Déployer Azure Local à l’aide d’une identité locale avec Azure Key Vault (préversion)

Cet article explique comment utiliser l’identité locale avec Azure Key Vault pour le déploiement local Azure.

Important

Cette fonctionnalité est actuellement en PRÉVERSION. Pour connaître les conditions juridiques qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou plus généralement non encore en disponibilité générale, consultez l’Avenant aux conditions d’utilisation des préversions de Microsoft Azure.

Vue d’ensemble

Outre le déploiement basé sur Active Directory (AD), Azure Local prend en charge le déploiement par le biais d’une identité locale avec Azure Key Vault, précédemment appelé déploiement sans AD.

Avec l’identité locale à l’aide d’un compte d’administrateur local, le processus de déploiement configure l’intégration au niveau du cluster avec l’authentification basée sur un certificat. Cette configuration garantit la communication sécurisée pendant le déploiement et les opérations en cours.

Dans le cadre de cette configuration, un coffre de clés Azure dans le cloud Azure est provisionné pendant le déploiement pour servir de sauvegarde sécurisée pour les secrets locaux Azure, y compris les clés BitLocker et d’autres données de configuration critiques.

Avantages

L’utilisation de l’identité locale avec Key Vault sur Azure Local offre plusieurs avantages, en particulier pour les environnements qui ne s’appuient pas sur AD. Voici quelques-uns des principaux avantages :

• Infrastructure de périphérie minimale. Pour les environnements qui n’utilisent pas AD, l’identité locale avec Key Vault offre un moyen sécurisé et efficace de gérer les identités utilisateur et les secrets.

• Magasin des secrets. Key Vault gère et stocke en toute sécurité les secrets, tels que les clés BitLocker, les mots de passe de nœud et d’autres informations sensibles. Cela réduit le risque d’accès non autorisé et améliore la posture globale de sécurité.

• Maintenez une gestion simplifiée. En intégrant Key Vault, les organisations peuvent simplifier la gestion des secrets et des informations d’identification. Cela inclut le stockage des secrets d’identité locale et de déploiement dans un coffre unique, ce qui facilite la gestion et l’accès à ces secrets.

• Déploiement simplifié. Pendant le déploiement du système via le Portail Azure, vous avez la possibilité de sélectionner un fournisseur d’identité local intégré à Key Vault. Cette option simplifie le processus de déploiement en veillant à ce que tous les secrets nécessaires soient stockés en toute sécurité dans Key Vault. Le déploiement devient plus efficace en réduisant les dépendances des systèmes AD existants ou d’autres systèmes qui exécutent AD, ce qui nécessite une maintenance continue. En outre, cette approche simplifie les configurations de pare-feu pour les réseaux de technologie opérationnelle, ce qui facilite la gestion et la sécurisation de ces environnements.

Prérequis

• Remplissez les conditions préalables et remplissez la liste de contrôle de déploiement. Ignorez les prérequis spécifiques à AD.

• Créez un compte d’utilisateur local avec les mêmes informations d’identification sur tous les nœuds et ajoutez-le au groupe administrateurs local, au lieu d’utiliser le compte d’administrateur intégré.

• Créez un compte d’administrateur local avec des informations d’identification identiques sur chaque nœud du cluster. Cette exigence garantit que les opérations d’ajout et de réparation des nœuds peuvent s’authentifier et s’exécuter correctement sur tous les nœuds. Pour obtenir des instructions, consultez Ajouter un nœud et réparer un nœud.

• Téléchargez le logiciel local Azure. Consultez Télécharger le système d’exploitation pour le déploiement local Azure.

• Les nœuds nécessitent des adresses IP statiques et ne prennent pas en charge DHCP. Une fois le système d’exploitation installé, utilisez SConfig pour définir l’adresse IP statique, le sous-réseau, la passerelle et LE DNS.

• Disposer d’un serveur DNS avec une zone correctement configurée. Cette configuration est cruciale pour que le réseau fonctionne correctement. Consultez Configurer le serveur DNS pour Azure Local.

