Bereitstellen von Azure Local mithilfe der lokalen Identität mit Azure Key Vault (Vorschau)

In diesem Artikel wird beschrieben, wie Sie lokale Identität mit Azure Key Vault für die lokale Bereitstellung von Azure verwenden.

Wichtig

Dieses Feature befindet sich derzeit in der VORSCHAU. Lesen Sie die ergänzenden Nutzungsbedingungen für Microsoft Azure Previews für rechtliche Bestimmungen, die für Azure-Features gelten, die sich in Der Betaversion, Vorschau oder auf andere Weise noch nicht in der allgemeinen Verfügbarkeit befinden.

Übersicht

Früher als AD-lose Bereitstellung bezeichnet, ermöglicht die Methode der Verwendung der lokalen Identität mit Key Vault azure Local das sichere Verwalten und Speichern geheimer Schlüssel, z. B. BitLocker-Schlüssel, Knoten-Kennwörter und andere vertrauliche Informationen, ohne auf Active Directory (AD) zu vertrauen. Durch die Integration mit Key Vault und die Verwendung der zertifikatsbasierten Authentifizierung können Sie Ihre Sicherheitslage verbessern und die Kontinuität des Betriebs gewährleisten.

Vorteile

Die Verwendung einer lokalen Identität mit Key Vault auf Azure Local bietet mehrere Vorteile, insbesondere für Umgebungen, die nicht auf AD angewiesen sind. Im Folgenden finden Sie einige wichtige Vorteile:

• Minimale Edge-Infrastruktur. Für Umgebungen, die kein AD verwenden, bietet die lokale Identität mit Key Vault eine sichere und effiziente Möglichkeit zur Verwaltung von Benutzeridentitäten und Geheimnissen.

• Geheimnisspeicher. Key Vault verwaltet und speichert sicher Geheimnisse wie BitLocker-Schlüssel, Knotenpasswörter und andere sensible Informationen. Dadurch wird das Risiko eines unbefugten Zugriffs verringert und die allgemeine Sicherheitslage gestärkt.

• Behalten Sie eine vereinfachte Verwaltung bei. Durch die Integration mit Key Vault können Unternehmen die Verwaltung von Geheimnissen und Berechtigungsnachweisen rationalisieren. Dazu gehört die Speicherung von Bereitstellungs- und lokalen Identitätsgeheimnissen in einem einzigen Tresor, was die Verwaltung und den Zugriff auf diese Geheimnisse erleichtert.

• Vereinfachte Bereitstellung. Während der Systembereitstellung über das Azure-Portal haben Sie die Möglichkeit, einen mit Key Vault integrierten lokalen Identitätsanbieter auszuwählen. Diese Option rationalisiert den Bereitstellungsprozess, indem sie sicherstellt, dass alle erforderlichen Geheimnisse sicher im Key Vault gespeichert sind. Die Bereitstellung wird effizienter, da die Abhängigkeiten von bestehenden AD-Systemen oder anderen Systemen, auf denen AD läuft und die laufend gewartet werden müssen, reduziert werden. Darüber hinaus vereinfacht dieser Ansatz die Firewall-Konfigurationen für Netzwerke der Betriebstechnologie und erleichtert so die Verwaltung und Sicherung dieser Umgebungen.

Voraussetzungen

Bevor Sie beginnen, stellen Sie sicher, dass Sie:

• Senden Sie eine E-Mail an azurelocalidentity@microsoft.com , um an der begrenzten öffentlichen Vorschau teilzunehmen. Weitere Informationen dazu, wie wir Ihre personenbezogenen Daten während Ihrer Teilnahme an der Vorschau sammeln, verwenden und schützen, finden Sie in den Datenschutzbestimmungen von Microsoft.

• Erfüllen Sie die Voraussetzungen und füllen Sie die Prüfliste für die Bereitstellung aus. Überspringen Sie die AD-spezifischen Voraussetzungen.

• Erstellen Sie ein lokales Benutzerkonto mit denselben Anmeldedaten für alle Knoten und fügen Sie es der lokalen Administratorengruppe hinzu, anstatt das integrierte Administratorkonto zu verwenden.

• Laden Sie die Azure Local Software herunter. Eine Anleitung zum Herunterladen der Azure Local Software wird denjenigen zur Verfügung gestellt, die sich für die Vorschau angemeldet haben.

