Stöd för Azure-operatörens Nexus-kluster för hanterade identiteter och resurser som tillhandahålls av användaren

För att förbättra säkerheten för Operator Nexus-plattformen stöds nu hanterade identiteter för Operator Nexus-kluster. Hanterade identiteter ger ett säkert sätt för program att komma åt andra Azure-resurser och eliminera behovet av att användare hanterar autentiseringsuppgifter. Dessutom har Operator Nexus nu en resursmodell som tillhandahålls av användaren. Förutom förbättrad säkerhet ger det här skiftet en konsekvent användarupplevelse över hela plattformen.

Hanterade identiteter används med följande användarresurser som tillhandahålls i Operator Nexus-kluster:

• Lagringskonton som används för utdata från körningskommandon utan operativsystem*.
• Key Vaults används för rotation av autentiseringsuppgifter.
• Log Analytics-arbetsytor som används för att samla in vissa mått.

Mer information om hanterade identiteter i Azure finns i Hanterade identiteter för Azure-resurser. Operatorn Nexus-kluster stöder flera användartilldelade hanterade identiteter (UAMI) eller en systemtilldelad hanterad identitet (SAMI).

En användare kan välja att använda antingen hanterad identitetstyp, men UAMIs rekommenderas. De gör det möjligt för användare att förkonfigurera resurser med lämplig åtkomst till UAMI innan Operator Nexus-kluster skapas eller uppdateras. Samma UAMI kan användas för alla resurser, eller om användarna vill ha detaljerad åtkomst kan de definiera UAMIs för varje resurs.

När identiteten har lagts till kan den bara tas bort via API-anropet just nu. Information om hur du använder API:et för att uppdatera klusterhanterade identiteter finns i Uppdatera klusteridentiteter. Det här avsnittet innehåller information om hur du tar bort de hanterade identiteterna.

Förutsättningar

• Installera Azure CLI.
• Installera den senaste versionen av lämpliga Azure CLI-tillägg.

Kommentar

Den hanterade identitetsfunktionen för Log Analytics-arbetsytan och Key Vault finns med API:et 2024-10-01-preview och kommer att vara tillgänglig med 2025-02-01 GA API.

Operator Nexus-kluster med användartilldelade hanterade identiteter (UAMI)

Det är bästa praxis att först definiera alla resurser som användaren tillhandahåller (lagringskonto, LAG och Nyckelvalv), de hanterade identiteter som är associerade med dessa resurser och sedan tilldela den hanterade identiteten lämplig åtkomst till resursen. Om de här stegen inte görs innan klustret skapas måste stegen slutföras innan klusterdistributionen.

Effekterna av att inte konfigurera dessa resurser efter distributionstid för ett nytt kluster är följande:

• Lagringskonto: run-* -kommandoutdata kan inte skrivas till lagringskontot.
• LAG: Klusterdistributionen misslyckas eftersom LAW krävs för att installera programvarutillägg under distributionen.
• Key Vault: Rotationer av autentiseringsuppgifter misslyckas eftersom det finns en kontroll för att säkerställa skrivåtkomst till användaren som tillhandahålls Key Vault innan rotation av autentiseringsuppgifter utförs.

Du kan när som helst uppdatera klustret. Om du ändrar inställningarna för LAG kan det orsaka ett kort avbrott i sändningen av mått till LAGEN eftersom tilläggen som använder LAW kan behöva installeras om.

Följande steg bör följas för att använda UAMIs med Nexus-kluster och associerade resurser.

1. Skapa UAMI- eller UAMIs
2. Skapa resurserna och tilldela UAMI till resurserna
3. Skapa eller uppdatera klustret för att använda användartilldelade hanterade identiteter och användaringivna resurser

Skapa UAMI- eller UAMIs

1. Skapa UAMI eller UAMIs för de aktuella resurserna. Mer information om hur du skapar hanterade identiteter finns i Hantera användartilldelade hanterade identiteter.

Skapa resurserna och tilldela UAMI till resurserna

Konfiguration av lagringskonton

1. Skapa ett lagringskonto eller identifiera ett befintligt lagringskonto som du vill använda. Se Skapa ett Azure Storage-konto.
2. Skapa en bloblagringscontainer i lagringskontot. Se Skapa en container.
3. Storage Blob Data Contributor Tilldela rollen till användare och UAMI som behöver åtkomst till run-* -kommandoutdata. Se Tilldela en Azure-roll för åtkomst till blobbdata.
4. Information om hur du begränsar åtkomsten till lagringskontot till en viss uppsättning IP-adresser eller virtuella nätverk finns i Konfigurera Azure Storage-brandväggar och virtuella nätverk.
   1. IP-adresserna för alla användare som kör run-*-kommandon måste läggas till i lagringskontots Virtual Networks och/eller Firewall listorna.
   2. Kontrollera att Allow Azure services on the trusted services list to access this storage account. under Exceptions är markerat.

Installation av Log Analytics-arbetsytor

1. Skapa en Log Analytics-arbetsyta (LAW) eller identifiera en befintlig LAG som du vill använda. Se Skapa en Log Analytics-arbetsyta.
2. Log Analytics Contributor Tilldela rollen till UAMI för log analytics-arbetsytan. Se Hantera åtkomst till Log Analytics-arbetsytor.

Konfiguration av Key Vault

1. Skapa ett Key Vault eller identifiera ett befintligt Nyckelvalv som du vill använda. Se Skapa ett nyckelvalv.
2. Aktivera Key Vault för rollbaserad åtkomstkontroll (RBAC). Se Aktivera Azure RBAC-behörigheter för Key Vault.
3. Operator Nexus Key Vault Writer Service Role (Preview) Tilldela rollen till UAMI för Key Vault. Se Tilldela roll.
   1. Rolldefinitions-ID:t för operatören Nexus Key Vault Writer Service Role är 44f0a1a8-6fea-4b35-980a-8ff50c487c97. Det här formatet krävs om du använder Azure-kommandoraden för att utföra rolltilldelningen.
4. När du använder en UAMI för att få åtkomst till ett Key Vault måste åtkomsten till den identiteten etableras för Nexus-plattformen. Microsoft.ManagedIdentity/userAssignedIdentities/assign/action Mer specifikt måste behörighet läggas till i den användartilldelade identiteten AFOI-NC-MGMT-PME-PROD för Microsoft Entra-ID:t. Det är en känd begränsning för plattformen som kommer att åtgärdas i framtiden.
   1. Öppna Azure Portal och leta upp den användartilldelade identiteten i fråga.
   2. Under Åtkomstkontroll (IAM) väljer du Lägg till rolltilldelning.
   3. Välj roll: Hanterad identitetsoperator. (Se de behörigheter som rollen ger hanterad identitetsoperator).
   4. Tilldela åtkomst till: Användare, grupp eller tjänstens huvudnamn.
   5. Välj Medlem: AFOI-NC-MGMT-PME-PROD-program.
   6. Granska och tilldela.
5. Information om hur du begränsar åtkomsten till Key Vault till en uppsättning ip-adresser eller virtuella nätverk finns i Konfigurera Azure Key Vault-brandväggar och virtuella nätverk.
   1. IP-adresserna för alla användare som behöver åtkomst till Key Vault måste läggas till i Key Vaults Virtual Networks och/eller Firewall -listor.
   2. Kontrollera att Allow trusted Microsoft services to bypass this firewall. under Exceptions är markerat.

Skapa eller uppdatera Nexus-klustret för att använda användartilldelade hanterade identiteter och resurser som tillhandahålls av användaren

Definiera UAMI(S) i klustret

När du skapar eller uppdaterar ett kluster med en användartilldelad hanterad identitet använder du parametern --mi-user-assigned tillsammans med resurs-ID:t för UAMI. Om du vill ange flera UAMIs listar du UAMIs resurs-ID:er med ett blanksteg mellan dem. Varje UAMI som används för ett Key Vault-, LAW- eller Lagringskonto måste anges i den här listan.

När du skapar klustret kan du ange UAMIs i --mi-user-assigned och även definiera resursinställningarna. När du uppdaterar ett kluster för att ändra en UAMI bör du först uppdatera klustret för att ange --mi-user-assigned värdena och sedan uppdatera klustret för att ändra resursinställningarna så att det används.

