Samouczek: przechowywanie wpisów tajnych maszyn wirtualnych za pomocą rozwiązania Ansible przy użyciu usługi Azure Key Vault

W tym przewodniku Szybki start utworzysz i pobierzesz wpisy tajne z usługi Azure Key Vault za pomocą rozwiązania Ansible.

Ważne

Rozwiązanie Ansible w wersji 2.9 (lub nowszej) jest wymagane do uruchomienia przykładowych podręczników w tym artykule.

W tym artykule omówiono sposób wykonywania następujących zadań:

• Tworzenie wystąpienia usługi Azure Key Vault
• Tworzenie magazynu wpisów tajnych w usłudze Azure Key Vault
• Uzyskiwanie wpisów tajnych z usługi Azure Key Vault za pomocą rozwiązania Ansible

Wymagania wstępne

• Subskrypcja platformy Azure: jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto.

• Jednostka usługi platformy Azure: Utwórz jednostkę usługi, zanotuj następujące wartości: appId, displayName, password i tenant.

• Zainstaluj oprogramowanie Ansible: Wykonaj jedną z następujących opcji:

  • Instalowanie i konfigurowanie rozwiązania Ansible na maszynie wirtualnej z systemem Linux
  • Konfigurowanie usługi Azure Cloud Shell

Tworzenie magazynu kluczy platformy Azure

Rozwiązanie Ansible wymaga grupy zasobów w celu wdrożenia zasobów.

1. Utwórz podręcznik rozwiązania Ansible o nazwie create_kv.yml dodaj następujące zadanie, aby utworzyć grupę zasobów:

   ---
   - name: Create Azure key vault
     hosts: localhost
     connection: local
     tasks:
   
     - name: Create resource group
       azure_rm_resourcegroup:
         name: ansible-kv-test-rg
         location: eastus
   

2. Zdefiniuj wymagane zmienne dla identyfikatora dzierżawy, identyfikatora obiektu jednostki usługi i nazwy magazynu.

   ---
   vars:
     tenant_id: <tenantId>
     object_id: <servicePrincipalObjectId>
     vault_name: <vaultName>
   

   Zastąp <tenantId>wartości , <servicePrincipalObjectId>i <vaultName> odpowiednimi wartościami. Identyfikator objectId służy do udzielania dostępu do wpisów tajnych w magazynie kluczy.

   kluczowy punkt:

   • Nazwy magazynu kluczy platformy Azure muszą być globalnie unikatowe. Magazyn kluczy i klucze/wpisy tajne w nim są dostępne za pośrednictwem https://{vault-name}.vault.azure.net identyfikatora URI.

3. Skonfiguruj wystąpienie usługi Azure Key Vault, dodając create_kv.yml zadanie.

   ---
   - name: Create key vault instance
     azure_rm_keyvault:
       resource_group: ansible-kv-test-rg
       vault_name: "{{ vault_name }}"
       enabled_for_deployment: yes
       vault_tenant: "{{ tenant_id }}"
       sku:
         name: standard
       access_policies:
         - tenant_id: "{{ tenant_id }}"
           object_id: "{{ object_id }}"
           secrets:
             - get
             - list
             - set
             - delete
   

4. create_kv.yml Uruchom podręcznik.

   ansible-playbook create_kv.yml
   

   PLAY [localhost] *******************************************************************************************************
   
   TASK [Gathering Facts] *************************************************************************************************
   ok: [localhost]
   
   TASK [Create resource group] *******************************************************************************************
   ok: [localhost]
   
   TASK [Create key vault instance] ************************************************************************************
   ok: [localhost]
   
   PLAY RECAP *************************************************************************************************************
   localhost                  : ok=3    changed=0    unreachable=0    failed=0    skipped=0    rescued=0    ignored=0
   

Ukończ tworzenie podręcznika usługi Azure Key Vault

W tej sekcji wymieniono cały przykładowy podręcznik rozwiązania Ansible do tworzenia magazynu kluczy platformy Azure.

- hosts: localhost
  connection: local

  vars:
    tenant_id: <tenantId>
    object_id: <servicePrincipalObjectId>
    vault_name: <vaultName>

  tasks:
  - name: Create resource group 
    azure_rm_resourcegroup:
      name: ansible-kv-test-rg
      location: eastus

  - name: Create instance of Key Vault
    azure_rm_keyvault:
      resource_group: ansible-kv-test-rg
      vault_name: "{{ vault_name }}"
      enabled_for_deployment: yes
      vault_tenant: "{{ tenant_id }}"
      sku:
        name: standard
      access_policies:
        - tenant_id: "{{ tenant_id }}"
          object_id: "{{ object_id }}"
          secrets:
            - get
            - list
            - set
            - delete

Tworzenie wpisu tajnego w magazynie kluczy

Przed utworzeniem wpisu tajnego potrzebny będzie identyfikator URI magazynu kluczy.