• Für diese Vorschau benötigen die Knoten statische IP-Adressen und unterstützen DHCP nicht. Nachdem das Betriebssystem installiert wurde, verwenden Sie SConfig, um die statische IP-Adresse, das Subnetz, das Gateway und das DNS festzulegen.

• Sie verfügen über einen DNS-Server mit einer ordnungsgemäß konfigurierten Zone. Diese Einrichtung ist entscheidend für die korrekte Funktion des Netzwerks. Siehe Konfigurieren des DNS-Servers für Azure Local.

Konfigurieren Sie den DNS-Server für Azure Local

Folgen Sie diesen Schritten, um DNS für Azure Local zu konfigurieren:

1. Erstellen und Konfigurieren des DNS-Servers.

   Richten Sie Ihren DNS-Server ein, wenn Sie noch keinen haben. Dies kann mit Windows Server DNS oder einer anderen DNS-Lösung geschehen.

2. Erstellen Sie DNS-Host-A-Einträge.

   Erstellen Sie für jeden Knoten in Ihrer Azure Local-Instanz einen DNS Host A-Eintrag. Dieser Eintrag ordnet den Hostnamen des Knotens seiner IP-Adresse zu und ermöglicht es anderen Geräten im Netzwerk, den Knoten zu finden und mit ihm zu kommunizieren.

   Erstellen Sie außerdem einen DNS Host A-Eintrag für das System selbst. Dieser Eintrag sollte die erste IP-Adresse aus dem Netzwerkbereich verwenden, den Sie dem System zugewiesen haben.

3. Überprüfen Sie DNS-Einträge.

   Um zu überprüfen, ob die DNS-Einträge für einen bestimmten Rechner korrekt eingerichtet sind, führen Sie den folgenden Befehl aus:

   nslookup "machine name"
   

4. Einrichten der DNS-Weiterleitung.

   Konfigurieren Sie die DNS-Weiterleitung auf Ihrem DNS-Server, um DNS-Anforderungen nach Bedarf an Azure DNS oder einen anderen externen DNS-Anbieter weiterzuleiten.

5. Aktualisieren der Netzwerkeinstellungen.

   Aktualisieren Sie die Netzwerkeinstellungen auf Ihren Azure Local-Knoten, um den von Ihnen konfigurierten DNS-Server zu verwenden. Dies kann über die Einstellungen des Netzwerkadapters oder über PowerShell-Befehle erfolgen.

6. Überprüfen Sie die DNS-Konfiguration.

   Testen Sie die DNS-Konfiguration, um sicherzustellen, dass DNS-Anforderungen korrekt aufgelöst werden. Sie können Tools wie nslookup oder dig verwenden, um die DNS-Auflösung zu überprüfen.

7. Richten Sie den Registrierungsschlüssel auf jedem Knoten ein.

   Legen Sie auf jedem Knoten einen Registrierungsschlüssel mit dem Zonennamen/FQDN fest. Führen Sie den folgenden Befehl aus:

   $zoneName = "replace.with.your.zone.name.here" 
   $RegistryPath = 'HKLM:\SYSTEM\CurrentControlSet\services\Tcpip\Parameters' 
   Set-ItemProperty -Path $RegistryPath -Name 'Domain' -Value $zoneName
   

8. Starten Sie das Betriebssystem auf den lokalen und entfernten Rechnern mit folgendem Befehl neu:

   Restart-Computer
   

Bereitstellen von Azure Local über das Portal unter Verwendung einer lokalen Identität mit Key Vault

Während der Bereitstellung über das Azure-Portal haben Sie die Möglichkeit, einen lokalen, in Key Vault integrierten Identitätsanbieter auszuwählen. So können Sie eine lokale Identität mit Key Vault verwenden, um Geheimnisse sicher zu verwalten und zu speichern, anstatt sich für die Authentifizierung auf AD zu verlassen.

Die allgemeinen Bereitstellungsschritte entsprechen denen, die im Bereitstellen eines lokalen Azure-Systems mithilfe des Azure-Portals beschrieben sind. Wenn Sie jedoch lokale Identität mit Key Vault verwenden, müssen Sie bestimmte Schritte auf den Registerkarten "Netzwerk und Verwaltung " ausführen.

Registerkarte „Netzwerk“

• Geben Sie die IM Abschnitt "Konfigurieren von DNS für Azure Local " konfigurierten DNS-Serverdetails an.

