Hitelesítő adatok átadása az Azure DSCExtension kezelőjének
Ez a cikk az Azure Desired State Configuration (DSC) bővítményét ismerteti. A DSC-bővítménykezelő áttekintését lásd : Bevezetés az Azure Desired State Configuration bővítménykezelőbe.
Feljegyzés
A DSC-bővítmény engedélyezése előtt szeretnénk tudni, hogy a DSC egy újabb verziója általánosan elérhető, amelyet az Azure Automange nevű gépkonfiguráció egyik funkciója felügyel. A gépkonfigurációs funkció egyesíti a Desired State Configuration (DSC) bővítménykezelő, az Azure Automation State Configuration és az ügyfél visszajelzéseiből leggyakrabban kért funkciókat. A gépkonfiguráció az Arc-kompatibilis kiszolgálókon keresztüli hibrid géptámogatást is magában foglalja.
Hitelesítő adatok átadása
A konfigurációs folyamat részeként előfordulhat, hogy felhasználói fiókokat kell beállítania, szolgáltatásokat kell elérnie, vagy telepítenie kell egy programot egy felhasználói környezetben. Ehhez meg kell adnia a hitelesítő adatokat.
A DSC használatával paraméteres konfigurációkat állíthat be. Egy paraméteres konfigurációban a hitelesítő adatok a konfigurációba kerülnek, és biztonságosan tárolódnak .mof fájlokban. Az Azure-bővítménykezelő a tanúsítványok automatikus felügyeletével leegyszerűsíti a hitelesítő adatok kezelését.
A következő DSC-konfigurációs szkript létrehoz egy helyi felhasználói fiókot a megadott jelszóval:
configuration Main
{
param(
[Parameter(Mandatory=$true)]
[ValidateNotNullorEmpty()]
[PSCredential]
$Credential
)
Node localhost {
User LocalUserAccount
{
Username = $Credential.UserName
Password = $Credential
Disabled = $false
Ensure = "Present"
FullName = "Local User Account"
Description = "Local User Account"
PasswordNeverExpires = $true
}
}
}
Fontos, hogy a node localhost szerepeljen a konfigurációban. A bővítménykezelő kifejezetten a node localhost utasítást keresi. Ha ez az utasítás hiányzik, a következő lépések nem működnek. Az is fontos, hogy tartalmazza a typecast [PsCredential]. Ez a típus aktiválja a bővítményt a hitelesítő adatok titkosításához.
A szkript közzététele az Azure Blob Storage-ban:
Publish-AzVMDscConfiguration -ConfigurationPath .\user_configuration.ps1
Az Azure DSC-bővítmény beállítása és a hitelesítő adatok megadása:
$configurationName = 'Main'
$configurationArguments = @{ Credential = Get-Credential }
$configurationArchive = 'user_configuration.ps1.zip'
$vm = Get-AzVM -Name 'example-1'
$vm = Set-AzVMDscExtension -VMName $vm -ConfigurationArchive $configurationArchive -ConfigurationName $configurationName -ConfigurationArgument @configurationArguments
$vm | Update-AzVM
Hitelesítő adatok biztonságossá tása
A kód futtatása hitelesítő adatokat kér. A hitelesítő adatok megadása után a rendszer rövid ideig tárolja a memóriában. Ha a hitelesítő adatokat a Set-AzVMDscExtension parancsmaggal teszik közzé, a hitelesítő adatokat a rendszer HTTPS-en keresztül továbbítja a virtuális gépnek. A virtuális gépen az Azure a helyi virtuálisgép-tanúsítvány használatával tárolja a lemezen titkosított hitelesítő adatokat. A hitelesítő adatok rövid ideig visszafejthetők a memóriában, majd újra lesz titkosítva, hogy átadják a DSC-nek.
Ez a folyamat eltér a bővítménykezelő nélküli biztonságos konfigurációktól. Az Azure-környezet lehetővé teszi a konfigurációs adatok biztonságos továbbítását tanúsítványokon keresztül. A DSC bővítménykezelő használatakor nem kell megadnia $CertificatePath vagy $CertificateID/ $Thumbprint bejegyzést a ConfigurationData-ban.
Következő lépések
- Bevezetés az Azure DSC-bővítménykezelőbe.
- Vizsgálja meg a DSC-bővítményHez tartozó Azure Resource Manager-sablont.
- A PowerShell DSC-vel kapcsolatos további információkért látogasson el a PowerShell dokumentációs központjába.
- A PowerShell DSC-vel kezelhető további funkciókért és további DSC-erőforrásokért keresse fel a PowerShell-gyűjteményt.