Compartilhar via

Implantar Azure Local usando a identidade local com Azure Key Vault

Este artigo descreve como usar a identidade local com Azure Key Vault para implantação de Azure Local.

Importante

Esse recurso está em VERSÃO PRÉVIA no momento. Consulte os Termos Suplementares de Uso para Microsoft Azure Previews para termos legais que se aplicam a recursos do Azure em versão beta, versão de visualização, ou que ainda não foram liberados para disponibilidade geral.

Visão geral

Além da implantação baseada em Active Directory (AD), Azure Local dá suporte à implantação por meio da identidade local com Azure Key Vault, anteriormente conhecida como implantação sem AD.

Com a identidade local usando uma Conta de Administrador Local, o processo de implantação configura a integração em nível de cluster com a autenticação baseada em certificado. Essa configuração garante uma comunicação segura durante a implantação e as operações em andamento.

Como parte dessa configuração, um Azure Key Vault na nuvem do Azure é provisionado durante a implantação para servir como um backup seguro para segredos locais do Azure, incluindo chaves do BitLocker e outros dados de configuração críticos.

Benefícios

Usar a identidade local com Key Vault em Azure Local oferece vários benefícios, especialmente para ambientes que não dependem do AD. Confira alguns dos principais benefícios:

  • Infraestrutura de borda mínima. Para ambientes que não usam o AD, a identidade local com Key Vault fornece uma maneira segura e eficiente de gerenciar identidades e segredos do usuário.

  • Repositório de segredos. Key Vault gerencia e armazena segredos com segurança, como chaves BitLocker, senhas de nó e outras informações confidenciais. Isso reduz o risco de acesso não autorizado e aprimora a postura geral de segurança.

  • Mantenha o gerenciamento simplificado. Ao integrar com Key Vault, as organizações podem simplificar o gerenciamento de segredos e credenciais. Isso inclui armazenar segredos de implantação e identidade local em um único cofre, facilitando o gerenciamento e o acesso a esses segredos.

  • Implantação simplificada. Durante a implantação do sistema por meio do portal Azure, você tem a opção de selecionar um provedor de identidade local integrado ao Key Vault. Essa opção simplifica o processo de implantação, garantindo que todos os segredos necessários sejam armazenados com segurança em Key Vault. A implantação se torna mais eficiente reduzindo as dependências de sistemas AD existentes ou de outros sistemas que executam o AD, que exigem manutenção contínua. Além disso, essa abordagem simplifica as configurações de firewall para redes de tecnologia operacional, facilitando o gerenciamento e a proteção desses ambientes.

Pré-requisitos

  • Atenda aos pré-requisitos e conclua a lista de verificação de implantação. Ignorar os pré-requisitos específicos do AD.

  • Crie uma conta de administrador local:

    • Crie uma conta de usuário local e adicione-a ao grupo de Administradores local. Não use a conta de Administrador interna.
      • Usando o SConfig. Selecione a opção 3Para Adicionar administrador local. Insira um nome de usuário e uma senha forte. Verifique se a senha segue Azure requisitos de complexidade e comprimento da senha. Use uma senha com pelo menos 14 caracteres e que contenha um caractere minúsculo, um caractere maiúsculo, um numeral e um caractere especial.
      • Usando o PowerShell. Use New-LocalUser para criar uma conta de usuário local. Em seguida, use Add-LocalGroupMember para adicionar membros ao grupo local.
    • Use as mesmas credenciais para essa conta em todos os nós no cluster.
    • Essa conta é necessária para operações de gerenciamento de cluster, como adicionar ou reparar um nó, para autenticar e aplicar alterações em todos os nós. Para obter instruções, consulte Adicionar um nó e Reparar um nó.
    • Você é responsável por criar e manter essa conta após a instalação do sistema operacional base (SO). Isso inclui expiração de credencial, rotação e segurança.

  • Baixe o software Azure Local. Consulte Baixar o sistema operacional para implantação local do Azure.

  • Os nós exigem endereços IP estáticos e não dão suporte a DHCP. Depois que o sistema operacional for instalado, use SConfig para definir o endereço IP estático, a sub-rede, o gateway e o DNS.

  • Tenha um servidor DNS com uma zona configurada corretamente. Essa configuração é crucial para que a rede funcione corretamente. Consulte Configurar servidor DNS para Azure Local.

  • Habilite o SSH em cada nó para acesso remoto do portal Azure. Para obter instruções, consulte SSH acesso a servidores habilitados para Azure Arc.

