Distribuire Azure Local usando l'identità locale con Azure Key Vault (anteprima)

Questo articolo descrive come usare l'identità locale con Azure Key Vault per la distribuzione locale di Azure.

Importante

La funzionalità è attualmente disponibile in ANTEPRIMA. Vedere le Condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure per le condizioni legali applicabili alle funzionalità di Azure in versione beta, in anteprima o non ancora rilasciate nella disponibilità generale.

Panoramica

Oltre alla distribuzione basata su Active Directory (AD), Azure Local supporta la distribuzione tramite l'identità locale con Azure Key Vault, nota in precedenza come distribuzione senza AD.

Con l'identità locale usando un account amministratore locale, il processo di distribuzione configura l'integrazione a livello di cluster con l'autenticazione basata su certificati. Questa configurazione garantisce comunicazioni sicure durante la distribuzione e le operazioni in corso.

Come parte di questa configurazione, viene effettuato il provisioning di un'istanza di Azure Key Vault nel cloud di Azure durante la distribuzione per fungere da backup sicuro per i segreti locali di Azure, incluse le chiavi BitLocker e altri dati di configurazione critici.

Vantaggi

L'uso dell'identità locale con Key Vault in Azure Local offre diversi vantaggi, in particolare per gli ambienti che non si basano su AD. Ecco alcuni vantaggi principali:

• Infrastruttura perimetrale minima. Per gli ambienti che non usano Active Directory, l'identità locale con Key Vault offre un modo sicuro ed efficiente per gestire identità e segreti utente.

• Negozio segreto. Key Vault gestisce e archivia in modo sicuro i segreti, ad esempio chiavi BitLocker, password dei nodi e altre informazioni riservate. Ciò riduce il rischio di accesso non autorizzato e migliora il comportamento di sicurezza complessivo.

• Mantenere la gestione semplificata. Grazie all'integrazione con Key Vault, le organizzazioni possono semplificare la gestione dei segreti e delle credenziali. Ciò include l'archiviazione di segreti di identità locali e di distribuzione in un'unica cassaforte, rendendo più facile la gestione e l'accesso a questi segreti.

• Distribuzione semplificata. Durante la distribuzione del sistema tramite il portale di Azure, è possibile selezionare un provider di identità locale integrato con Key Vault. Questa opzione semplifica il processo di distribuzione assicurandosi che tutti i segreti necessari vengano archiviati in modo sicuro all'interno di Key Vault. La distribuzione diventa più efficiente riducendo le dipendenze da sistemi AD esistenti o da altri sistemi che eseguono Active Directory, che richiedono una manutenzione continua. Inoltre, questo approccio semplifica le configurazioni del firewall per le reti tecnologiche operative, semplificando la gestione e la protezione di questi ambienti.

Prerequisiti

• Soddisfare i prerequisiti e completare l'elenco di controllo per la distribuzione. Ignorare i prerequisiti specifici di Active Directory.

• Creare un account utente locale con le stesse credenziali in tutti i nodi e aggiungerlo al gruppo administrators locale, anziché usare l'account amministratore predefinito.

• Creare un account amministratore locale con credenziali identiche in ogni nodo del cluster. Questo requisito garantisce che le operazioni di aggiunta e ripristino del nodo possano eseguire correttamente l'autenticazione e l'esecuzione in tutti i nodi. Per istruzioni, vedere Aggiungere un nodo e ripristinare un nodo.

• Scaricare il software locale di Azure. Vedere Scaricare il sistema operativo per la distribuzione locale di Azure.

• I nodi richiedono indirizzi IP statici e non supportano DHCP. Dopo aver installato il sistema operativo, usare SConfig per impostare l'indirizzo IP statico, la subnet, il gateway e IL DNS.

• Disporre di un server DNS con una zona configurata correttamente. Questa configurazione è fondamentale per il corretto funzionamento della rete. Vedere Configurare il server DNS per l'istanza locale di Azure.

