Hitelesítő adatok átadása az Azure DSCExtension kezelőjének

Ez a cikk az Azure Desired State Configuration (DSC) bővítményét ismerteti. A DSC-bővítménykezelő áttekintését lásd: Bevezetés az Azure Desired State Configuration bővítménykezelőbe.

Megjegyzés

Mielőtt engedélyezné a DSC-bővítményt, szeretnénk tudni, hogy a DSC újabb verziója már általánosan elérhető, amelyet az Azure Automange nevű gépkonfiguráció egyik funkciója felügyel. A gépkonfigurációs funkció egyesíti a Desired State Configuration (DSC) bővítménykezelő, a Azure Automation State Configuration és az ügyfél visszajelzései által leggyakrabban kért funkciókat. A gépkonfiguráció a hibrid gépek Arc-kompatibilis kiszolgálókon keresztüli támogatását is magában foglalja.

Hitelesítő adatok átadása

A konfigurációs folyamat részeként előfordulhat, hogy felhasználói fiókokat, hozzáférési szolgáltatásokat kell beállítania, vagy telepítenie kell egy programot egy felhasználói környezetben. Ehhez meg kell adnia a hitelesítő adatokat.

A DSC használatával paraméteres konfigurációkat állíthat be. Egy paraméteres konfigurációban a rendszer átadja a hitelesítő adatokat a konfigurációnak, és biztonságosan tárolja őket .mof fájlokban. Az Azure-bővítménykezelő leegyszerűsíti a hitelesítő adatok kezelését a tanúsítványok automatikus felügyeletének biztosításával.

A következő DSC-konfigurációs szkript létrehoz egy helyi felhasználói fiókot a megadott jelszóval:

configuration Main
{
    param(
        [Parameter(Mandatory=$true)]
        [ValidateNotNullorEmpty()]
        [PSCredential]
        $Credential
    )
    Node localhost {
        User LocalUserAccount
        {
            Username = $Credential.UserName
            Password = $Credential
            Disabled = $false
            Ensure = "Present"
            FullName = "Local User Account"
            Description = "Local User Account"
            PasswordNeverExpires = $true
        }
    }
}

Fontos, hogy a localhost csomópontot is belefoglalja a konfigurációba. A bővítménykezelő kifejezetten a node localhost utasítást keresi. Ha ez az utasítás hiányzik, az alábbi lépések nem működnek. Fontos a typecast [PsCredential] is. Ez a típus aktiválja a bővítményt a hitelesítő adatok titkosításához.

A szkript közzététele az Azure Blob Storage-ban:

Publish-AzVMDscConfiguration -ConfigurationPath .\user_configuration.ps1

Az Azure DSC-bővítmény beállítása és a hitelesítő adatok megadása:

$configurationName = 'Main'
$configurationArguments = @{ Credential = Get-Credential }
$configurationArchive = 'user_configuration.ps1.zip'
$vm = Get-AzVM -Name 'example-1'

$vm = Set-AzVMDscExtension -VMName $vm -ConfigurationArchive $configurationArchive -ConfigurationName $configurationName -ConfigurationArgument @configurationArguments

$vm | Update-AzVM

Hitelesítő adatok biztonságának biztosítása

A kód futtatása hitelesítő adatokat kér. A hitelesítő adatok megadása után a rendszer rövid ideig tárolja a memóriában. Ha a hitelesítő adatokat a Set-AzVMDscExtension parancsmaggal teszik közzé, a hitelesítő adatokat a rendszer HTTPS-en keresztül továbbítja a virtuális gépre. A virtuális gépen az Azure a helyi virtuálisgép-tanúsítvány használatával tárolja a lemezen titkosított hitelesítő adatokat. A hitelesítő adatok rövid ideig visszafejthetők a memóriában, majd újra lesz titkosítva, hogy átadják a DSC-nek.

Ez a folyamat eltér a bővítménykezelő nélküli biztonságos konfigurációktól. Az Azure-környezet lehetővé teszi a konfigurációs adatok biztonságos továbbítását tanúsítványokon keresztül. A DSC-bővítménykezelő használatakor nem kell megadnia $CertificatePath vagy $CertificateID/ $Thumbprint bejegyzést a ConfigurationData-ban.

Következő lépések

• Az Azure DSC bővítménykezelő bemutatása.
• Vizsgálja meg a DSC-bővítményHez tartozó Azure Resource Manager-sablont.
• A PowerShell DSC-ről a PowerShell dokumentációs központjában talál további információt.
• A PowerShell DSC használatával kezelhető további funkciókért és további DSC-erőforrásokért tekintse meg a PowerShell-gyűjteményt.