Configurar o servidor DNS para Azure Local

Siga estas etapas para configurar o DNS para Azure Local:

  1. Crie e configure o servidor DNS.

    Configure seu servidor DNS, caso ainda não tenha um. Você pode usar Windows Server DNS ou outra solução DNS.

  2. Crie registros DNS Host A.

    Para cada nó em sua instância de Azure Local, crie um registro A do Host DNS. Esse registro mapeia o nome do host do nó para seu endereço IP, permitindo que outros dispositivos na rede localizem e se comuniquem com o nó.

    Além disso, crie um registro DNS Host A para o próprio sistema. Esse registro deve usar o primeiro endereço IP do intervalo de rede que você alocou para o sistema.

  3. Verifique os registros DNS.

    Para verificar se os registros DNS de um computador específico estão configurados corretamente, use o FQDN (nome de domínio totalmente qualificado) configurado como uma zona no DNS:

    Resolve-DnsName "<fully qualified domain name>"

    Por exemplo:

    Resolve-DnsName "machinename.domain.com"

  4. Configure o encaminhamento de DNS.

    Configure o encaminhamento de DNS em seu servidor DNS para encaminhar consultas DNS para DNS do Azure ou outro provedor DNS externo, conforme necessário.

  5. Atualize as configurações de rede.

    Atualize as configurações de rede em seus nós Azure Local para usar o servidor DNS que você configurou. Isso pode ser feito por meio das configurações do adaptador de rede ou usando comandos do PowerShell.

  6. Verifique a configuração do DNS.

    Teste a configuração de DNS para garantir que as consultas de DNS sejam resolvidas corretamente. Você pode usar ferramentas como Resolve-DnsName no Windows PowerShell ou dig para verificar a resolução DNS.

  7. Reinicie o sistema operacional em computadores locais e remotos:

    Restart-Computer

Implantar Azure Local por meio do portal usando a identidade local com Key Vault

Durante a implantação por meio do portal Azure, você tem a opção de selecionar um provedor de identidade local integrado ao Key Vault. Isso permite que você use uma identidade local com Key Vault para gerenciar e armazenar segredos com segurança em vez de depender do AD para autenticação.

As etapas gerais de implantação são as mesmas descritas em Deploy um sistema de Azure Local usando o portal Azure. No entanto, ao usar a identidade local com Key Vault, você precisa executar etapas específicas nas guias Networking e Management.

Guia Rede

  • Forneça um nome de zona (domínio) válido para estabelecer um namespace DNS privado e autoritativo para o cluster. Esse domínio deve ser resolvível internamente (apenas para hosts e cargas de trabalho internos) ou externamente (para hosts e cargas de trabalho disponíveis publicamente), dependendo dos requisitos de visibilidade do cluster.

  • Forneça os detalhes do servidor DNS configurados na seção Configurar DNS para Azure Local.

    Captura de tela da guia Rede mostrando o nome da zona e os campos do servidor DNS.

Guia Gerenciamento

  1. Selecione a opção Local Identity com Azure Key Vault.

  2. Para criar um novo Key Vault, selecione Criar um novo Key Vault. Insira os detalhes necessários no painel de contexto correto e selecione Criar.

  3. Em Nome do Key Vault, insira o novo nome do Key Vault. Você deverá criar um Key Vault por cluster.

    Captura de tela da página Criar um Cofre de Chaves.

Etapas de pós-implantação

Depois de implantar o sistema, confirme se a implantação foi sem AD e verifique se os segredos estão salvos em backup no Key Vault. Você pode se conectar aos nós de cluster de várias maneiras:

  • Conecte-se localmente no site.
  • Conecte-se remotamente por meio de uma solução existente de Controlador de Gerenciamento de Placa-mãe (BMC).
  • Conecte-se remotamente por meio do portal Azure usando uma conexão Azure Arc com o SSH habilitado, conforme descrito em Prerequisites.

Confirme se o sistema foi implantado sem Active Directory

  1. Confirme que o nó não está associado a um domínio do AD executando o seguinte comando. Se a saída mostrar WORKGROUP, o nó não está conectado ao domínio.