Configurare il server DNS per Azure Local

Seguire questa procedura per configurare DNS per l'ambiente locale di Azure:

1. Creare e configurare il server DNS.

   Configurare il server DNS se non ne è già disponibile uno. Questa operazione può essere eseguita usando DNS di Windows Server o un'altra soluzione DNS.

2. Creare record A dell'host DNS.

   Per ogni nodo nell'istanza locale di Azure, creare un record HOST DNS A. Questo record esegue il mapping del nome host del nodo al relativo indirizzo IP, consentendo ad altri dispositivi della rete di individuare e comunicare con il nodo.

   Creare inoltre un record HOST DNS A per il sistema stesso. Questo record deve usare il primo indirizzo IP dell'intervallo di rete allocato per il sistema.

3. Verifica i record DNS.

   Per verificare che i record DNS per un computer specifico siano configurati correttamente, eseguire il comando seguente:

   nslookup "machine name"
   

4. Configurare l'inoltro DNS.

   Configurare l'inoltro DNS nel server DNS per inoltrare le query DNS a DNS di Azure o a un altro provider DNS esterno in base alle esigenze.

5. Aggiornare le impostazioni di rete.

   Aggiornare le impostazioni di rete nei nodi locali di Azure per usare il server DNS configurato. Questa operazione può essere eseguita tramite le impostazioni della scheda di rete o usando i comandi di PowerShell.

6. Verificare la configurazione DNS.

   Testare la configurazione DNS per assicurarsi che le query DNS vengano risolte correttamente. È possibile usare strumenti come nslookup o scavare per verificare la risoluzione DNS.

7. Riavviare il sistema operativo nei computer locali e remoti usando il comando seguente:

   Restart-Computer
   

Distribuire Azure Locale tramite il portale usando l'identità locale con Key Vault

Durante la distribuzione tramite il portale di Azure, è possibile selezionare un provider di identità locale integrato con Key Vault. In questo modo è possibile usare un'identità locale con Key Vault per gestire e archiviare in modo sicuro i segreti anziché basarsi su AD per l'autenticazione.

I passaggi di distribuzione generali sono gli stessi descritti in Distribuire un sistema locale di Azure usando il portale di Azure. Tuttavia, quando si usa l'identità locale con Key Vault, è necessario eseguire passaggi specifici nelle schede Rete e gestione .

Scheda di Rete

• Specificare un nome di zona (dominio) valido per stabilire uno spazio dei nomi DNS privato e autorevole per il cluster. Questo dominio deve essere risolvibile internamente (solo per host e carichi di lavoro interni) o esternamente (per host e carichi di lavoro disponibili pubblicamente) a seconda dei requisiti di visibilità del cluster.

• Specificare i dettagli del server DNS configurati nella sezione Configurare DNS per Azure Local .

  

Scheda Management (Gestione)

1. Selezionare l'opzione Identità locale con Azure Key Vault .

2. Per creare un nuovo insieme di credenziali delle chiavi, selezionare Crea un nuovo insieme di credenziali delle chiavi. Immettere i dettagli necessari nel riquadro di contesto destro e quindi selezionare Crea.

3. In Nome Key Vault, immettere il nuovo nome del Key Vault. È necessario creare un Key Vault per ogni cluster.

   

Passaggi post-distribuzione

Dopo aver distribuito il sistema, verificare che la distribuzione fosse senza AD e verificare che venga eseguito il backup dei segreti in Key Vault.

Verificare che il sistema sia stato distribuito senza Active Directory

Dopo aver distribuito il sistema, verificare che la distribuzione sia avvenuta senza AD.

1. Verificare che il nodo non sia aggiunto a un dominio di Active Directory eseguendo il comando seguente. Se l'output mostra WORKGROUP, il nodo non è aggiunto a un dominio.

