Szybki start: tworzenie dostawcy zaświadczania platformy Azure przy użyciu narzędzia Terraform

Zaświadczanie platformy Microsoft Azure to rozwiązanie do zaświadczania o zaufanych środowiskach wykonywania (TEE). Ten przewodnik Szybki start koncentruje się na procesie tworzenia zasad zaświadczania platformy Microsoft Azure przy użyciu narzędzia Terraform.

W tym artykule omówiono sposób wykonywania następujących zadań:

• Utwórz losową wartość dla nazwy grupy zasobów platformy Azure przy użyciu random_pet.
• Utwórz grupę zasobów platformy Azure przy użyciu azurerm_resource_group.
• Utwórz dostawcę zaświadczania platformy Azure przy użyciu azurerm_attestation_provider.

Wymagania wstępne

• Instalowanie i konfigurowanie narzędzia Terraform

• Certyfikat podpisywania zasad: należy przekazać certyfikat X.509, który jest używany przez dostawcę zaświadczania do weryfikowania podpisanych zasad. Ten certyfikat jest podpisany przez urząd certyfikacji lub podpis własny. Obsługiwane rozszerzenia plików obejmują pem, txti cer. W tym artykule założono, że masz już prawidłowy certyfikat X.509.

Implementowanie kodu narzędzia Terraform

Uwaga

Przykładowy kod tego artykułu znajduje się w repozytorium GitHub programu Azure Terraform. Możesz wyświetlić plik dziennika zawierający wyniki testu z bieżących i poprzednich wersji programu Terraform.

Zobacz więcej artykułów i przykładowego kodu pokazującego, jak zarządzać zasobami platformy Azure za pomocą narzędzia Terraform

1. Utwórz katalog, w którym chcesz przetestować przykładowy kod narzędzia Terraform i ustawić go jako bieżący katalog.

2. Utwórz plik o nazwie providers.tf i wstaw następujący kod:

   terraform {
     required_version = ">=0.12"
   
     required_providers {
       azurerm = {
         source  = "hashicorp/azurerm"
         version = "~>3.0"
       }
       random = {
         source  = "hashicorp/random"
         version = "~>3.0"
       }
       tls = {
         source  = "hashicorp/tls"
         version = "4.0.4"
       }
     }
   }
   
   provider "azurerm" {
     features {}
   }
   

3. Utwórz plik o nazwie main.tf i wstaw następujący kod:

   resource "random_pet" "rg_name" {
     prefix = var.resource_group_name_prefix
   }
   
   resource "azurerm_resource_group" "rg" {
     location = var.resource_group_location
     name     = random_pet.rg_name.id
   }
   
   locals {
     create_signing_cert = try(!fileexists(var.cert_path), true)
   }
   
   resource "tls_private_key" "signing_cert" {
     count = local.create_signing_cert ? 1 : 0
   
     algorithm = "RSA"
     rsa_bits  = 4096
   }
   
   resource "tls_self_signed_cert" "attestation" {
     count = local.create_signing_cert ? 1 : 0
   
     private_key_pem       = tls_private_key.signing_cert[0].private_key_pem
     validity_period_hours = 12
     allowed_uses = [
       "cert_signing",
     ]
   }
   
   resource "random_string" "attestation_suffix" {
     length  = 8
     numeric = false
     special = false
     upper   = false
   }
   
   resource "azurerm_attestation_provider" "corp_attestation" {
     location                        = azurerm_resource_group.rg.location
     name                            = "${var.attestation_provider_name}${random_string.attestation_suffix.result}"
     resource_group_name             = azurerm_resource_group.rg.name
     policy_signing_certificate_data = try(tls_self_signed_cert.attestation[0].cert_pem, file(var.cert_path))
     #https://github.com/hashicorp/terraform-provider-azurerm/issues/21998#issuecomment-1573312297
     lifecycle {
       ignore_changes = [
         "open_enclave_policy_base64",
         "sev_snp_policy_base64",
         "sgx_enclave_policy_base64",
         "tpm_policy_base64",
       ]
     }
   }
   

4. Utwórz plik o nazwie variables.tf i wstaw następujący kod:

   variable "attestation_provider_name" {
     default = "attestation"
   }
   
   variable "cert_path" {
     default = "~/.certs/cert.pem"
   }
   
   variable "resource_group_location" {
     default     = "eastus"
     description = "Location of the resource group."
   }
   
   variable "resource_group_name_prefix" {
     default     = "rg"
     description = "Prefix of the resource group name that's combined with a random ID so name is unique in your Azure subscription."
   }
   

   Kluczowe punkty:

   • Dostosuj pole zgodnie z policy_file potrzebami, aby wskazać plik PEM.