Inställningar för lagringskonto

Datakonstruktionen --command-output-settings används för att definiera lagringskontot där körningskommandoutdata skrivs. Den består av följande fält:

• container-url: URL:en för lagringskontocontainern som ska användas av de angivna identiteterna.
• identity-resource-id: Det användartilldelade resurs-ID för hanterad identitet som ska användas. Ömsesidigt uteslutande med en systemtilldelad identitetstyp.
• identity-type: Den typ av hanterad identitet som väljs. Använd UserAssignedIdentity.

Log Analytics-arbetsyteinställningar

Datakonstruktionen --analytics-output-settings används för att definiera DEN LAG där mått skickas. Den består av följande fält:

• analytics-workspace-id: Resurs-ID för analysarbetsytan som ska användas av den angivna identiteten.
• identity-resource-id: Det användartilldelade resurs-ID för hanterad identitet som ska användas. Ömsesidigt uteslutande med en systemtilldelad identitetstyp
• identity-type: Den typ av hanterad identitet som väljs. Använd UserAssignedIdentity.

Key Vault-inställningar

Datakonstruktionen --secret-archive-settings används för att definiera nyckelvalvet där roterade autentiseringsuppgifter skrivs. Den består av följande fält:

• identity-resource-id: Det användartilldelade resurs-ID för hanterad identitet som ska användas.
• identity-type: Den typ av hanterad identitet som väljs. Använd UserAssignedIdentity.
• vault-uri: URI:n för nyckelvalvet som används som hemligt arkiv.

Exempel på klusterskapandekommandon

Exempel 1: Det här exemplet är ett förkortat klusterskapningskommando som använder en UAMI i lagringskontot, LAW och Key Vault.

az networkcloud cluster create --name "clusterName" -g "resourceGroupName" \

    ...

    --mi-user-assigned "/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myUAMI" \
    --command-output-settings identity-type="UserAssignedIdentity" \
    identity-resource-id="/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myUAMI" \
    container-url="https://myaccount.blob.core.windows.net/mycontainer?restype=container" \
    --analytics-output-settings analytics-workspace-id="/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/microsoft.operationalInsights/workspaces/logAnalyticsWorkspaceName" \
    identity-type="UserAssignedIdentity" \
    identity-resource-id="/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myUAMI" \
    --secret-archive-settings vault-uri="https://mykv.vault.azure.net/"
    identity-type="UserAssignedIdentity" \
    identity-resource-id="/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myUAMI" \

Exempel 2: Det här exemplet är ett förkortat klusterskapningskommando som använder två UAMIs. Lagringskontot och LAW använder den första UAMI och Key Vault använder den andra.

az networkcloud cluster create --name "clusterName" -g "resourceGroupName" \

    ...

    --mi-user-assigned "/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myFirstUAMI" "/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/mySecondUAMI" \
    --command-output-settings identity-type="UserAssignedIdentity" \
    identity-resource-id="/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myFirstUAMI" \
    container-url="https://myaccount.blob.core.windows.net/mycontainer?restype=container" \
    --analytics-output-settings analytics-workspace-id="/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/microsoft.operationalInsights/workspaces/logAnalyticsWorkspaceName" \
    identity-type="UserAssignedIdentity" \
    identity-resource-id="/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myFirstUAMI" \
    --secret-archive-settings vault-uri="https://mykv.vault.azure.net/"
    identity-type="UserAssignedIdentity" \
    identity-resource-id="/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/mySecondUAMI"

Exempel på klusteruppdatering

Att uppdatera ett kluster är en tvåstegsprocess. Om du behöver ändra UAMI för en resurs måste du först uppdatera klustret så att det inkluderas i --mi-user-assigned fältet och sedan uppdatera motsvarande --identity-resource-id för lagringskontot, LAW eller Key Vault.

Om det finns flera UAMIs som används måste den fullständiga listan med UAMIs anges i fältet --mi-user-assigned vid uppdatering. Om en SAMI används i klustret och du lägger till en UAMI måste du inkludera --mi-system-assigned i uppdateringskommandot. Om befintliga hanterade identiteter inte inkluderas tas de bort.

För LAW och Key Vault kan övergången från befintliga datakonstruktioner till de nya konstruktionerna som använder hanterade identiteter göras via en klusteruppdatering.