  

Registerkarte „Verwaltung“

1. Wählen Sie die Option "Lokale Identität mit Azure Key Vault " aus.

2. Um einen neuen Schlüsseltresor zu erstellen, wählen Sie "Neuen Schlüsseltresor erstellen" aus. Geben Sie die erforderlichen Details im rechten Kontextbereich ein, und wählen Sie dann "Erstellen" aus.

3. Geben Sie im Schlüsseltresornamen den neuen Schlüsseltresornamen ein.

   

Schritte nach der Bereitstellung

Stellen Sie nach der Bereitstellung des Systems sicher, dass die Bereitstellung ohne AD erfolgt ist, und überprüfen Sie, ob die Geheimnisse in Key Vault gesichert werden.

Bestätigen Sie, dass das System ohne Active Directory bereitgestellt wurde

Bestätigen Sie nach der Bereitstellung des Systems, dass die Bereitstellung ohne AD (ohne Active Directory) erfolgt ist.

1. Stellen Sie sicher, dass der Knoten nicht mit einer AD-Domäne verbunden ist, indem Sie den folgenden Befehl ausführen. Wenn die Ausgabe WORKGROUPanzeigt, ist der Knoten nicht domain-joined.

   Get-WmiObject Win32_ComputerSystem.Domain
   

   Hier ist eine Beispielausgabe:

   [host]: PS C:\Users\LocalAdmin\Documents> (Get-WmiObject Win32_ComputerSystem).Domain 
   WORKGROUP
   

2. Überprüfen Sie, ob ein Cluster ein Workgroup-Cluster ist, das ohne AD funktioniert. Führen Sie den folgenden Befehl aus und überprüfen Sie den Wert des Parameters ADAware :

   Get-ClusterResource "Cluster Name" | Get-ClusterParameter ADAware 
   
   Object       Name    Value Type 
   
   ------       ----    ----- ---- 
   
   ClusterName  ADAware  2    UInt32 
   
   For ADAware property, 0 = None, 1 = AD, 2 = DNS (AD'less) only.
   

Überprüfen, ob geheime Schlüssel in Key Vault gesichert werden

BitLocker-Schlüssel und Wiederherstellungspasswörter für Administratoren werden sicher auf Azure gesichert und rotiert, um maximale Sicherheit zu gewährleisten.

In Szenarien, in denen AD nicht verfügbar ist, können Sie einen speziellen Wiederherstellungsadministrator verwenden, um das System wiederherzustellen. Der für diesen Zweck vorgesehene Benutzername lautet RecoveryAdmin. Das zugehörige Kennwort kann sicher aus dem Azure Key Vault abgerufen werden. Damit ist sichergestellt, dass Sie über die erforderlichen Anmeldeinformationen verfügen, um Systemwiederherstellungsvorgänge effektiv durchzuführen.

Dadurch wird sichergestellt, dass alle wichtigen Informationen sicher gespeichert sind und bei Bedarf leicht abgerufen werden können. Dies bietet eine zusätzliche Ebene der Sicherheit und Zuverlässigkeit für unsere Infrastruktur.

Schlüsseltresor auf Azure Local aktualisieren

Um die Backup-Konfiguration zu aktualisieren und einen neuen Key Vault zu verwenden, müssen Sie Ihr System mit den neuen Key Vault-Informationen patchen.

Führen Sie diese Schritte aus, um Ihre Backup-Schlüsseltresor-Konfiguration eines Systems zu aktualisieren und einen neuen Schlüsseltresor zu verwenden:

1. Beginnen Sie mit der Erstellung eines neuen Key Vault im Azure-Portal. Stellen Sie sicher, dass es für die Speicherung von Backup-Geheimnissen konfiguriert ist.

2. Richten Sie die entsprechenden Zugriffskontrollen für den neuen Key Vault ein. Dazu gehört auch die Gewährung der erforderlichen Berechtigungen für die Knotenidentität. Stellen Sie sicher, dass Ihrem Schlüsseltresor die Rolle Schlüsseltresor-Geheimnisverwaltung zugewiesen ist. Anweisungen finden Sie unter Bereitstellen des Zugriffs auf Schlüsseltresorschlüssel, Zertifikate und geheime Schlüssel mit einer rollenbasierten Azure-Zugriffssteuerung.