1. Utwórz kolejny podręcznik o nazwie create_kv_secret.yml. Skopiuj następujący kod do podręcznika:

   ---
   - hosts: localhost
     connection: local
   
     tasks:
   
     - name: Get Key Vault by name
       azure_rm_keyvault_info:
         resource_group: ansible-kv-test-rg
         name: <vaultName>
       register: keyvault
   
     - name: set KeyVault uri fact
       set_fact: keyvaulturi="{{ keyvault['keyvaults'][0]['vault_uri'] }}"
   
     - name: Create a secret
       azure_rm_keyvaultsecret:
         secret_name: adminPassword
         secret_value: <secretValue>
         keyvault_uri: "{{ keyvaulturi }}"
   

   Zastąp <vaultName> ciąg nazwą magazynu kluczy i <secretValue> wartością wpisu tajnego.

   Kluczowy punkt:

   • Moduły azure_rm_keyvault_info i set_facts rejestrują identyfikator URI magazynu kluczy jako zmienną. Ta zmienna jest następnie przekazywana do modułu azure_rm_keyvaultsecret w celu utworzenia wpisu tajnego.

2. create_kv_secret.yml Uruchom podręcznik.

   ansible-playbook create_kv_secret.yml
   

   PLAY [localhost] *******************************************************************************************************
   
   TASK [Gathering Facts] *************************************************************************************************
   ok: [localhost]
   
   TASK [Get Key Vault by name] *******************************************************************************************
   ok: [localhost]
   
   TASK [set KeyVault uri fact] *******************************************************************************************
   ok: [localhost]
   
   TASK [Create a secret] *************************************************************************************************
   ok: [localhost]
   
   PLAY RECAP *************************************************************************************************************
   localhost                  : ok=4    changed=0    unreachable=0    failed=0    skipped=0    rescued=0    ignored=0
   

Pobieranie wpisów tajnych z magazynu kluczy

Wpisy tajne przechowywane w usłudze Azure Key Vault mogą służyć do wypełniania zmiennych rozwiązania Ansible.

1. Utwórz nowy podręcznik o nazwie get_kv_secrets.yml w celu pobrania wpisów tajnych magazynu kluczy za pomocą rozwiązania Ansible.

   Rozwiązanie Ansible 2.9 z azure_preview_modules

   ---
   - hosts: localhost
     connection: local
     roles: 
       -  { role: azure.azure_preview_modules }
   
     vars:
       tenant_id: <tenantId>
       vault_name: <vaultName>
       secret_name: adminPassword
       client_id: <servicePrincipalApplicationId>
       client_secret: <servicePrincipalSecret>
   
     tasks:
     - name: Get Key Vault by name
       azure_rm_keyvault_info:
         resource_group: ansible-kv-test-rg
         name: "{{ vault_name }}"
       register: keyvault
   
     - name: Set key vault URI fact
       set_fact: keyvaulturi="{{ keyvault['keyvaults'][0]['vault_uri'] }}"
   
     - name: Set key vault secret fact
       set_fact: secretValue={{ lookup('azure_keyvault_secret',secret_name,vault_url=keyvaulturi, client_id=client_id, secret=client_secret, tenant_id=tenant_id) }}
   
     - name: Output key vault secret
       debug:
         msg: "{{ secretValue }}"
   

   Zastąp <tenantId>wartości , <vaultName>, <servicePrincipalApplicationId>i <servicePrincipalSecret> odpowiednimi wartościami.

   Aby dowiedzieć się więcej o azure_preview_modulessystemie, zobacz stronę Ansible Galaxy .

   Rozwiązanie Ansible 2.10 z modułem azure.azcollection

   ---
   - hosts: localhost
     connection: local
     collections:
       - azure.azcollection
   
     vars:
       vault_name: ansible-kv-test-01
       secret_name: adminPassword
   
     tasks:
   
     - name: Get Key Vault by name
       azure_rm_keyvault_info:
         resource_group: ansible-kv-test-rg
         name: "{{ vault_name }}"
       register: keyvault
   
     - name: Set key vault URI fact
       set_fact: keyvaulturi="{{ keyvault['keyvaults'][0]['vault_uri'] }}"
   
     - name: Get secret value
       azure_rm_keyvaultsecret_info:
         vault_uri: "{{ keyvaulturi }}"
         name: "{{ secret_name }}"
       register: kvSecret
   
     - name: set secret fact
       set_fact: secretValue="{{ kvSecret['secrets'][0]['secret'] }}"
   
     - name: Output key vault secret
       debug: 
         msg="{{ secretValue }}"
   

   Zastąp <vaultName> element odpowiednią wartością.

   Aby dowiedzieć się więcej na temat azcollectionusługi , zobacz ansible collection for Azure (Kolekcja rozwiązania Ansible dla platformy Azure).