Configurer le serveur DNS pour Azure Local

Procédez comme suit pour configurer DNS pour Azure Local :

1. Créez et configurez le serveur DNS.

   Configurez votre serveur DNS si vous n’en avez pas déjà. Cette opération peut être effectuée à l’aide du DNS Windows Server ou d’une autre solution DNS.

2. Créez des enregistrements A de l’hôte DNS.

   Pour chaque nœud de votre instance Azure Local, créez un enregistrement d'hôte DNS de type A. Cet enregistrement mappe le nom d’hôte du nœud à son adresse IP, ce qui permet à d’autres appareils sur le réseau de localiser et de communiquer avec le nœud.

   Créez aussi un enregistrement A de l’hôte DNS pour le système lui-même. Cet enregistrement doit utiliser la première adresse IP de la plage réseau que vous avez allouée pour le système.

3. Vérifiez les enregistrements DNS.

   Pour vérifier que les enregistrements DNS d’un ordinateur spécifique sont correctement configurés, exécutez la commande suivante :

   nslookup "machine name"
   

4. Configurez le transfert DNS.

   Configurez le transfert DNS sur votre serveur DNS pour transférer des requêtes DNS vers Azure DNS ou un autre fournisseur DNS externe en fonction des besoins.

5. Mettez à jour les paramètres réseau.

   Mettez à jour les paramètres réseau sur vos nœuds locaux Azure pour utiliser le serveur DNS que vous avez configuré. Cela peut être effectué via les paramètres de la carte réseau ou à l’aide de commandes PowerShell.

6. Vérifiez la configuration DNS.

   Testez la configuration DNS pour vous assurer que les requêtes DNS sont correctement résolues. Vous pouvez utiliser des outils tels que nslookup ou dig pour vérifier la résolution DNS.

7. Redémarrez le système d’exploitation sur des ordinateurs locaux et distants à l’aide de la commande suivante :

   Restart-Computer
   

Déployer Azure Local via le portail à l’aide de l’identité locale avec Key Vault

Pendant le déploiement via le Portail Azure, vous avez la possibilité de sélectionner un fournisseur d’identité local intégré à Key Vault. Cela vous permet d’utiliser une identité locale avec Key Vault pour gérer et stocker en toute sécurité les secrets au lieu d’utiliser AD pour l’authentification.

Les étapes de déploiement générales sont les mêmes que celles décrites dans Déployer un système local Azure à l’aide du portail Azure. Toutefois, lors de l’utilisation de l’identité locale avec Key Vault, vous devez effectuer des étapes spécifiques sous les onglets Mise en réseau et gestion .

Onglet Réseau

• Fournissez un nom de zone (domaine) valide pour établir un espace de noms DNS privé faisant autorité pour le cluster. Ce domaine doit être résolu en interne (pour les hôtes et charges de travail internes uniquement) ou en externe (pour les hôtes et charges de travail disponibles publiquement) en fonction des exigences de visibilité de votre cluster.

• Fournissez les détails du serveur DNS configurés dans la section Configurer DNS pour Azure Local .

  

Onglet Gestion

1. Sélectionnez l’identité locale avec l’option Azure Key Vault .

2. Pour créer un coffre de clés, sélectionnez Créer un coffre de clés. Entrez les détails requis dans le volet contextuel droit, puis sélectionnez Créer.

3. Dans le nom du coffre de clés, entrez le nouveau nom du coffre de clés. Vous devez créer un coffre de clés par cluster.

   

Étapes de post-déploiement

Après le déploiement du système, confirmez que le déploiement s'est fait sans AD et vérifiez que les secrets sont sauvegardés dans Key Vault.

Vérifiez que le système a été déployé sans Active Directory

Après avoir déployé le système, vérifiez que le déploiement était sans AD.

1. Vérifiez que le nœud n’est pas joint à un domaine AD en exécutant la commande suivante. Si la sortie s’affiche WORKGROUP, le nœud n’est pas joint au domaine.

