Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym przewodniku opisano sposób konfigurowania klastra na potrzeby wdrażania przy użyciu identyfikatora URI (Uniform Resource Identifier) usługi Key Vault zamiast hasła w postaci zwykłego tekstu. To poświadczenie jest używane podczas tworzenia lub aktualizowania klastra operatorów platformy Azure i może znajdować się w tym samym magazynie kluczy skonfigurowanym w --secret-archive-settings lub w oddzielnym magazynie kluczy. Identyfikator URI magazynu kluczy służy do wdrażania klastra. Po wdrożeniu klastra automatyczna rotacja poświadczeń obsługuje rotację hasła.
Ten identyfikator URI usługi Key Vault służy do pobierania wartości hasła z określonej usługi Key Vault jako jednorazowej operacji. Po pobraniu tej wartości hasła identyfikator URI nie jest już używany, a hasło jest bezpiecznie przechowywane w klastrze.
Identyfikator URI usługi Key Vault a hasło w postaci zwykłego tekstu
Użycie identyfikatora URI magazynu kluczy zamiast hasła zapewnia dodatkowe zabezpieczenia dzięki unikaniu użycia wartości w postaci zwykłego tekstu. Identyfikator URI nie jest używany po zakończeniu akcji tworzenia/aktualizacji klastra oraz zastępowania maszyn typu bare-metal.
Uwaga / Notatka
Ta funkcja jest obsługiwana w przypadku tworzenia i aktualizowania klastra w ramach wersji 2506.2. Planowana jest późniejsza wersja, aby usunąć obsługę używania haseł w postaci zwykłego tekstu.
Przypisanie roli
Tożsamość zarządzana określona w polu musi mieć przypisaną --secret-archive-settings rolę w Key Vault Secrets User magazynie kluczy zawierającym hasło. Przypisanie roli jest wymagane, aby klaster mógł pobrać wartość hasła z przywołynej wartości identyfikatora URI. Przypisanie roli Key Vault Secrets User różni się od Operator Nexus Key Vault Writer Service Role, co jest wymagane do automatycznej rotacji poświadczeń.
Aby uzyskać więcej informacji na temat --secret-archive-settings, zapoznaj się z Obsługą klastra dla tożsamości zarządzanych.
Konfiguracja podstawowego kontrolera zarządzania (BMC) i urządzenia magazynu
Po wdrożeniu klastra wiele haseł jest udostępnianych jako część danych konfiguracji. Od wersji 2506.2 wprowadzono możliwość przekazania wartości referencyjnej identyfikatora URI zamiast hasła w postaci zwykłego tekstu.
W tych przykładach KEY_VAULT_NAME jest nazwą magazynu kluczy, a SECRET_NAME jest nazwą tajemnicy. Jeśli istnieje wiele wersji wpisu tajnego, można dołączyć element VERSION w celu określenia określonej wersji.
Hasło podstawowego kontrolera zarządzania
"bareMetalMachineConfigurationData":
[
{
"bmcCredentials":
{
"username": "$BMC_USERNAME",
"password": "https://$KEY_VAULT_NAME.vault.azure.net/secrets/$SECRET_NAME/$VERSION",
},
},
]
Hasło urządzenia do przechowywania
"storageApplianceConfigurationData":
[
{
"adminCredentials":
{
"username": "pureuser",
"password": "https://$KEY_VAULT_NAME.vault.azure.net/secrets/$SECRET_NAME/$VERSION",
},
},
]
Wymiana maszyny bare metal
Ten identyfikator URI magazynu kluczy można również podać dla wartości hasła podczas wymiany maszyny metalowej: Wymień maszynę metalową. Aby ta funkcja działała, potrzebne jest to samo przypisanie roli .