Exempel 1: Lägg till en UAMI i ett kluster. Tilldela sedan UAMI till inställningarna för hemligt arkiv (Key Vault). Om det här klustret hade definierat en SAMI skulle SAMI tas bort.

Klusteruppdatering för att lägga till UAMI myUAMI.

az networkcloud cluster update --name "clusterName" --resource-group "resourceGroupName" \
   --mi-user-assigned "/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myUAMI" \

Klusteruppdatering för att tilldela myUAMI till inställningarna för hemligt arkiv.

az networkcloud cluster update --name "clusterName" --resource-group "resourceGroupName" \
    --secret-archive-settings identity-type="UserAssignedIdentity" \
    identity-resource-id="/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myUAMI" \
    vault-uri="https://keyvaultname.vault.azure.net/"

Exempel 2: Lägg till UAMI mySecondUAMI i ett kluster som redan har myFirstUAMI kvarhålls. Uppdatera sedan klustret för att tilldela mySecondUAMI till inställningarna för kommandoutdata (lagringskonto).

Klusteruppdatering för att lägga till UAMI mySecondUAMI samtidigt som myFirstUAMI.

az networkcloud cluster update --name "clusterName" --resource-group "resourceGroupName" \
   --mi-user-assigned "/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myFirstUAMI" "/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/mySecondUAMI" \

Klusteruppdatering för att tilldela mySecondUAMI till kommandoutdatainställningarna.

az networkcloud cluster update --name "clusterName" --resource-group "resourceGroupName" \
    --command-output-settings identity-type="UserAssignedIdentity" \
    identity-resource-id="/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/mySecondUAMI" \
    container-url="https://myaccount.blob.core.windows.net/mycontainer?restype=container"

Exempel 3: Uppdatera ett kluster som redan har en SAMI och lägga till en UAMI. SAMI behålls. Tilldela sedan UAMI till log analytics-utdatainställningarna (LAW).

Varning

Om du ändrar inställningarna för LAG kan det orsaka ett kort avbrott i sändningen av mått till LAGEN eftersom tilläggen som använder LAW kan behöva installeras om.

Klusteruppdatering för att lägga till UAMI mUAMI.

az networkcloud cluster update --name "clusterName" --resource-group "resourceGroupName" \
   --mi-user-assigned "/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myUAMI" \
   --mi-system-assigned

Klusteruppdatering för att tilldela myUAMI logganalysens utdatainställningar.

az networkcloud cluster update --name "clusterName" --resource-group "resourceGroupName" \
    --analytics-output-settings analytics-workspace-id="/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/microsoft.operationalInsights/workspaces/logAnalyticsWorkspaceName" \
    identity-type="UserAssignedIdentity" \
    identity-resource-id="/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myUAMI"

Visa huvud-ID:t för den användartilldelade hanterade identiteten

Du hittar identitetsresurs-ID:t genom att välja "JSON-vy" på identitetsresursen. ID:t finns överst i panelen som visas. Container-URL:en finns på fliken Inställningar –> egenskaper för containerresursen.

CLI kan också användas för att visa identiteten och de associerade huvudnamns-ID:t i klustret.

Exempel:

az networkcloud cluster show --ids /subscriptions/<Subscription ID>/resourceGroups/<Cluster Resource Group Name>/providers/Microsoft.NetworkCloud/clusters/<Cluster Name>

Utdata:

    "identity": {
        "type": "UserAssigned",
        "userAssignedIdentities": {
            "/subscriptions/subscriptionID/resourcegroups/<resourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<userAssignedIdentityName>": {
                "clientId": "00001111-aaaa-2222-bbbb-3333cccc4444",
                "principalId": "bbbbbbbb-cccc-dddd-2222-333333333333"
            }
        }
    },

Operatorn Nexus-kluster med en systemtilldelad hanterad identitet

Användning av en systemtilldelad hanterad identitet (SAMI) följer ett annat mönster än UAMIs. Även om användarens resurser (lagringskonto, LAW och Key Vault) kan skapas innan klustret skapas, finns inte SAMI förrän klustret har skapats. Användare måste fråga klustret för att hämta SAMI, tilldela rätt behörigheter till SAMI för varje resurs och sedan uppdatera klustret med resursernas inställningar som anger systemets tilldelade identitet.