   Get-WmiObject Win32_ComputerSystem.Domain
   

   Voici un exemple de sortie :

   [host]: PS C:\Users\LocalAdmin\Documents> (Get-WmiObject Win32_ComputerSystem).Domain 
   WORKGROUP
   

2. Vérifiez qu’un cluster est un cluster de groupe de travail fonctionnel sans AD. Exécutez la commande suivante et vérifiez la valeur du ADAware paramètre :

   Get-ClusterResource "Cluster Name" | Get-ClusterParameter ADAware 
   
   Object       Name    Value Type 
   
   ------       ----    ----- ---- 
   
   ClusterName  ADAware  2    UInt32 
   
   For ADAware property, 0 = None, 1 = AD, 2 = Local Identity
   

Vérifier que les secrets sont sauvegardés dans Key Vault

Les clés BitLocker et les mots de passe d’administrateur de récupération sont sauvegardés en toute sécurité sur Azure et sont renouvelés pour garantir une sécurité maximale.

Dans les scénarios où AD n’est pas disponible, vous pouvez utiliser un utilisateur administrateur de récupération dédié pour restaurer le système. Le nom d’utilisateur désigné à cet effet est RecoveryAdmin. Le mot de passe correspondant peut être récupéré en toute sécurité à partir d’Azure Key Vault, en vous assurant que vous disposez des informations d’identification nécessaires pour effectuer efficacement les opérations de récupération du système.

Cela garantit que toutes les informations critiques sont stockées en toute sécurité et peuvent être facilement récupérées si nécessaire, fournissant une couche supplémentaire de sécurité et de fiabilité pour notre infrastructure.

Alertes pour l’extension Key Vault dans Azure Local

Azure Local utilise l’extension Key Vault pour stocker et gérer en toute sécurité les secrets. Pour garantir la fiabilité et la sécurité, le système surveille en permanence l’intégrité de l’intégration de Key Vault. Si des problèmes sont détectés, les alertes sont générées et exposées automatiquement via Azure Monitor pour la visibilité et la réponse.

Les alertes sont envoyées via la passerelle Alertes Azure et peuvent être consultées dans le portail Azure sous Surveiller>les alertes. Vous pouvez configurer des groupes d’actions pour recevoir des notifications par e-mail, SMS ou webhook. Pour plus d’informations, consultez Qu’est-ce que les alertes Azure Monitor ?

Le tableau suivant décrit les alertes disponibles, leur impact et l’action recommandée à résoudre.

Alerts	Descriptif	Impact	Action recommandée
KeyVaultN'existePas	Le coffre de clés spécifié n’existe pas.	Un coffre de clés est nécessaire pour sauvegarder et stocker les secrets en toute sécurité. Sans cela, les opérations de sauvegarde secrète échouent.	- Vérifiez que la ressource Key Vault existe dans votre abonnement Azure. - Vérifiez que le nom et le groupe de ressources Key Vault correspondent à la configuration de votre déploiement. - Si le coffre de clés a été supprimé, recréez-le et mettez à jour la configuration.
KeyVaultAccess	Un ou plusieurs nœuds de cluster n’ont pas pu accéder au coffre de clés.	Si les nœuds ne peuvent pas accéder au coffre de clés, les opérations qui nécessitent une récupération ou une sauvegarde du secret peuvent échouer.	- Vérifiez la connectivité réseau entre les nœuds du cluster et le point de terminaison Key Vault. - Vérifiez que le pare-feu et les stratégies d’accès Key Vault permettent aux nœuds de cluster de se connecter. - Vérifiez que l’identité managée ou le principal de service utilisé par le cluster dispose des autorisations requises (telles que Get, List et Backup). En outre, l’identité managée associée aux nœuds (ressources Arc for Server) doit être affectée au rôle Key Vault Secrets Officer sur le Key Vault.

Mettre à jour Key Vault sur Azure Local

Procédez comme suit pour mettre à jour la configuration de sauvegarde afin d’utiliser un nouveau coffre de clés :

1. Créez un coffre de clés dans le portail Azure. Configurez-le pour stocker les secrets de sauvegarde.

2. Configurez les contrôles d’accès pour le nouveau coffre de clés. Cela inclut l’octroi d’autorisations nécessaires à l’identité de nœud. Vérifiez que votre coffre de clés a le rôle Responsable des secrets Key Vault. Pour obtenir les instructions correspondantes, consultez l’article Donner accès aux clés, certificats et secrets du coffre de clés avec un contrôle d’accès en fonction du rôle Azure.