2. get-secret-value.yml Uruchom podręcznik.

   ansible-playbook get-secret-value.yml
   

   TASK [Output key vault secret] *************************************************
   ok: [localhost] => {
       "msg": "<plainTextPassword>"
   }
   

   Upewnij się, że zastąpione <plainTextPassword> dane wyjściowe są wartością zwykłego tekstu wpisu tajnego utworzonego wcześniej w usłudze Azure Key Vault.

Kompletny przykładowy podręcznik rozwiązania Ansible

W tej sekcji wymieniono cały przykładowy podręcznik rozwiązania Ansible do konfigurowania maszyny wirtualnej z systemem Windows platformy Azure przy użyciu wpisu tajnego magazynu kluczy.

---
- name: Create Azure VM
  hosts: localhost
  connection: local
  gather_facts: false
  collections:
    - azure.azcollection

  vars:
    vault_uri: <key_vault_uri>
    secret_name: <key_vault_secret_name>

  tasks:

  - name: Get latest version of a secret
    azure_rm_keyvaultsecret_info:
      vault_uri: "{{ vault_uri }}"
      name: "{{ secret_name }}"
    register: kvSecret

  - name: Set secret fact
    set_fact: secret_value="{{ kvSecret['secrets'][0]['secret'] }}"

  - name: Create resource group
    azure_rm_resourcegroup:
      name: myResourceGroup
      location: eastus

  - name: Create virtual network
    azure_rm_virtualnetwork:
      resource_group: myResourceGroup
      name: vNet
      address_prefixes: "10.0.0.0/16"

  - name: Add subnet
    azure_rm_subnet:
      resource_group: myResourceGroup
      name: subnet
      address_prefix: "10.0.1.0/24"
      virtual_network: vNet

  - name: Create public IP address
    azure_rm_publicipaddress:
      resource_group: myResourceGroup
      allocation_method: Static
      name: pip
    register: output_ip_address

  - name: Output public IP
    debug:
      msg: "The public IP is {{ output_ip_address.state.ip_address }}"
  
  - name: Create Network Security Group
    azure_rm_securitygroup:
      resource_group: myResourceGroup
      name: networkSecurityGroup
      rules:
        - name: 'allow_rdp'
          protocol: Tcp
          destination_port_range: 3389
          access: Allow
          priority: 1001
          direction: Inbound

  - name: Create a network interface
    azure_rm_networkinterface:
      name: nic
      resource_group: myResourceGroup
      virtual_network: vNet
      subnet_name: subnet
      security_group: networkSecurityGroup
      ip_configurations:
        - name: default
          public_ip_address_name: pip
          primary: True

  - name: Create VM
    azure_rm_virtualmachine:
      resource_group: myResourceGroup
      name: win-vm
      vm_size: Standard_DS1_v2
      admin_username: azureuser
      admin_password: "{{ secret_value }}"
      network_interfaces: nic
      os_type: Windows
      image:
          offer: WindowsServer
          publisher: MicrosoftWindowsServer
          sku: 2019-Datacenter
          version: latest
    no_log: true

Zastąp <key_vault_uri> wartości i <key_vault_secret_name> odpowiednimi wartościami.

Czyszczenie zasobów

Ansible

1. Zapisz następujący kod jako delete_rg.yml.

   ---
   - hosts: localhost
     tasks:
       - name: Deleting resource group - "{{ name }}"
         azure_rm_resourcegroup:
           name: "{{ name }}"
           state: absent
         register: rg
       - debug:
           var: rg
   

2. Uruchom podręcznik przy użyciu polecenia ansible-playbook . Zastąp symbol zastępczy nazwą grupy zasobów, która ma zostać usunięta. Wszystkie zasoby w grupie zasobów zostaną usunięte.

   ansible-playbook delete_rg.yml --extra-vars "name=<resource_group>"
   

   Kluczowe punkty:

   • Ze względu na zmienną register i debug sekcję podręcznika wyniki są wyświetlane po zakończeniu polecenia.

Interfejs wiersza polecenia platformy Azure

1. Uruchom polecenie az group delete , aby usunąć grupę zasobów. Wszystkie zasoby w grupie zasobów zostaną usunięte.

   az group delete --name <resource_group>
   

2. Sprawdź, czy grupa zasobów została usunięta przy użyciu polecenia az group show.

   az group show --name <resource_group>
   

Azure PowerShell

1. Uruchom polecenie Remove-AzResourceGroup , aby usunąć grupę zasobów. Wszystkie zasoby w grupie zasobów zostaną usunięte.

   Remove-AzResourceGroup -Name <resource_group>
   

2. Sprawdź, czy grupa zasobów została usunięta przy użyciu polecenia Get-AzResourceGroup.

   Get-AzResourceGroup -Name <resource_group>
   

Następne kroki

Rozwiązanie Ansible na platformie Azure