   Get-WmiObject Win32_ComputerSystem.Domain
   

   Di seguito è riportato un output di esempio:

   [host]: PS C:\Users\LocalAdmin\Documents> (Get-WmiObject Win32_ComputerSystem).Domain 
   WORKGROUP
   

2. Verificare che un cluster sia un cluster del gruppo di lavoro funzionante senza Active Directory. Eseguire il comando seguente e controllare il valore del ADAware parametro :

   Get-ClusterResource "Cluster Name" | Get-ClusterParameter ADAware 
   
   Object       Name    Value Type 
   
   ------       ----    ----- ---- 
   
   ClusterName  ADAware  2    UInt32 
   
   For ADAware property, 0 = None, 1 = AD, 2 = Local Identity
   

Verificare che venga eseguito il backup dei segreti in Key Vault

Le chiavi BitLocker e le password di amministratore di ripristino vengono sottoposte a backup sicuro in Azure e vengono ruotate per garantire la massima sicurezza.

Negli scenari in cui Active Directory non è disponibile, è possibile usare un utente amministratore di ripristino dedicato per ripristinare il sistema. Il nome utente designato a questo scopo è RecoveryAdmin. La password corrispondente può essere recuperata in modo sicuro da Azure Key Vault, assicurandosi di disporre delle credenziali necessarie per eseguire le operazioni di ripristino del sistema in modo efficace.

In questo modo tutte le informazioni critiche vengono archiviate in modo sicuro e possono essere facilmente recuperate quando necessario, fornendo un ulteriore livello di sicurezza e affidabilità per l'infrastruttura.

Avvisi per l'estensione di Key Vault in Azure Local

Azure Local usa l'estensione Key Vault per archiviare e gestire in modo sicuro i segreti. Per garantire affidabilità e sicurezza, il sistema monitora continuamente l'integrità dell'integrazione di Key Vault. Se vengono rilevati problemi, gli avvisi vengono generati automaticamente e visualizzati tramite Monitoraggio di Azure per la visibilità e la risposta.

Gli avvisi vengono inviati tramite il gateway di avvisi di Azure e possono essere visualizzati nel portale di Azure in Monitoraggio>Avvisi. È possibile configurare gruppi di azioni per ricevere notifiche tramite posta elettronica, SMS o webhook. Per altre informazioni, vedere Che cosa sono gli avvisi di Monitoraggio di Azure?

La tabella seguente descrive gli avvisi disponibili, il relativo impatto e l'azione consigliata da risolvere.

Avvisi	Description	Impatto	Azione consigliata
KeyVaultNonEsiste	Il Key Vault specificato non esiste.	Un Key Vault è necessario per eseguire il backup e archiviare i segreti in sicurezza. Senza di esso, le operazioni di backup protette falliranno.	- Verificare che la risorsa di Key Vault esista nella sottoscrizione di Azure. - Assicurati che il nome del Key Vault e il gruppo di risorse corrispondano alla configurazione nella distribuzione. - Se il Key Vault è stato eliminato, ricrearlo e aggiornare la configurazione.
KeyVaultAccess	Uno o più nodi del cluster non sono stati in grado di accedere al Key Vault.	Se i nodi non possono accedere al Key Vault, le operazioni che richiedono il recupero o il backup dei segreti potrebbero non riuscire.	- Controllare la connettività di rete tra i nodi del cluster e l'endpoint di Key Vault. - Verificare che il firewall e i criteri di accesso di Key Vault consentano ai nodi del cluster di connettersi. - Assicurarsi che l'identità gestita o l'entità servizio usata dal cluster disponga delle autorizzazioni necessarie, ad esempio Get, List e Backup. Inoltre, all'identità gestita associata ai nodi (Arc for Server resources) deve essere assegnato il ruolo Key Vault Secrets Officer nel Key Vault.

Aggiornare Key Vault su Azure Locale

Seguire questa procedura per aggiornare la configurazione di backup per utilizzare un nuovo Key Vault.

1. Creare un nuovo Key Vault nel portale di Azure. Configurarlo per archiviare i segreti di backup.

2. Configurare i controlli di accesso per il nuovo Key Vault. Ciò include la concessione delle autorizzazioni necessarie all'identità del nodo. Verifica che al Key Vault sia assegnato il ruolo di "Responsabile segreti Key Vault." Per istruzioni, vedere Fornire l'accesso a chiavi, certificati e segreti di Key Vault con un controllo degli accessi in base al ruolo di Azure.

