Azure Stack Hub virtuális gép üzembe helyezése a Key Vault-ben tárolt jelszóval

Ez a cikk egy Windows Server rendszerű virtuális gép üzembe helyezését ismerteti az Azure Stack Hub Key Vault tárolt jelszó használatával. A kulcstartó jelszavának használata biztonságosabb, mint egy egyszerű szöveges jelszó átadása.

Áttekintés

Egy Azure Stack Hub-kulcstartóban tárolhat értékeket, például jelszót titkos kódként. Miután létrehozott egy titkos kulcsot, hivatkozhat rá az Azure Resource Manager-sablonokban. A titkos kódok használata Resource Manager a következő előnyökkel jár:

• Az erőforrások üzembe helyezésekor nem kell manuálisan megadnia a titkos kódot.
• Megadhatja, hogy mely felhasználók vagy szolgáltatásnevek férhetnek hozzá a titkos kódokhoz.

Előfeltételek

• Elő kell iratkoznia egy ajánlatra, amely tartalmazza a Key Vault szolgáltatást.
• Telepítse az Azure Stack Hubhoz készült PowerShellt.
• Konfigurálja a PowerShell-környezetet.

A következő lépések ismertetik a virtuális gép létrehozásához szükséges folyamatot egy Key Vault tárolt jelszó lekérésével:

1. Hozzon létre egy Key Vault titkos kulcsot.
2. Frissítse a azuredeploy.parameters.json fájlt.
3. A sablon üzembe helyezése.

Megjegyzés

Ezeket a lépéseket az Azure Stack Development Kitből (ASDK) vagy egy külső ügyfélből is használhatja, ha VPN-en keresztül csatlakozik.

Key Vault titkos kód létrehozása

A következő szkript létrehoz egy kulcstartót, és titkos kódként tárolja a jelszót a kulcstartóban. Használja a paramétert -EnabledForDeployment a kulcstartó létrehozásakor. Ez a paraméter biztosítja, hogy a kulcstartó az Azure Resource Manager-sablonokból hivatkozható legyen.

Az modulok

$vaultName = "contosovault"
$resourceGroup = "contosovaultrg"
$location = "local"
$secretName = "MySecret"

New-AzResourceGroup `
  -Name $resourceGroup `
  -Location $location

New-AzKeyVault `
  -VaultName $vaultName `
  -ResourceGroupName $resourceGroup `
  -Location $location
  -EnabledForTemplateDeployment

$secretValue = ConvertTo-SecureString -String '<Password for your virtual machine>' -AsPlainText -Force

Set-AzureKeyVaultSecret `
  -VaultName $vaultName `
  -Name $secretName `
  -SecretValue $secretValue

AzureRM-modulok

$vaultName = "contosovault"
$resourceGroup = "contosovaultrg"
$location = "local"
$secretName = "MySecret"

New-AzureRMResourceGroup `
  -Name $resourceGroup `
  -Location $location

New-AzureRMKeyVault `
  -VaultName $vaultName `
  -ResourceGroupName $resourceGroup `
  -Location $location
  -EnabledForTemplateDeployment

$secretValue = ConvertTo-SecureString -String '<Password for your virtual machine>' -AsPlainText -Force

Set-AzureKeyVaultSecret `
  -VaultName $vaultName `
  -Name $secretName `
  -SecretValue $secretValue

Az előző szkript futtatásakor a kimenet tartalmazza a titkos URI-t (egységes erőforrás-azonosító). Jegyezze fel ezt az URI-t. Erre a Windows rendszerű virtuális gép központi telepítése jelszóval a Key Vault-sablonban című témakörben kell hivatkoznia. Töltse le a 101-vm-secure-password mappát a fejlesztői számítógépre. Ez a mappa tartalmazza a és azuredeploy.parameters.json a azuredeploy.json fájlokat, amelyekre a következő lépésekben szüksége lesz.

Módosítsa a fájlt a azuredeploy.parameters.json környezeti értékek szerint. A különleges érdeklődésre számot tartó paraméterek a tároló neve, a tároló erőforráscsoportja és a titkos URI (az előző szkript által generált). Az alábbi fájl egy paraméterfájlra mutat példát.

Az azuredeploy.parameters.json fájl frissítése

Frissítse a fájlt a azuredeploy.parameters.json keyVault URI, secretName és adminUsername értékekkel a környezetének megfelelően. A következő JSON-fájl egy példát mutat be a sablonparaméter-fájlra:

{
    "$schema":  "https://schema.management.azure.com/schemas/2015-01-01/deploymentParameters.json#",
    "contentVersion":  "1.0.0.0",
    "parameters":  {
       "adminUsername":  {
         "value":  "demouser"
          },
       "adminPassword":  {
         "reference":  {
            "keyVault":  {
              "id":  "/subscriptions/xxxxxx/resourceGroups/RgKvPwd/providers/Microsoft.KeyVault/vaults/KvPwd"
              },
            "secretName":  "MySecret"
         }
       },
       "dnsLabelPrefix":  {
          "value":  "mydns123456"
        },
        "windowsOSVersion":  {
          "value":  "2016-Datacenter"
        }
    }
}

Sablonalapú telepítés

Most helyezze üzembe a sablont a következő PowerShell-szkript használatával:

Az modulok

New-AzResourceGroupDeployment `
  -Name KVPwdDeployment `
  -ResourceGroupName $resourceGroup `
  -TemplateFile "<Fully qualified path to the azuredeploy.json file>" `
  -TemplateParameterFile "<Fully qualified path to the azuredeploy.parameters.json file>"

AzureRM-modulok

New-AzureRMResourceGroupDeployment `
  -Name KVPwdDeployment `
  -ResourceGroupName $resourceGroup `
  -TemplateFile "<Fully qualified path to the azuredeploy.json file>" `
  -TemplateParameterFile "<Fully qualified path to the azuredeploy.parameters.json file>"

A sablon sikeres üzembe helyezése a következő kimenetet eredményezi:

Következő lépések

• Mintaalkalmazás üzembe helyezése Key Vault
• Virtuális gép üzembe helyezése Key Vault tanúsítvánnyal