Azure Stack Hub virtuális gép üzembe helyezése a Key Vault-ben tárolt jelszóval
Ez a cikk egy Windows Server rendszerű virtuális gép üzembe helyezését ismerteti az Azure Stack Hub Key Vault tárolt jelszó használatával. A kulcstartó jelszavának használata biztonságosabb, mint egy egyszerű szöveges jelszó átadása.
Áttekintés
Egy Azure Stack Hub-kulcstartóban tárolhat értékeket, például jelszót titkos kódként. Miután létrehozott egy titkos kulcsot, hivatkozhat rá az Azure Resource Manager-sablonokban. A titkos kódok használata Resource Manager a következő előnyökkel jár:
- Az erőforrások üzembe helyezésekor nem kell manuálisan megadnia a titkos kódot.
- Megadhatja, hogy mely felhasználók vagy szolgáltatásnevek férhetnek hozzá a titkos kódokhoz.
Előfeltételek
- Elő kell iratkoznia egy ajánlatra, amely tartalmazza a Key Vault szolgáltatást.
- Telepítse az Azure Stack Hubhoz készült PowerShellt.
- Konfigurálja a PowerShell-környezetet.
A következő lépések ismertetik a virtuális gép létrehozásához szükséges folyamatot egy Key Vault tárolt jelszó lekérésével:
- Hozzon létre egy Key Vault titkos kulcsot.
- Frissítse a
azuredeploy.parameters.jsonfájlt. - A sablon üzembe helyezése.
Megjegyzés
Ezeket a lépéseket az Azure Stack Development Kitből (ASDK) vagy egy külső ügyfélből is használhatja, ha VPN-en keresztül csatlakozik.
Key Vault titkos kód létrehozása
A következő szkript létrehoz egy kulcstartót, és titkos kódként tárolja a jelszót a kulcstartóban. Használja a paramétert -EnabledForDeployment a kulcstartó létrehozásakor. Ez a paraméter biztosítja, hogy a kulcstartó az Azure Resource Manager-sablonokból hivatkozható legyen.
$vaultName = "contosovault"
$resourceGroup = "contosovaultrg"
$location = "local"
$secretName = "MySecret"
New-AzResourceGroup `
-Name $resourceGroup `
-Location $location
New-AzKeyVault `
-VaultName $vaultName `
-ResourceGroupName $resourceGroup `
-Location $location
-EnabledForTemplateDeployment
$secretValue = ConvertTo-SecureString -String '<Password for your virtual machine>' -AsPlainText -Force
Set-AzureKeyVaultSecret `
-VaultName $vaultName `
-Name $secretName `
-SecretValue $secretValue
Az előző szkript futtatásakor a kimenet tartalmazza a titkos URI-t (egységes erőforrás-azonosító). Jegyezze fel ezt az URI-t. Erre a Windows rendszerű virtuális gép központi telepítése jelszóval a Key Vault-sablonban című témakörben kell hivatkoznia. Töltse le a 101-vm-secure-password mappát a fejlesztői számítógépre. Ez a mappa tartalmazza a és azuredeploy.parameters.json a azuredeploy.json fájlokat, amelyekre a következő lépésekben szüksége lesz.
Módosítsa a fájlt a azuredeploy.parameters.json környezeti értékek szerint. A különleges érdeklődésre számot tartó paraméterek a tároló neve, a tároló erőforráscsoportja és a titkos URI (az előző szkript által generált). Az alábbi fájl egy paraméterfájlra mutat példát.
Az azuredeploy.parameters.json fájl frissítése
Frissítse a fájlt a azuredeploy.parameters.json keyVault URI, secretName és adminUsername értékekkel a környezetének megfelelően. A következő JSON-fájl egy példát mutat be a sablonparaméter-fájlra:
{
"$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentParameters.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"adminUsername": {
"value": "demouser"
},
"adminPassword": {
"reference": {
"keyVault": {
"id": "/subscriptions/xxxxxx/resourceGroups/RgKvPwd/providers/Microsoft.KeyVault/vaults/KvPwd"
},
"secretName": "MySecret"
}
},
"dnsLabelPrefix": {
"value": "mydns123456"
},
"windowsOSVersion": {
"value": "2016-Datacenter"
}
}
}
Sablonalapú telepítés
Most helyezze üzembe a sablont a következő PowerShell-szkript használatával:
New-AzResourceGroupDeployment `
-Name KVPwdDeployment `
-ResourceGroupName $resourceGroup `
-TemplateFile "<Fully qualified path to the azuredeploy.json file>" `
-TemplateParameterFile "<Fully qualified path to the azuredeploy.parameters.json file>"
A sablon sikeres üzembe helyezése a következő kimenetet eredményezi:
