Hitelesítő adatok átadása az Azure DSCExtension kezelőjének
Ez a cikk az Azure Desired State Configuration (DSC) bővítményét ismerteti. A DSC-bővítménykezelő áttekintését lásd: Bevezetés az Azure Desired State Configuration bővítménykezelőbe.
Megjegyzés
Mielőtt engedélyezné a DSC-bővítményt, szeretnénk tudni, hogy a DSC újabb verziója már általánosan elérhető, amelyet az Azure Automange nevű gépkonfiguráció egyik funkciója felügyel. A gépkonfigurációs funkció egyesíti a Desired State Configuration (DSC) bővítménykezelő, a Azure Automation State Configuration és az ügyfél visszajelzései által leggyakrabban kért funkciókat. A gépkonfiguráció a hibrid gépek Arc-kompatibilis kiszolgálókon keresztüli támogatását is magában foglalja.
Hitelesítő adatok átadása
A konfigurációs folyamat részeként előfordulhat, hogy felhasználói fiókokat, hozzáférési szolgáltatásokat kell beállítania, vagy telepítenie kell egy programot egy felhasználói környezetben. Ehhez meg kell adnia a hitelesítő adatokat.
A DSC használatával paraméteres konfigurációkat állíthat be. Egy paraméteres konfigurációban a rendszer átadja a hitelesítő adatokat a konfigurációnak, és biztonságosan tárolja őket .mof fájlokban. Az Azure-bővítménykezelő leegyszerűsíti a hitelesítő adatok kezelését a tanúsítványok automatikus felügyeletének biztosításával.
A következő DSC-konfigurációs szkript létrehoz egy helyi felhasználói fiókot a megadott jelszóval:
configuration Main
{
param(
[Parameter(Mandatory=$true)]
[ValidateNotNullorEmpty()]
[PSCredential]
$Credential
)
Node localhost {
User LocalUserAccount
{
Username = $Credential.UserName
Password = $Credential
Disabled = $false
Ensure = "Present"
FullName = "Local User Account"
Description = "Local User Account"
PasswordNeverExpires = $true
}
}
}
Fontos, hogy a localhost csomópontot is belefoglalja a konfigurációba. A bővítménykezelő kifejezetten a node localhost utasítást keresi. Ha ez az utasítás hiányzik, az alábbi lépések nem működnek. Fontos a typecast [PsCredential] is. Ez a típus aktiválja a bővítményt a hitelesítő adatok titkosításához.
A szkript közzététele az Azure Blob Storage-ban:
Publish-AzVMDscConfiguration -ConfigurationPath .\user_configuration.ps1
Az Azure DSC-bővítmény beállítása és a hitelesítő adatok megadása:
$configurationName = 'Main'
$configurationArguments = @{ Credential = Get-Credential }
$configurationArchive = 'user_configuration.ps1.zip'
$vm = Get-AzVM -Name 'example-1'
$vm = Set-AzVMDscExtension -VMName $vm -ConfigurationArchive $configurationArchive -ConfigurationName $configurationName -ConfigurationArgument @configurationArguments
$vm | Update-AzVM
Hitelesítő adatok biztonságának biztosítása
A kód futtatása hitelesítő adatokat kér. A hitelesítő adatok megadása után a rendszer rövid ideig tárolja a memóriában. Ha a hitelesítő adatokat a Set-AzVMDscExtension parancsmaggal teszik közzé, a hitelesítő adatokat a rendszer HTTPS-en keresztül továbbítja a virtuális gépre. A virtuális gépen az Azure a helyi virtuálisgép-tanúsítvány használatával tárolja a lemezen titkosított hitelesítő adatokat. A hitelesítő adatok rövid ideig visszafejthetők a memóriában, majd újra lesz titkosítva, hogy átadják a DSC-nek.
Ez a folyamat eltér a bővítménykezelő nélküli biztonságos konfigurációktól. Az Azure-környezet lehetővé teszi a konfigurációs adatok biztonságos továbbítását tanúsítványokon keresztül. A DSC-bővítménykezelő használatakor nem kell megadnia $CertificatePath vagy $CertificateID/ $Thumbprint bejegyzést a ConfigurationData-ban.
Következő lépések
- Az Azure DSC bővítménykezelő bemutatása.
- Vizsgálja meg a DSC-bővítményHez tartozó Azure Resource Manager-sablont.
- A PowerShell DSC-ről a PowerShell dokumentációs központjában talál további információt.
- A PowerShell DSC használatával kezelhető további funkciókért és további DSC-erőforrásokért tekintse meg a PowerShell-gyűjteményt.