   

3. Aggiornare la configurazione di sistema. Usare una richiesta POST per aggiornare la configurazione del cluster con i nuovi dettagli di Key Vault. Per eseguire l'API POST, è necessario avere il ruolo di amministratore di Azure Stack HCI . Per altre informazioni, vedere Usare il controllo degli accessi in base al ruolo per gestire le macchine virtuali locali di Azure abilitate da Azure Arc.

   1. Eseguire il comando seguente per accedere alla sottoscrizione di Azure:

      Connect-AzAccount
      

   2. Eseguire il comando seguente per verificare il contesto della sottoscrizione:

      Get-AzContext
      

   3. Dopo l'autenticazione, usare il Invoke-AzRestMethod cmdlet per inviare la richiesta POST. Questo aggiorna il cluster con la nuova posizione di Key Vault.

   Di seguito è riportato un output di esempio:

   Invoke-AzRestMethod -Path "/subscriptions/<subscriptionId>/resourceGroups/<resourceGroupName>/providers/Microsoft.AzureStackHCI/clusters/<clusterName>/updateSecretsLocations" -Method POST -Payload
   { 
   "properties": {
       "secretsType": "BackupSecrets",
       "secretsLocation": "https://hcikeyvaulttestingnew.vault.azure.net/"
                 }
   } # Response: 200 OK
   

4. Convalidare la configurazione. Nel portale di Azure aprire la risorsa di sistema e verificare che Resource JSON includa i dettagli aggiornati di Key Vault.

   Ecco uno screenshot di esempio di Resource JSON in cui è possibile aggiornare il Key Vault.

   

5. Controllare i segreti nel nuovo Key Vault. Confermare che tutti i segreti di backup siano archiviati correttamente nel nuovo Key Vault.

6. Ripulire il vecchio Key Vault. Il Key Vault precedente e i relativi segreti non vengono eliminati automaticamente. Dopo aver verificato che il nuovo insieme di credenziali delle chiavi sia configurato correttamente, è possibile eliminare l'insieme di credenziali delle chiavi precedente, se necessario.

Ripristinare un archivio di chiavi eliminato e riprendere il backup

Quando si elimina e successivamente si ripristina un Key Vault, l'identità gestita che in precedenza aveva accesso al Key Vault è influenzata nei seguenti modi:

• Revoca dell'accesso all'identità gestita. Durante il processo di eliminazione, le autorizzazioni di accesso dell'identità gestita dal sistema all'Archivio di Chiavi vengono revocate. Ciò significa che l'identità non ha più l'autorizzazione per accedere al Key Vault.
• Errore delle operazioni di estensione. L'estensione del vault chiave di backup responsabile della gestione dei backup delle informazioni riservate si basa sull'identità gestita per l'accesso. Con le autorizzazioni di accesso revocate, l'estensione non è in grado di eseguire operazioni di backup.
• Stato dell'estensione nel portale di Azure. Nel portale di Azure lo stato dell'estensione viene visualizzato come Non riuscito che indica che l'estensione non può eseguire il backup dei segreti a causa della perdita delle autorizzazioni necessarie.

Per risolvere e risolvere il problema dell'estensione non riuscita e ripristinare le normali operazioni di backup, seguire questa procedura:

1. Riassegnare l'accesso all'identità gestita.

   1. Determinare l'identità gestita che richiede accesso al Key Vault.
   2. Riassegnare il ruolo Key Vault Secret Officer all'identità gestita.

2. Verificare la funzionalità dell'estensione.

   1. Dopo la riassegnazione, monitorare lo stato dell'estensione nel portale di Azure per assicurarsi che cambi da Failed (Non riuscito ) a Succeeded (Operazione riuscita). Ciò indica che l'estensione ha recuperato le autorizzazioni necessarie e ora funziona correttamente.
   2. Testare le operazioni di backup per assicurarsi che il backup dei segreti venga eseguito correttamente e che il processo di backup funzioni come previsto.

