Konfigurace spravovaných identit ve fondech Batch
Spravované identity pro prostředky Azure eliminují složitou správu identit a přihlašovacích údajů tím, že poskytují identitu pro prostředek Azure v Microsoft Entra ID (Azure AD ID). Tato identita se používá k získání tokenů Microsoft Entra k ověření s cílovými prostředky v Azure.
Toto téma vysvětluje, jak povolit spravované identity přiřazené uživatelem ve fondech služby Batch a jak používat spravované identity v uzlech.
Důležité
Vytváření fondů se spravovanými identitami lze provádět pouze pomocí rozhraní API roviny správy služby Batch nebo sad SDK pomocí ověřování Entra. Fondy se spravovanými identitami není možné vytvářet pomocí rozhraní API služby Batch ani sad SDK. Další informace najdete v přehledové dokumentaci k rozhraním API a nástrojům služby Batch.
Vytvoření spravované identity přiřazené uživatelem
Nejprve vytvořte spravovanou identitu přiřazenou uživatelem ve stejném tenantovi jako účet Batch. Identitu můžete vytvořit pomocí webu Azure Portal, rozhraní příkazového řádku Azure (Azure CLI), PowerShellu, Azure Resource Manageru nebo rozhraní Azure REST API. Tato spravovaná identita nemusí být ve stejné skupině prostředků ani ve stejném předplatném.
Tip
Spravovanou identitu přiřazenou systémem vytvořenou pro účet Batch pro šifrování zákaznických dat nelze použít jako spravovanou identitu přiřazenou uživatelem ve fondu batch, jak je popsáno v tomto dokumentu. Pokud chcete použít stejnou spravovanou identitu v účtu Batch i ve fondu Batch, použijte místo toho společnou spravovanou identitu přiřazenou uživatelem.
Vytvoření fondu Batch se spravovanými identitami přiřazenými uživatelem
Po vytvoření jedné nebo více spravovaných identit přiřazených uživatelem můžete vytvořit fond Batch s danou identitou nebo těmito identitami. Můžete provádět následující akce:
- Vytvoření fondu Batch pomocí webu Azure Portal
- Vytvoření fondu Batch pomocí knihovny pro správu Batch .NET
Upozorňující
Místní aktualizace spravovaných identit fondu nejsou podporovány, pokud má fond aktivní uzly. Stávající výpočetní uzly se nebudou aktualizovat o změny. Před úpravou kolekce identit doporučujeme vertikálně snížit kapacitu fondu na nula výpočetních uzlů, aby se zajistilo, že všechny virtuální počítače mají přiřazenou stejnou sadu identit.
Vytvoření fondu Batch na webu Azure Portal
Vytvoření fondu Batch se spravovanou identitou přiřazenou uživatelem prostřednictvím webu Azure Portal:
- Přihlaste se k portálu Azure.
- Na panelu hledání zadejte a vyberte účty Batch.
- Na stránce účty Batch vyberte účet Batch, ve kterém chcete vytvořit fond Batch.
- V nabídce účtu Batch v části Funkce vyberte Fondy.
- V nabídce Fondy vyberte Přidat a přidejte nový fond Batch.
- Jako ID fondu zadejte identifikátor fondu.
- U identity změňte nastavení na Přiřazené uživatelem.
- V části Spravovaná identita přiřazená uživatelem vyberte Přidat.
- Vyberte spravovanou identitu nebo identity přiřazené uživatelem, které chcete použít. Pak vyberte Přidat.
- V části Operační systém vyberte vydavatele, nabídku a skladovou položku, které chcete použít.
- Volitelně povolte spravovanou identitu v registru kontejneru:
- V případě konfigurace kontejneru změňte nastavení na Vlastní. Pak vyberte vlastní konfiguraci.
- Pro zahájení úkolu vyberte Povoleno. Pak vyberte Soubory prostředků a přidejte informace o kontejneru úložiště.
- Povolte nastavení kontejneru.
- Změna registru kontejneru na vlastní
- Jako referenční informace k identitě vyberte kontejner úložiště.
Vytvoření fondu Batch pomocí .NET
Pokud chcete vytvořit fond Batch se spravovanou identitou přiřazenou uživatelem pomocí knihovny pro správu Batch .NET, použijte následující ukázkový kód:
var credential = new DefaultAzureCredential();
ArmClient _armClient = new ArmClient(credential);
var batchAccountIdentifier = ResourceIdentifier.Parse("your-batch-account-resource-id");
BatchAccountResource batchAccount = _armClient.GetBatchAccountResource(batchAccountIdentifier);
var poolName = "HelloWorldPool";
var imageReference = new BatchImageReference()
{
Publisher = "canonical",
Offer = "0001-com-ubuntu-server-jammy",
Sku = "22_04-lts",
Version = "latest"
};
string nodeAgentSku = "batch.node.ubuntu 22.04";
var batchAccountPoolData = new BatchAccountPoolData()
{
VmSize = "Standard_DS1_v2",
DeploymentConfiguration = new BatchDeploymentConfiguration()
{
VmConfiguration = new BatchVmConfiguration(imageReference, nodeAgentSku)
},
ScaleSettings = new BatchAccountPoolScaleSettings()
{
FixedScale = new BatchAccountFixedScaleSettings()
{
TargetDedicatedNodes = 1
}
}
};
ArmOperation<BatchAccountPoolResource> armOperation = batchAccount.GetBatchAccountPools().CreateOrUpdate(
WaitUntil.Completed, poolName, batchAccountPoolData);
BatchAccountPoolResource pool = armOperation.Value;
Použití spravovaných identit přiřazených uživatelem v uzlech Batch
Mnoho funkcí Azure Batch, které přistupují k dalším prostředkům Azure přímo na výpočetních uzlech, jako je Azure Storage nebo Azure Container Registry, podporují spravované identity. Další informace o používání spravovaných identit se službou Azure Batch najdete na následujících odkazech:
- Soubory prostředků
- Výstupní soubory
- Azure Container Registry
- Systém souborů kontejneru objektů blob v Azure
Úlohy můžete také nakonfigurovat ručně, aby spravované identity mohly přímo přistupovat k prostředkům Azure, které podporují spravované identity.
V uzlech Batch můžete získat tokeny spravované identity a použít je k ověření prostřednictvím ověřování Microsoft Entra prostřednictvím služby Azure Instance Metadata Service.
Skript PowerShellu pro získání přístupového tokenu k ověření ve Windows je následující:
$Response = Invoke-RestMethod -Uri 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource={Resource App Id Url}' -Method GET -Headers @{Metadata="true"}
Pro Linux je skript Bash následující:
curl 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource={Resource App Id Url}' -H Metadata:true
Další informace najdete v tématu Použití spravovaných identit pro prostředky Azure na virtuálním počítači Azure k získání přístupového tokenu.
Další kroky
- Přečtěte si další informace o spravovaných identitách pro prostředky Azure.
- Naučte se používat klíče spravované zákazníkem s identitami spravovanými uživatelem.
- Zjistěte, jak povolit automatické obměně certifikátů ve fondu Batch.