Quickstart: Azure Key Vault certificaatcontactpersonen beheren met de AzAPI Terraform-provider

Terraform maakt de definitie, preview en implementatie van de cloudinfrastructuur mogelijk. Met Terraform maakt u configuratiebestanden met behulp van HCL-syntaxis. Met de HCL-syntaxis kunt u de cloudprovider opgeven, zoals Azure, en de elementen waaruit uw cloudinfrastructuur bestaat. Nadat u uw configuratiebestanden hebt gemaakt, maakt u een uitvoeringsplan waarmee u een voorbeeld van uw infrastructuurwijzigingen kunt bekijken voordat ze worden geïmplementeerd. Zodra u de wijzigingen hebt gecontroleerd, past u het uitvoeringsplan toe om de infrastructuur te implementeren.

Gebruik azapi_data_plane_resource om Azure gegevensvlakbronnen in Terraform te beheren. In dit voorbeeld configureert u certificaatcontactpersonen voor een Azure Key Vault.

Zie parent_id voor basisconcepten over de werking en patronen van het gegevensvlak.

  • Een Key Vault maken met de AzureRM-provider
  • Gebruiken azapi_data_plane_resource om certificaatcontactpersonen te configureren

Prerequisites

  • Azure-abonnement: als u nog geen abonnement op Azure hebt, maakt u een gratis Azure-account aan voordat u begint.

Wanneer u zich aanmeldt bij Azure Portal met een Microsoft-account, wordt het standaard Azure-abonnement voor dat account gebruikt.

Terraform verifieert automatisch met behulp van gegevens uit het standaard Azure-abonnement.

Voer az account show uit om het huidige Microsoft-account en het Azure-abonnement te verifiëren.

az account show

Alle wijzigingen die u via Terraform aanbrengt, bevinden zich in het weergegeven Azure-abonnement. Als u dat wilt, slaat u de rest van dit artikel over.

De Terraform-code implementeren

  1. Maak een map aan om de voorbeeldcode van Terraform te testen en stel deze in als de huidige map.

  2. Maak een bestand met de naam providers.tf en voeg de volgende code in:

    terraform {
  required_providers {
    azapi = {
      source  = "Azure/azapi"
      version = "~> 2.0"
    }
    azurerm = {
      source  = "hashicorp/azurerm"
      version = "~> 4.0"
    }
    random = {
      source  = "hashicorp/random"
      version = "~> 3.0"
    }
  }
}

provider "azurerm" {
  features {
    key_vault {
      purge_soft_delete_on_destroy    = true
      recover_soft_deleted_key_vaults = true
    }
  }
}

provider "azapi" {}

  3. Maak een bestand met de naam variables.tf en voeg de volgende code in:

    variable "resource_group_location" {
  type        = string
  default     = "eastus"
  description = "Location of the resource group."
}

variable "resource_group_name_prefix" {
  type        = string
  default     = "rg"
  description = "Prefix of the resource group name that's combined with a random value to create a unique name."
}

  4. Maak een bestand met de naam main.tf en voeg de volgende code in:

    resource "random_pet" "rg_name" {
  prefix = var.resource_group_name_prefix
}

resource "random_string" "kv_suffix" {
  length  = 6
  upper   = false
  special = false
}

resource "azurerm_resource_group" "example" {
  location = var.resource_group_location
  name     = random_pet.rg_name.id
}

data "azurerm_client_config" "current" {}

resource "azurerm_key_vault" "example" {
  name                = "kv-${random_string.kv_suffix.result}"
  location            = azurerm_resource_group.example.location
  resource_group_name = azurerm_resource_group.example.name
  tenant_id           = data.azurerm_client_config.current.tenant_id
  sku_name            = "standard"

  access_policy {
    tenant_id = data.azurerm_client_config.current.tenant_id
    object_id = data.azurerm_client_config.current.object_id

    certificate_permissions = [
      "ManageContacts",
    ]
  }
}

resource "azapi_data_plane_resource" "certificate_contacts" {
  type      = "Microsoft.KeyVault/vaults/certificates/contacts@7.3"
  parent_id = trimsuffix(trimprefix(azurerm_key_vault.example.vault_uri, "https://"), "/")
  name      = "default"

  body = {
    contacts = [
      {
        emailAddress = "admin@contoso.com"
        name         = "Admin Contact"
        phone        = "555-555-0100"
      },
      {
        emailAddress = "ops@contoso.com"
        name         = "Operations"
      }
    ]
  }
}