   

3. Mettez à jour la configuration système. Utilisez une requête POST pour mettre à jour la configuration du cluster avec les nouveaux détails du coffre de clés. Vous devez avoir le rôle Administrateur Azure Stack HCI attribué pour exécuter l’API POST. Pour plus d’informations, consultez Utiliser le contrôle d’accès en fonction du rôle pour gérer les machines virtuelles locales Azure activées par Azure Arc.

   1. Exécutez la commande suivante pour vous connecter à votre abonnement Azure :

      Connect-AzAccount
      

   2. Exécutez la commande suivante pour vérifier le contexte de votre abonnement :

      Get-AzContext
      

   3. Une fois authentifié, utilisez l’applet Invoke-AzRestMethod de commande pour envoyer la requête POST. Cela met à jour le cluster avec le nouvel emplacement Key Vault.

   Voici un exemple de sortie :

   Invoke-AzRestMethod -Path "/subscriptions/<subscriptionId>/resourceGroups/<resourceGroupName>/providers/Microsoft.AzureStackHCI/clusters/<clusterName>/updateSecretsLocations" -Method POST -Payload
   { 
   "properties": {
       "secretsType": "BackupSecrets",
       "secretsLocation": "https://hcikeyvaulttestingnew.vault.azure.net/"
                 }
   } # Response: 200 OK
   

4. Validez la configuration. Dans le portail Azure, ouvrez la ressource système et vérifiez que Resource JSON inclut les détails de Key Vault mis à jour.

   Voici un exemple de capture d’écran de Resource JSON dans lequel vous pouvez mettre à jour le coffre de clés :

   

5. Vérifiez les secrets dans le nouveau coffre de clés. Vérifiez que tous les secrets de sauvegarde sont correctement stockés dans le nouveau coffre de clés.

6. Nettoyez l’ancien coffre de clés. L’ancien coffre de clés et ses secrets ne sont pas supprimés automatiquement. Après avoir vérifié que le nouveau coffre de clés est configuré correctement, vous pouvez supprimer l’ancien coffre de clés si nécessaire.

Récupérer un coffre de clés supprimé et reprendre la sauvegarde

Lorsque vous supprimez et récupérez par la suite un coffre de clés, l’identité managée qui avait précédemment accès au coffre de clés est affectée de la manière suivante :

• Révocation de l’accès aux identités managées. Pendant le processus de suppression, les autorisations d’accès de l’identité managée au coffre de clés sont révoquées. Cela signifie que l’identité n’a plus l’autorisation d’accéder au Key Vault.
• Échec des opérations d’extension. L’extension de coffre de clés de sauvegarde responsable de la gestion des sauvegardes secrètes s’appuie sur l’identité managée pour l’accès. Avec les autorisations d’accès révoquées, l’extension ne peut pas effectuer d’opérations de sauvegarde.
• État de l’extension dans le Portail Azure. Dans le Portail Azure, l’état de l’extension s’affiche comme Ayant échoué, indiquant que l’extension ne peut pas sauvegarder les secrets en raison de la perte d’autorisations nécessaires.

Pour résoudre et résoudre le problème de l’extension ayant échoué et restaurer les opérations de sauvegarde normales, procédez comme suit :

1. Réaffectez l’accès aux identités managées.

   1. Déterminez l’identité managée qui nécessite l’accès au coffre de clés.
   2. Réaffectez le rôle Responsable des secrets Key Vault à l’identité managée.

2. Vérifiez la fonctionnalité d’extension.

   1. Après la réaffectation, surveillez l’état de l’extension dans le Portail Azure pour vous assurer qu’elle passe de l’échec à la réussite. Cela indique que l’extension a récupéré les autorisations nécessaires et fonctionne maintenant correctement.
   2. Testez les opérations de sauvegarde pour vous assurer que les secrets sont sauvegardés correctement et que le processus de sauvegarde fonctionne comme prévu.