För ett nytt kluster måste de här stegen slutföras innan klusterdistributionen. Effekterna av att inte konfigurera dessa resurser efter distributionstid för ett nytt kluster är följande:

• Lagringskonto: run-* -kommandoutdata kan inte skrivas till lagringskontot.
• LAG: Klusterdistributionen misslyckas eftersom LAW krävs för att installera programvarutillägg under distributionen.
• Key Vault: Rotationer av autentiseringsuppgifter misslyckas eftersom det finns en kontroll för att säkerställa skrivåtkomst till användaren som tillhandahålls Key Vault innan rotation av autentiseringsuppgifter utförs.

Du kan när som helst uppdatera klustret. Om du ändrar inställningarna för LAG kan det orsaka ett kort avbrott i sändningen av mått till LAGEN eftersom tilläggen som använder LAW kan behöva installeras om.

Följande steg bör följas för att använda UAMIs med Nexus-kluster och associerade resurser.

1. Skapa eller uppdatera klustret med en SAMI
2. Fråga klustret för att hämta SAMI
3. Skapa resurserna och tilldela SAMI till resurserna
4. Uppdatera klustret med den resursinformation som användaren angav
5. Distribuera klustret (om det är nytt)

Skapa eller uppdatera klustret med en SAMI

När du skapar eller uppdaterar ett kluster med en systemtilldelad hanterad identitet använder du parametern --mi-system-assigned . Processen för att skapa eller uppdatera klustret genererar SAMI-information.

Exempel 1: Det här exemplet är ett förkortat klusterskapningskommando som anger en SAMI.

az networkcloud cluster create --name "clusterName" -g "resourceGroupName" \

    ...

    --mi-system-assigned

Exempel 2: I det här exemplet uppdateras ett kluster för att lägga till en SAMI. Alla UAMIs som definierats i klustret tas bort.

az networkcloud cluster update --name "clusterName" -g "resourceGroupName" \
    --mi-system-assigned

Exempel 3: Det här exemplet uppdaterar ett kluster för att lägga till en SAMI och behåller den befintliga UAMI: myUAMI.

az networkcloud cluster update --name "clusterName" -g "resourceGroupName" \
    --mi-user-assigned "/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myUAMI" \
    --mi-system-assigned

Fråga klustret för att hämta SAMI

Du hittar identitetsresurs-ID:t genom att välja "JSON-vy" på identitetsresursen i Azure Portal.

CLI kan också användas för att visa identiteten och de associerade huvudnamns-ID:t i klustret.

Observera den principalId identitet som används när du beviljar åtkomst till resurserna.

Exempel:

az networkcloud cluster show --ids /subscriptions/<Subscription ID>/resourceGroups/<Cluster Resource Group Name>/providers/Microsoft.NetworkCloud/clusters/<Cluster Name>

Exempel på systemtilldelad identitet:

    "identity": {
        "principalId": "aaaaaaaa-bbbb-cccc-1111-222222222222",
        "tenantId": "aaaabbbb-0000-cccc-1111-dddd2222eeee",
        "type": "SystemAssigned"
    },

Skapa resurserna och tilldela SAMI till resurserna

Konfiguration av lagringskonton

1. Skapa ett lagringskonto eller identifiera ett befintligt lagringskonto som du vill använda. Se Skapa ett Azure Storage-konto.
2. Skapa en bloblagringscontainer i lagringskontot. Se Skapa en container.
3. Storage Blob Data Contributor Tilldela rollen till användare och SAMI som behöver åtkomst till run-* -kommandoutdata. Se Tilldela en Azure-roll för åtkomst till blobbdata.
4. 1. Information om hur du begränsar åtkomsten till lagringskontot till en viss uppsättning IP-adresser eller virtuella nätverk finns i Konfigurera Azure Storage-brandväggar och virtuella nätverk.
   2. IP-adresserna för alla användare som kör run-*-kommandon måste läggas till i lagringskontots Virtual Networks och/eller Firewall listorna.
   3. Kontrollera att Allow Azure services on the trusted services list to access this storage account. under Exceptions är markerat.

