Sdílet prostřednictvím

Předání přihlašovacích údajů obslužné rutině Azure DSCExtension

  • Článek

Tento článek se zabývá rozšířením Desired State Configuration (DSC) pro Azure. Přehled obslužné rutiny rozšíření DSC najdete v tématu Úvod do obslužné rutiny rozšíření Azure Desired State Configuration.

Poznámka

Než povolíte rozšíření DSC, chtěli bychom, abyste věděli, že novější verze DSC je teď obecně dostupná a spravuje ji funkce Azure Automange s názvem Konfigurace počítače. Funkce konfigurace počítače kombinuje funkce obslužné rutiny rozšíření Desired State Configuration (DSC), Azure Automation State Configuration a nejčastěji požadované funkce ze zpětné vazby od zákazníků. Konfigurace počítače zahrnuje také podporu hybridních počítačů prostřednictvím serverů s podporou Arc.

Předání přihlašovacích údajů

V rámci procesu konfigurace může být potřeba nastavit uživatelské účty, získat přístup ke službám nebo nainstalovat program v kontextu uživatele. K tomu je potřeba zadat přihlašovací údaje.

Pomocí DSC můžete nastavit parametrizované konfigurace. V parametrizované konfiguraci se přihlašovací údaje předávají do konfigurace a bezpečně se ukládají do souborů .mof. Obslužná rutina rozšíření Azure zjednodušuje správu přihlašovacích údajů tím, že poskytuje automatickou správu certifikátů.

Následující konfigurační skript DSC vytvoří místní uživatelský účet se zadaným heslem:

configuration Main
{
    param(
        [Parameter(Mandatory=$true)]
        [ValidateNotNullorEmpty()]
        [PSCredential]
        $Credential
    )
    Node localhost {
        User LocalUserAccount
        {
            Username = $Credential.UserName
            Password = $Credential
            Disabled = $false
            Ensure = "Present"
            FullName = "Local User Account"
            Description = "Local User Account"
            PasswordNeverExpires = $true
        }
    }
}

Jako součást konfigurace je důležité zahrnout místního hostitele uzlu . Obslužná rutina rozšíření konkrétně hledá příkaz localhost uzlu . Pokud tento příkaz chybí, následující kroky nefungují. Je také důležité zahrnout typecast [PsCredential]. Tento konkrétní typ aktivuje rozšíření pro šifrování přihlašovacích údajů.

Publikování tohoto skriptu do služby Azure Blob Storage:

Publish-AzVMDscConfiguration -ConfigurationPath .\user_configuration.ps1

Nastavení rozšíření Azure DSC a zadání přihlašovacích údajů:

$configurationName = 'Main'
$configurationArguments = @{ Credential = Get-Credential }
$configurationArchive = 'user_configuration.ps1.zip'
$vm = Get-AzVM -Name 'example-1'

$vm = Set-AzVMDscExtension -VMName $vm -ConfigurationArchive $configurationArchive -ConfigurationName $configurationName -ConfigurationArgument @configurationArguments

$vm | Update-AzVM

Způsob zabezpečení přihlašovacích údajů

Spuštěním tohoto kódu se zobrazí výzva k zadání přihlašovacích údajů. Po zadání přihlašovacích údajů se krátce uloží do paměti. Při publikování přihlašovacích údajů pomocí rutiny Set-AzVMDscExtension se přihlašovací údaje přenesou přes HTTPS do virtuálního počítače. Na virtuálním počítači Azure ukládá přihlašovací údaje zašifrované na disku pomocí certifikátu místního virtuálního počítače. Přihlašovací údaje se krátce dešifrují v paměti a pak se znovu zašifrují, aby se předaly do DSC.

Tento proces se liší od použití zabezpečených konfigurací bez obslužné rutiny rozšíření. Prostředí Azure poskytuje způsob, jak bezpečně přenášet konfigurační data prostřednictvím certifikátů. Při použití obslužné rutiny rozšíření DSC nemusíte v ConfigurationData zadávat $CertificatePath ani $CertificateID/ $Thumbprint záznam.

Další kroky