Compatibilité des outils dans les environnements locaux Azure configurés avec Azure Key Vault

La prise en charge des outils dans les environnements locaux Azure configurés avec Azure Key Vault pour la gestion des identités varie dans l’écosystème. Utilisez les conseils suivants pour planifier et fonctionner efficacement dans ces configurations.

Outils pris en charge

• PowerShell. Entièrement pris en charge pour les environnements d’identité basés sur AD et Azure Key Vault. PowerShell est l’interface principale pour la gestion et l’automatisation des clusters locaux Azure entre les configurations d’identité.

• Azure Monitor. Permet de surveiller l’intégrité et les performances des hôtes et des machines virtuelles. L’intégration à Azure Monitor permet une visibilité de l’intégrité du système, des alertes et des données de télémétrie.

• Portail Azure. Supporté pour la gestion des clusters locaux d'Azure.

Outils de support non pris en charge ou limités

• Windows Admin Center Non pris en charge dans les environnements d’identité basés sur Azure Key Vault. Vous devez utiliser PowerShell ou d’autres outils pris en charge pour les tâches d’administration.
• System Center Virtual Machine Manager (SCVMM). Il est prévu d’avoir une prise en charge limitée ou inexistante dans les environnements d’identité basés sur Azure Key Vault. Validez des cas d’usage spécifiques avant de vous appuyer sur SCVMM.

Compatibilité mixte

• Consoles de gestion Microsoft (MMC). La compatibilité varie. Les outils tels que Hyper-V Manager et Le Gestionnaire du cluster de basculement peuvent ne pas être fonctionnels dans tous les scénarios. Testez les flux de travail critiques avant de vous appuyer sur des MMC pour une utilisation en production.

Questions fréquentes (FAQ)

Cette section fournit des réponses à certaines questions fréquemment posées sur l’utilisation de l’identité locale avec Key Vault.

Que faire si l’extension Secrets de sauvegarde Azure Key Vault n’a pas été installée pendant le déploiement

Si l’extension n’a pas été installée pendant le déploiement, vous pouvez l’installer manuellement sur des serveurs avec Arc en procédant comme suit :

1. Créez un coffre de clés Azure si vous n’en avez pas déjà. Pour obtenir des instructions, consultez Démarrage rapide : Créer un coffre de clés à l’aide du portail Azure.

2. Dans la page Key Vault, accédez au contrôle d’accès (IAM)>Ajouter une attribution de rôle.

   1. Sous l’onglet Rôle , sélectionnez Agent des secrets Key Vault.
   2. Sous l’onglet Membres , sélectionnez Identité managée et ajoutez le cluster local Azure en tant que membre.
   3. Sélectionnez Vérifier + attribuer pour terminer l’attribution du rôle.

3. Vérifiez que l’attribution de rôle apparaît sous l’onglet Attributions de rôles .

4. Accédez à votre cluster local Azure et notez les noms des machines Arc.

5. Exécutez le script PowerShell suivant pour installer l’extension sur les machines Arc :

   # Login to Azure
   Connect-AzAccount
   $ResourceGroup = "<Resource Group>"
   $ResourceLocation = "<Location>"
   $KeyVaultUri = "<URL of Azure Key Vault>"
   $ArcMachines = @("v-host1", "v-host2", "v-host3", "v-host4")
   foreach ($MachineName in $ArcMachines) {
   New-AzConnectedMachineExtension `
   -Name AzureEdgeAKVBackupForWindows `
   -ResourceGroupName $ResourceGroup `
   -Location $ResourceLocation `
   -MachineName $MachineName `
   -Publisher Microsoft.Edge.Backup `
   -ExtensionType AKVBackupForWindows `
   -Setting @{KeyVaultUrl = $KeyVaultUri; UseClusterIdentity = $true}
   }
   

6. Vérifiez l’état de l’extension dans le portail Azure pour vous assurer qu’elle a été installée correctement.

Étapes suivantes

• Si vous n’avez pas créé de volumes de charge de travail pendant le déploiement, créez des volumes de charge de travail et des chemins de stockage pour chaque volume. Pour plus d’informations, consultez Créer des volumes sur des clusters Azure Local et Windows Server et Créer un chemin de stockage pour Azure Local.
• Obtenir la prise en charge des problèmes de déploiement local Azure