Installation av Log Analytics-arbetsytor

1. Skapa en Log Analytics-arbetsyta (LAW) eller identifiera en befintlig LAG som du vill använda. Se Skapa en Log Analytics-arbetsyta.
2. Log Analytics Contributor Tilldela rollen till SAMI för log analytics-arbetsytan. Se Hantera åtkomst till Log Analytics-arbetsytor.

Konfiguration av Key Vault

1. Skapa ett Key Vault eller identifiera ett befintligt Nyckelvalv som du vill använda. Se Skapa ett nyckelvalv.
2. Aktivera Key Vault för rollbaserad åtkomstkontroll (RBAC). Se Aktivera Azure RBAC-behörigheter för Key Vault.
3. Operator Nexus Key Vault Writer Service Role (Preview) Tilldela rollen till SAMI för Key Vault. Se Tilldela roll.
   1. Rolldefinitions-ID:t för operatören Nexus Key Vault Writer Service Role är 44f0a1a8-6fea-4b35-980a-8ff50c487c97. Det här formatet krävs om du använder Azure-kommandoraden för att utföra rolltilldelningen.
4. Information om hur du begränsar åtkomsten till Key Vault till en uppsättning ip-adresser eller virtuella nätverk finns i Konfigurera Azure Key Vault-brandväggar och virtuella nätverk.
   1. IP-adresserna för alla användare som behöver åtkomst till Key Vault måste läggas till i Key Vaults Virtual Networks och/eller Firewall -listor.
   2. Kontrollera att Allow trusted Microsoft services to bypass this firewall. under Exceptions är markerat.

Uppdatera klustret med den resursinformation som användaren angav

Inställningar för lagringskonto

Datakonstruktionen --command-output-settings används för att definiera lagringskontot där körningskommandoutdata skrivs. Den består av följande fält:

• container-url: URL:en för lagringskontocontainern som ska användas av de angivna identiteterna.
• identity-resource-id: Krävs inte när du använder en SAMI
• identity-type: Den typ av hanterad identitet som väljs. Använd SystemAssignedIdentity.

Log Analytics-arbetsyteinställningar

Datakonstruktionen --analytics-output-settings används för att definiera DEN LAG där mått skickas. Den består av följande fält:

• analytics-workspace-id: Resurs-ID för analysarbetsytan som ska användas av den angivna identiteten.
• identity-resource-id: Krävs inte när du använder en SAMI
• identity-type: Den typ av hanterad identitet som väljs. Använd SystemAssignedIdentity.

Key Vault-inställningar

Datakonstruktionen --secret-archive-settings används för att definiera nyckelvalvet där roterade autentiseringsuppgifter skrivs. Den består av följande fält:

• identity-resource-id: Krävs inte när du använder en SAMI
• identity-type: Den typ av hanterad identitet som väljs. Använd SystemAssignedIdentity.
• vault-uri: URI:n för nyckelvalvet som används som hemligt arkiv.

Exempel på klusteruppdatering

Uppdatering av ett kluster följer samma mönster som när du skapar. Om du behöver ändra UAMI för en resurs måste du inkludera den i både --mi-user-assigned fältet och motsvarande --identity-resource-id för lagringskontot, LAW eller Key Vault. Om det finns flera UAMIs som används måste den fullständiga listan med UAMIs anges i fältet --mi-user-assigned vid uppdatering.

För LAW och Key Vault kan övergången från befintliga datakonstruktioner till de nya konstruktionerna som använder UAMI göras via en klusteruppdatering.

Viktigt!

När du uppdaterar ett kluster med UAMI eller UAMIs som används måste du inkludera befintliga UAMIs i --mi-user-assigned identitetslistan när du lägger till en SAMI eller uppdaterar. Om en SAMI används i klustret och du lägger till en UAMI måste du inkludera --mi-system-assigned i uppdateringskommandot. Om du inte gör det tas respektive hanterade identiteter bort.

Exempel 1: Lägg till eller uppdatera inställningarna för kommandoutdata (lagringskonto) för ett kluster.

az networkcloud cluster update --name "clusterName" --resource-group "resourceGroupName" \
    --command-output-settings identity-type="SystemAssignedIdentity" \
    container-url="https://myaccount.blob.core.windows.net/mycontainer?restype=container"

Exempel 2: Lägg till eller uppdatera log analytics-utdatainställningarna (LAW) för ett kluster.

