Использование управляемых удостоверений в Azure для нагрузочного тестирования

В этой статье показано, как создать управляемую идентичность для Azure Load Testing. Управляемое удостоверение можно использовать для безопасного чтения секретов или сертификатов из Azure Key Vault в нагрузочном тесте. Вы также можете использовать управляемые удостоверения для моделирования аутентификационных потоков на основе управляемых удостоверений в сценариях нагрузочного тестирования.

Управляемое удостоверение из идентификатора Microsoft Entra позволяет ресурсу нагрузочного тестирования легко получить доступ к Microsoft Entra protected Azure Key Vault. Идентификация управляется платформой Azure, и вам не нужно управлять или менять какие-либо секреты. Дополнительные сведения об управляемых идентификаторах в Microsoft Entra ID см. в разделе Управляемые идентификаторы для ресурсов Azure.

Нагрузочное тестирование Azure поддерживает два типа удостоверений:

Идентичность , назначенная системой, связана с вашим ресурсом нагрузочного теста и удаляется при удалении вашего ресурса. Ресурс может иметь только одно удостоверение, назначаемое системой.
Удостоверение пользователя — это автономный ресурс Azure, который можно присвоить ресурсу нагрузочного тестирования. При удалении ресурса нагрузочного тестирования управляемая идентификация всё ещё остается доступной. Вы можете назначить несколько пользовательских удостоверений ресурсу для нагрузочного тестирования.

В настоящее время для доступа к Azure Key Vault можно использовать только управляемое удостоверение.

Предпосылки

Учетная запись Azure с активной подпиской. Если у вас нет подписки на Azure, создайте бесплатную учетную запись перед началом.
Ресурс нагрузочного тестирования Azure. Если вам нужно создать ресурс нагрузочного тестирования Azure, ознакомьтесь с кратким руководством по созданию и запуску нагрузочного теста.
Чтобы создать управляемую идентичность, назначаемую пользователем, ваша учетная запись должна иметь назначение роли Участник Managed Identity.

Назначить назначаемое системой удостоверение ресурсу нагрузочного тестирования

Чтобы назначить назначаемую системой идентичность для ресурса нагрузочного тестирования Azure, включите соответствующее свойство ресурса. Это свойство можно задать с помощью портала Azure или с помощью шаблона Azure Resource Manager (ARM).

Чтобы настроить управляемую идентичность на портале, сначала создайте ресурс нагрузочного тестирования Azure, а затем включите эту функцию.

Перейдите в портал Azure к вашему ресурсу нагрузочного тестирования Azure.
На левой панели выберите "Удостоверение".
На вкладке "Назначаемая системой" переключите "Состояние" на "Включено", а затем нажмите "Сохранить".
В окне подтверждения выберите Да, чтобы подтвердить назначение управляемого удостоверения.
После завершения этой операции на странице отображается идентификатор объекта управляемого удостоверения, и у вас появляется возможность назначать ему разрешения.

Выполните команду az load update с --identity-type SystemAssigned, чтобы добавить удостоверение, назначаемое системой, в ресурс нагрузочного тестирования.

az load update --name <load-testing-resource-name> --resource-group <group-name> --identity-type SystemAssigned

Шаблон ARM можно использовать для автоматизации развертывания ресурсов Azure. Дополнительные сведения об использовании шаблонов ARM с нагрузочным тестированием Azure см. в справочной документации по Azure Load Testing ARM.

Управляемое удостоверение, назначаемое системой, можно назначить при создании ресурса типа Microsoft.LoadTestService/loadtests. identity Настройте свойство со значением SystemAssigned в определении ресурса:

"identity": {
    "type": "SystemAssigned"
}

Добавив тип удостоверения, назначаемый системой, вы информируете Azure о необходимости создать и управлять удостоверением для вашего ресурса. Например, ресурс нагрузочного тестирования Azure может выглядеть следующим образом:

{
    "type": "Microsoft.LoadTestService/loadtests",
    "apiVersion": "2021-09-01-preview",
    "name": "[parameters('name')]",
    "location": "[parameters('location')]",
    "tags": "[parameters('tags')]",
    "identity": {
        "type": "SystemAssigned"
    }
}

После завершения создания ресурса для ресурса настраиваются следующие свойства:

"identity": {
    "type": "SystemAssigned",
    "tenantId": "00000000-0000-0000-0000-000000000000",
    "principalId": "00000000-0000-0000-0000-000000000000"
}

Свойство tenantId определяет, к какому арендатору Microsoft Entra принадлежит управляемая идентичность. Это principalId уникальный идентификатор для новой идентичности ресурса. В Microsoft Entra ID представитель службы имеет то же имя, что и ресурс тестирования нагрузки Azure.