   

3. Aktualisieren Sie die Systemkonfiguration.

   Verwenden Sie eine POST-Anforderung, um die Clusterkonfiguration mit den neuen Key Vault-Details zu aktualisieren. Dazu müssen Sie eine Anforderung an den folgenden API-Endpunkt senden:

   API Spec:
   API Version: 2024-07-01-preview
   API Path: /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.AzureStackHCI/clusters/{clusterName}/updateSecretsLocations
   Payload:
   {
   "properties": {
       "secretsType": "BackupSecrets",
       "secretsLocation": "https://hcikeyvaulttestingnew.vault.azure.net/"
   }
   }
   

4. Überprüfen Sie die Konfiguration. Öffnen Sie im Azure-Portal die Systemressource, und stellen Sie sicher, dass "Resource JSON " die aktualisierten Key Vault-Details enthält.

   Hier ist ein Beispielfoto von Resource JSON , in dem Sie den Key Vault aktualisieren können:

   

5. Überprüfen Sie die geheimen Schlüssel im neuen Schlüsseltresor. Stellen Sie sicher, dass alle Backup-Geheimnisse ordnungsgemäß im neuen Key Vault gespeichert sind.

6. Bereinigen Sie den alten Schlüsseltresor. Der alte Schlüsseltresor und die geheimen Schlüssel werden nicht automatisch gelöscht. Nachdem Sie sich vergewissert haben, dass der neue Schlüsseltresor korrekt konfiguriert ist und alle Geheimnisse wie erwartet gespeichert werden, können Sie den alten Schlüsseltresor bei Bedarf löschen.

Wiederherstellen eines gelöschten Key Vault und Wiederaufnahme des Backups

Wenn Sie einen Key Vault löschen und anschließend wiederherstellen, ist die verwaltete Identität, die zuvor Zugriff auf den Key Vault hatte, auf folgende Weise betroffen:

• Entzug des verwalteten Identitätszugriffs. Während des Löschvorgangs werden der verwalteten Identität die Zugriffsberechtigungen auf den Key Vault entzogen. Das bedeutet, dass die Identität nicht mehr zum Zugriff auf den Key Vault berechtigt ist.
• Scheitern von Verlängerungsoperationen. Die Erweiterung für die Sicherung von Schlüsseltresoren, die für die Verwaltung geheimer Sicherungen verantwortlich ist, basiert auf der verwalteten Identität für den Zugriff. Wenn die Zugriffsrechte entzogen wurden, kann die Erweiterung keine Backup-Vorgänge durchführen.
• Status der Erweiterung im Azure-Portal. Im Azure-Portal wird der Status der Erweiterung als fehlgeschlagen angezeigt, der angibt, dass die Erweiterung geheime Schlüssel aufgrund des Verlusts der erforderlichen Berechtigungen nicht sichern kann.

Um das Problem der fehlgeschlagenen Erweiterung zu beheben und den normalen Backup-Betrieb wiederherzustellen, führen Sie die folgenden Schritte aus:

1. Weisen Sie den verwalteten Identitätszugriff neu zu.

   1. Bestimmen Sie die verwaltete Identität, die Zugriff auf den Key Vault benötigt.
   2. Weisen Sie die Rolle Schlüsseltresor-Geheimnisverwaltung der verwalteten Identität erneut zu.

2. Überprüfen Sie die Funktionalität der Erweiterung.

   1. Überwachen Sie nach der Neuzuweisung den Erweiterungsstatus im Azure-Portal, um sicherzustellen, dass sie von "Fehlgeschlagen" in "Erfolgreich" geändert wurde. Dies zeigt an, dass die Erweiterung die erforderlichen Berechtigungen wiedererlangt hat und nun ordnungsgemäß funktioniert.
   2. Testen Sie die Backup-Vorgänge, um sicherzustellen, dass die Geheimnisse korrekt gesichert werden und der Backup-Prozess wie erwartet funktioniert.

Nächste Schritte

• Wenn Sie während der Bereitstellung keine Workloadvolumes erstellt haben, erstellen Sie Workloadvolumes und Speicherpfade für jedes Volume. Ausführliche Informationen finden Sie unter Erstellen von Volumes in Azure Local- und Windows Server-Clustern und Erstellen des Speicherpfads für Azure Local.
• Support für Lokale Azure-Bereitstellungsprobleme erhalten