5. Utwórz plik o nazwie outputs.tf i wstaw następujący kod:

   output "resource_group_name" {
     value = azurerm_resource_group.rg.name
   }
   

Inicjowanie narzędzia Terraform

Uruchom narzędzie terraform init , aby zainicjować wdrożenie narzędzia Terraform. To polecenie pobiera dostawcę platformy Azure wymaganego do zarządzania zasobami platformy Azure.

terraform init -upgrade

Kluczowe punkty:

• Parametr -upgrade uaktualnia niezbędne wtyczki dostawcy do najnowszej wersji, która jest zgodna z ograniczeniami wersji konfiguracji.

Tworzenie planu wykonania programu Terraform

Uruchom plan terraform, aby utworzyć plan wykonania.

terraform plan -out main.tfplan

Kluczowe punkty:

• Polecenie terraform plan tworzy plan wykonania, ale nie wykonuje go. Zamiast tego określa, jakie akcje są niezbędne do utworzenia konfiguracji określonej w plikach konfiguracji. Ten wzorzec umożliwia sprawdzenie, czy plan wykonania jest zgodny z oczekiwaniami przed wprowadzeniem jakichkolwiek zmian w rzeczywistych zasobach.
• Opcjonalny -out parametr umożliwia określenie pliku wyjściowego dla planu. Użycie parametru -out gwarantuje, że sprawdzony plan jest dokładnie tym, co jest stosowane.

Stosowanie planu wykonywania narzędzia Terraform

Uruchom narzędzie terraform, aby zastosować plan wykonania do infrastruktury chmury.

terraform apply main.tfplan

Kluczowe punkty:

• Przykładowe terraform apply polecenie zakłada, że wcześniej uruchomiono terraform plan -out main.tfplanpolecenie .
• Jeśli określono inną nazwę pliku parametru -out , użyj tej samej nazwy pliku w wywołaniu metody terraform apply.
• Jeśli parametr nie został użyty, wywołaj metodę -out terraform apply bez żadnych parametrów.

6. Sprawdź wyniki

Interfejs wiersza polecenia platformy Azure

1. Pobierz nazwę grupy zasobów platformy Azure.

   resource_group_name=$(terraform output -raw resource_group_name)
   

2. Uruchom polecenie az attestation list , aby wyświetlić listę dostawców dla określonej nazwy grupy zasobów.

   az attestation list --resource-group $resource_group_name
   

Czyszczenie zasobów

Jeśli zasoby utworzone za pomocą narzędzia Terraform nie są już potrzebne, wykonaj następujące czynności:

1. Uruchom plan terraform i określ flagę destroy .

   terraform plan -destroy -out main.destroy.tfplan
   

   Kluczowe punkty:

   • Polecenie terraform plan tworzy plan wykonania, ale nie wykonuje go. Zamiast tego określa, jakie akcje są niezbędne do utworzenia konfiguracji określonej w plikach konfiguracji. Ten wzorzec umożliwia sprawdzenie, czy plan wykonania jest zgodny z oczekiwaniami przed wprowadzeniem jakichkolwiek zmian w rzeczywistych zasobach.
   • Opcjonalny -out parametr umożliwia określenie pliku wyjściowego dla planu. Użycie parametru -out gwarantuje, że sprawdzony plan jest dokładnie tym, co jest stosowane.

2. Uruchom narzędzie terraform zastosuj, aby zastosować plan wykonania.

   terraform apply main.destroy.tfplan
   

Rozwiązywanie problemów z programem Terraform na platformie Azure

Rozwiązywanie typowych problemów podczas korzystania z narzędzia Terraform na platformie Azure

Następne kroki

Omówienie zaświadczania platformy Azure.