    Belangrijke punten over azapi_data_plane_resource:

    • Het type veld gebruikt de indeling <resource-type>@<api-version> voor de gegevensvlak-API.
    • Dit parent_id is de hostnaam van het gegevensvlakeindpunt (zonder het https:// voorvoegsel), niet een ARM-resource-id.
    • Het name-veld identificeert de specifieke resource binnen de ouder. Voor Key Vault certificaatcontactpersonen is de waarde altijd default.

  5. Maak een bestand met de naam outputs.tf en voeg de volgende code in:

    output "resource_group_name" {
  value = azurerm_resource_group.example.name
}

output "key_vault_name" {
  value = azurerm_key_vault.example.name
}

output "certificate_contacts" {
  value = azapi_data_plane_resource.certificate_contacts.output
}

Voer terraform init uit om de Terraform-implementatie te initialiseren. Met deze opdracht wordt de Azure-provider gedownload die is vereist voor het beheren van uw Azure-resources.

terraform init -upgrade

Belangrijkste punten:

  • Met -upgrade de parameter worden de benodigde providerinvoegtoepassingen bijgewerkt naar de nieuwste versie die voldoet aan de versiebeperkingen van de configuratie.

Voer terraform-plan uit om een uitvoeringsplan te maken.

terraform plan -out main.tfplan

Belangrijkste punten:

  • De terraform plan opdracht maakt een uitvoeringsplan, maar voert het niet uit. In plaats daarvan wordt bepaald welke acties nodig zijn om de configuratie te maken die is opgegeven in uw configuratiebestanden. Met dit patroon kunt u controleren of het uitvoeringsplan aan uw verwachtingen voldoet voordat u wijzigingen aanbrengt in de werkelijke resources.
  • Met de optionele -out parameter kunt u een uitvoerbestand voor het plan opgeven. Door de -out parameter te gebruiken, zorgt u ervoor dat het plan dat u hebt gecontroleerd precies wordt toegepast.

Voer terraform apply uit om het uitvoeringsplan toe te passen op uw cloudinfrastructuur.

terraform apply main.tfplan

Belangrijkste punten:

  • In het voorbeeld terraform apply opdracht wordt ervan uitgegaan dat u eerder terraform plan -out main.tfplanhebt uitgevoerd.
  • Als u een andere bestandsnaam voor de -out parameter hebt opgegeven, gebruikt u diezelfde bestandsnaam in de aanroep naar terraform apply.
  • Als u de -out-parameter niet hebt gebruikt, roep terraform apply dan zonder parameters aan.

De resultaten controleren

Voer az keyvault certificate contact list uit om de certificaatcontactpersonen op te halen.

az keyvault certificate contact list --vault-name <key_vault_name>

De hulpbronnen opschonen

Voer de volgende stappen uit wanneer u de resources die zijn gemaakt via Terraform niet meer nodig hebt:

  1. Voer terraform-plan uit en geef de destroy vlag op.

    terraform plan -destroy -out main.destroy.tfplan

    Belangrijkste punten:

    • De terraform plan opdracht maakt een uitvoeringsplan, maar voert het niet uit. In plaats daarvan wordt bepaald welke acties nodig zijn om de configuratie te maken die is opgegeven in uw configuratiebestanden. Met dit patroon kunt u controleren of het uitvoeringsplan aan uw verwachtingen voldoet voordat u wijzigingen aanbrengt in de werkelijke resources.
    • Met de optionele -out parameter kunt u een uitvoerbestand voor het plan opgeven. Door de -out parameter te gebruiken, zorgt u ervoor dat het plan dat u hebt gecontroleerd precies wordt toegepast.

  2. Voer terraform apply uit om het uitvoeringsplan toe te passen.

    terraform apply main.destroy.tfplan

Problemen met Terraform op Azure oplossen

Veelvoorkomende problemen oplossen bij het gebruik van Terraform in Azure

Volgende stappen 

Overzicht van Terraform AzAPI-provider

Meer informatie over het gebruik van de AzAPI-resource

Aanvullende literatuur

  • Last updated on