus

Зарегистрируйте Customer Key Vault в качестве секретного архива для кластера Nexus. Идентификатор ресурса хранилища ключей должен быть настроен в кластере и включен для хранения секретов кластера.

Пример:

# Set and enable Customer Key Vault on Nexus cluster
az networkcloud cluster update --ids /subscriptions/<subscription ID>/resourceGroups/<Resource Group Name>/providers/Microsoft.NetworkCloud/clusters/<Nexus Cluster Name> --secret-archive "{key-vault-id:<Key Vault Resource ID>,use-key-vault:true}"

# Show Customer Key Vault setting (secretArchive) on the Nexus cluster
az networkcloud cluster show --ids /subscriptions/<subscription ID>/resourceGroups/<Resource Group Name>/providers/Microsoft.NetworkCloud/clusters/<Nexus Cluster Name> --query secretArchive

Дополнительные сведения:

az networkcloud cluster update --secret-archive ?? --help

Получение идентификатора субъекта для управляемого удостоверения Cluster Manager

После настройки управляемого удостоверения используйте интерфейс командной строки для просмотра удостоверения и связанных данных идентификатора субъекта в диспетчере кластеров.

Пример:

az networkcloud clustermanager show --ids /subscriptions/<Subscription ID>/resourceGroups/<Cluster Manager Resource Group Name>/providers/Microsoft.NetworkCloud/clusterManagers/<Cluster Manager Name>

Пример удостоверения, назначаемого системой:

    "identity": {
        "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
        "tenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
        "type": "SystemAssigned"
    },

Пример удостоверения, назначаемого пользователем:

    "identity": {
        "type": "UserAssigned",
        "userAssignedIdentities": {
            "/subscriptions/<subscriptionID>/resourcegroups/<resourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<userAssignedIdentityName>": {
                "clientId": "00001111-aaaa-2222-bbbb-3333cccc4444",
                "principalId": "bbbbbbbb-cccc-dddd-2222-333333333333"
            }
        }
    },

Сведения о настройке Key Vault с помощью управляемого удостоверения для кластера , чтобы назначить соответствующую роль идентификатору субъекта управляемого удостоверения.