Varning

Om du ändrar inställningarna för LAG kan det orsaka ett kort avbrott i sändningen av mått till LAGEN eftersom tilläggen som använder LAW kan behöva installeras om.

az networkcloud cluster update --name "clusterName" --resource-group "resourceGroupName" \
    --analytics-output-settings analytics-workspace-id="/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/microsoft.operationalInsights/workspaces/logAnalyticsWorkspaceName" \
    identity-type="SystemAssignedIdentity" \

Exempel 3: Lägg till eller uppdatera inställningarna för hemligt arkiv (Key Vault) för ett kluster.

az networkcloud cluster update --name "clusterName" --resource-group "resourceGroupName" \
    --secret-archive-settings identity-type="SystemAssignedIdentity" \
    vault-uri="https://keyvaultname.vault.azure.net/"

Exempel 4: I det här exemplet kombineras alla tre resurserna med hjälp av en SAMI till en uppdatering.

az networkcloud cluster update --name "clusterName" --resource-group "resourceGroupName" \
    --command-output-settings identity-type="SystemAssignedIdentity" \
    container-url="https://myaccount.blob.core.windows.net/mycontainer?restype=container"
    --analytics-output-settings analytics-workspace-id="/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/microsoft.operationalInsights/workspaces/logAnalyticsWorkspaceName" \
    identity-type="SystemAssignedIdentity" \
    --secret-archive-settings identity-type="SystemAssignedIdentity" \
    vault-uri="https://keyvaultname.vault.azure.net/"

Uppdatera klusteridentiteter via API:er

Klusterhanterade identiteter kan tilldelas via CLI. Avtilldelningen av identiteterna kan göras via API-anrop. <APIVersion> Obs! är API-versionen 2024-07-01 eller senare.

• Om du vill ta bort alla hanterade identiteter kör du:

  az rest --method PATCH --url /subscriptions/$SUB_ID/resourceGroups/$CLUSTER_RG/providers/Microsoft.NetworkCloud/clusters/$CLUSTER_NAME?api-version=<APIVersion> --body "{\"identity\":{\"type\":\"None\"}}"
  

• Om både Användartilldelade och Systemtilldelade hanterade identiteter har lagts till kan den användartilldelade tas bort genom att uppdatera type till SystemAssigned:

  az rest --method PATCH --url /subscriptions/$SUB_ID/resourceGroups/$CLUSTER_RG/providers/Microsoft.NetworkCloud/clusters/$CLUSTER_NAME?api-version=<APIVersion> --body @~/uai-body.json
  

  Exempel på begärandetext (uai-body.json):

  {
  "identity": {
        "type": "SystemAssigned"
  }
  }
  

• Om både användartilldelade och systemtilldelade hanterade identiteter har lagts till kan systemtilldelade tas bort genom att uppdatera type till UserAssigned:

  az rest --method PATCH --url /subscriptions/$SUB_ID/resourceGroups/$CLUSTER_RG/providers/Microsoft.NetworkCloud/clusters/$CLUSTER_NAME?api-version=<APIVersion> --body @~/uai-body.json
  

  Exempel på begärandetext (uai-body.json):

  {
  "identity": {
        "type": "UserAssigned",
    "userAssignedIdentities": {
    	"/subscriptions/$SUB_ID/resourceGroups/$UAI_RESOURCE_GROUP/providers/Microsoft.ManagedIdentity/userAssignedIdentities/$UAI_NAME": {}
    }
  }
  }
  

• Om flera användartilldelade hanterade identiteter har lagts till kan en av dem tas bort genom att köra:

  az rest --method PATCH --url /subscriptions/$SUB_ID/resourceGroups/$CLUSTER_RG/providers/Microsoft.NetworkCloud/clusters/$CLUSTER_NAME?api-version=<APIVersion> --body @~/uai-body.json
  

  Exempel på begärandetext (uai-body.json):

  {
  "identity": {
        "type": "UserAssigned",
    "userAssignedIdentities": {
    	"/subscriptions/$SUB_ID/resourceGroups/$UAI_RESOURCE_GROUP/providers/Microsoft.ManagedIdentity/userAssignedIdentities/$UAI_NAME": null
    }
  }
  }