Назначить пользовательское удостоверение ресурсу нагрузочного тестирования

Прежде чем добавить управляемое удостоверение, назначаемое пользователем, в ресурс нагрузочного тестирования Azure необходимо сначала создать это удостоверение в идентификаторе Microsoft Entra. Затем вы можете назначить идентичность с помощью ее идентификатора ресурса.

В ресурс можно добавить несколько управляемых удостоверений, назначаемых пользователем. Например, если вам нужно получить доступ к нескольким ресурсам Azure, вы можете предоставить разные разрешения каждой из этих идентификаций.

Создайте управляемое удостоверение, назначаемое пользователем, следуя инструкциям, описанным в статье "Создание управляемого удостоверения, назначаемого пользователем".
Перейдите в портал Azure к вашему ресурсу нагрузочного тестирования Azure.
На левой панели выберите "Удостоверение".
Перейдите на вкладку "Назначенный пользователем" и нажмите кнопку "Добавить".
Выполните поиск и выберите управляемое удостоверение, созданное ранее. Затем нажмите кнопку "Добавить ", чтобы добавить ее в ресурс нагрузочного тестирования Azure.

Создайте назначаемую пользователем личность.
```
az identity create --resource-group <group-name> --name <identity-name>
```
Выполните команду az load update с --identity-type UserAssigned, чтобы добавить удостоверение, назначаемое пользователем, к ресурсу нагрузочного тестирования.
```
az load update --name <load-testing-resource-name> --resource-group <group-name> --identity-type UserAssigned --user-assigned <identity-id>
```

Ресурс нагрузочного тестирования Azure можно создать с помощью шаблона ARM и типа Microsoft.LoadTestService/loadtestsресурса. Дополнительные сведения об использовании шаблонов ARM с нагрузочным тестированием Azure см. в справочной документации по Azure Load Testing ARM.

Создайте управляемое удостоверение, назначаемое пользователем, следуя инструкциям, описанным в статье "Создание управляемого удостоверения, назначаемого пользователем".
Укажите назначенное пользователем управляемое удостоверение в identity разделе определения ресурса.

Замените заполнитель текста <RESOURCEID> идентификатором ресурса вашего назначенного вами удостоверения.
```
"identity": {
    "type": "UserAssigned",
    "userAssignedIdentities": {
        "<RESOURCEID>": {}
    }
}
```
В следующем фрагменте кода показан пример определения ресурса ARM нагрузочного тестирования Azure с пользовательским назначенным удостоверением.
```
{
    "type": "Microsoft.LoadTestService/loadtests",
    "apiVersion": "2021-09-01-preview",
    "name": "[parameters('name')]",
    "location": "[parameters('location')]",
    "tags": "[parameters('tags')]",
    "identity": {
        "type": "UserAssigned",
        "userAssignedIdentities": {
            "<RESOURCEID>": {}
        }
}
```
После создания ресурса нагрузочного тестирования Azure предоставляет свойства principalId и clientId в выходных данных:
```
"identity": {
    "type": "UserAssigned",
    "userAssignedIdentities": {
        "<RESOURCEID>": {
            "principalId": "00000000-0000-0000-0000-000000000000",
            "clientId": "00000000-0000-0000-0000-000000000000"
        }
    }
}
```
Это principalId — уникальный идентификатор личности, используемый для администрирования Microsoft Entra. Это clientId уникальный идентификатор новой сущности ресурса, который используется для указания, какое удостоверение применять во время выполнения вызовов.

Настройка целевого ресурса

Возможно, потребуется настроить целевой ресурс, чтобы разрешить доступ из ресурса нагрузочного тестирования. Например, если вы читаете секрет или сертификат из Azure Key Vault или используете ключи, управляемые клиентом для шифрования, необходимо также добавить политику доступа, содержащую управляемое удостоверение ресурса. В противном случае вызовы к Azure Key Vault отклоняются, даже если используется допустимый маркер.

Аналогично, если вы хотите задать критерии отказа для метрик сервера, необходимо указать идентификатор ссылки на метрики для их получения. Необходимо настроить целевой ресурс так, чтобы удостоверение личности могло считывать метрики из этого ресурса.

Это важно

Если управляемое удостоверение назначено ресурсу нагрузочного тестирования, пользователи, авторизованные для выполнения нагрузочных тестов, могут использовать управляемое удостоверение во время выполнения теста для доступа к целевым ресурсам, таким как Azure Key Vault.

Обратная связь

Были ли сведения на этой странице полезными?

Last updated on 2025-08-15