Compatibilità degli strumenti negli ambienti locali di Azure configurati con Azure Key Vault

Il supporto degli strumenti negli ambienti locali di Azure configurati con Azure Key Vault per la gestione delle identità varia all'interno dell'ecosistema. Usare le indicazioni seguenti per pianificare ed operare in modo efficace in queste configurazioni.

Strumenti supportati

• PowerShell. Completamente supportato per ambienti di identità basati su Ad e Azure Key Vault. PowerShell è l'interfaccia principale per la gestione e l'automazione dei cluster locali di Azure tra configurazioni di identità.

• Monitoraggio di Azure. Supportato per il monitoraggio dell'integrità e delle prestazioni degli host e delle macchine virtuali. L'integrazione con Monitoraggio di Azure consente di visualizzare l'integrità del sistema, gli avvisi e i dati di telemetria.

• Portale di Azure. Supportato per la gestione dei cluster locali di Azure.

Strumenti di supporto non supportati o limitati

• Windows Admin Center. Non supportato negli ambienti di identità basati su Azure Key Vault. È consigliabile usare PowerShell o altri strumenti supportati per le attività amministrative.
• System Center Virtual Machine Manager (SCVMM). Previsto supporto limitato o non supportato negli ambienti di identità basati su Azure Key Vault. Convalidare casi d'uso specifici prima di basarsi su SCVMM.

Compatibilità mista

• Microsoft Management Consoles (MMC). La compatibilità varia. Strumenti come Hyper-V Manager e Gestione cluster di failover potrebbero non essere funzionali in tutti gli scenari. Testare i flussi di lavoro critici prima di basarsi su MMC per l'uso in produzione.

Domande frequenti

Questa sezione fornisce risposte ad alcune domande frequenti sull'uso dell'identità locale con Key Vault.

Cosa fare se l'estensione Segreti di Backup di Azure Key Vault non è stata installata durante la distribuzione

Se l'estensione non è stata installata durante la distribuzione, è possibile installarla manualmente nei server abilitati per Arc seguendo questa procedura:

1. Creare un nuovo Azure Key Vault, se non ne hai già uno. Per istruzioni, consultare Avvio rapido: Creare un insieme di credenziali usando il portale di Azure.

2. Nella pagina Key Vault passare a Controllo di accesso (IAM)>Aggiungi assegnazione di ruolo.

   1. Nella scheda Ruolo, selezionare Key Vault Secrets Officer.
   2. Nella scheda Membri selezionare Identità gestita e aggiungere il cluster locale di Azure come membro.
   3. Selezionare Rivedi e assegna per completare l'assegnazione di ruolo.

3. Verificare che l'assegnazione di ruolo venga visualizzata nella scheda Assegnazioni di ruolo .

4. Passare al cluster locale di Azure e prendere nota dei nomi dei computer Arc.

5. Eseguire lo script di PowerShell seguente per installare l'estensione nei computer Arc:

   # Login to Azure
   Connect-AzAccount
   $ResourceGroup = "<Resource Group>"
   $ResourceLocation = "<Location>"
   $KeyVaultUri = "<URL of Azure Key Vault>"
   $ArcMachines = @("v-host1", "v-host2", "v-host3", "v-host4")
   foreach ($MachineName in $ArcMachines) {
   New-AzConnectedMachineExtension `
   -Name AzureEdgeAKVBackupForWindows `
   -ResourceGroupName $ResourceGroup `
   -Location $ResourceLocation `
   -MachineName $MachineName `
   -Publisher Microsoft.Edge.Backup `
   -ExtensionType AKVBackupForWindows `
   -Setting @{KeyVaultUrl = $KeyVaultUri; UseClusterIdentity = $true}
   }
   

6. Verificare lo stato dell'estensione nel portale di Azure per assicurarsi che sia stato installato correttamente.

Passaggi successivi

• Se non sono stati creati volumi di carico di lavoro durante la distribuzione, creare volumi del carico di lavoro e percorsi di archiviazione per ogni volume. Per informazioni dettagliate, vedere Creare volumi nei cluster locali di Azure e Windows Server e Creare il percorso di archiviazione per Azure Locale.
• Ottenere supporto per i problemi di distribuzione locale di Azure