    (Get-WmiObject Win32_ComputerSystem).Domain

    Aqui está um exemplo de saída:

    [host]: PS C:\Users\LocalAdmin\Documents> (Get-WmiObject Win32_ComputerSystem).Domain 
WORKGROUP

  2. Verifique se um cluster de grupo de trabalho funciona corretamente sem o Active Directory. Execute o seguinte comando e verifique o valor do ADAware parâmetro:

    Get-ClusterResource "Cluster Name" | Get-ClusterParameter ADAware 

Object       Name    Value Type 

------       ----    ----- ---- 

ClusterName  ADAware  2    UInt32 

For ADAware property, 0 = None, 1 = AD, 2 = Local Identity

Verifique se os segredos estão sendo armazenados em backup para Key Vault

As chaves do BitLocker e as senhas de administrador de recuperação têm backup seguro no Azure e são rotacionadas para garantir a segurança máxima.

Em cenários em que o AD não está disponível, você pode utilizar um usuário administrador de recuperação dedicado para restaurar o sistema. O nome de usuário designado para essa finalidade é RecoveryAdmin. A senha correspondente pode ser recuperada com segurança do Azure Key Vault, garantindo que você tenha as credenciais necessárias para executar as operações de recuperação do sistema com eficiência.

Isso garante que todas as informações críticas sejam armazenadas com segurança e possam ser facilmente recuperadas quando necessário, fornecendo uma camada adicional de segurança e confiabilidade para nossa infraestrutura.

Captura de tela da página Segredos.

Alertas para a extensão Key Vault do Azure Local

Azure Local usa a extensão Key Vault para armazenar e gerenciar segredos com segurança. Para garantir a confiabilidade e a segurança, o sistema monitora continuamente a integridade da integração Key Vault. Se algum problema for detectado, os alertas serão gerados automaticamente e exibidos por Azure Monitor para visibilidade e resposta.

Os alertas são enviados por meio do gateway Azure Alerts e podem ser exibidos no portal do Azure em Monitor>Alerts. Você pode configurar grupos de ações para receber notificações por email, SMS ou webhook. Para obter mais informações, consulte O que são alertas Azure Monitor?

A tabela a seguir descreve os alertas disponíveis, seu impacto e a ação recomendada para resolver.

Alerts Description Impacto Ação recomendada
CofreChaveNaoExiste O Key Vault especificado não existe. Um Key Vault é necessário para fazer backup e armazenar segredos com segurança. Sem ele, as operações de backup secretas falharão. – Verifique se o recurso Key Vault existe em sua assinatura Azure.
– Verifique se o nome do Key Vault e o grupo de recursos correspondem à configuração na sua implantação.
- Se o Key Vault foi excluído, recrie-o e atualize a configuração.
KeyVaultAccess Um ou mais nós de cluster não puderam acessar o Key Vault. Se os nós não puderem acessar o Key Vault, as operações que exigem recuperação secreta ou backup poderão falhar. - Verifique a conectividade de rede entre os nós de cluster e o ponto de extremidade Key Vault.
- Verifique se as políticas de firewall e acesso do Key Vault permitem que os nós de cluster se conectem.
– Verifique se a identidade gerenciada ou a entidade de serviço usada pelo cluster tem as permissões necessárias (como Obter, Listar e Backup). Além disso, a identidade gerenciada associada aos nós (Arc for Server) deve ser atribuída à função de Key Vault Secrets Officer no Key Vault.

Atualizar Key Vault no Azure Local

Siga estas etapas para atualizar a configuração de backup para usar um novo Key Vault:

  1. Crie um novo Key Vault no portal do Azure. Configure-o para armazenar segredos de backup.

  2. Configure controles de acesso para o novo Key Vault. Isso inclui a concessão de permissões necessárias para a identidade do nó. Certifique-se de que o seu Key Vault esteja atribuído à função Key Vaults Secret Officer. Para obter instruções, consulte Como conceder acesso às chaves, certificados e segredos do Key Vault com controle de acesso baseado em função do Azure.

    Captura de tela da página Adicionar atribuição de função.

  3. Atualize a configuração do sistema. Use uma solicitação POST para atualizar a configuração do cluster com os novos detalhes do Key Vault. Você deve ter a função Azure Stack Administrador do HCI atribuída para executar a API POST. Para obter mais informações, consulte Use Controle de Acesso baseado em função para gerenciar Azure Local VMs habilitadas pelo Azure Arc.

    1. Execute o seguinte comando para entrar em sua assinatura Azure:

      Connect-AzAccount

    2. Execute o seguinte comando para verificar o contexto da assinatura:

      Get-AzContext

    3. Depois de autenticado, use o Invoke-AzRestMethod cmdlet para enviar a solicitação POST. Isso atualiza o cluster com a nova localização do Key Vault.

    Aqui está um exemplo de saída:

    Invoke-AzRestMethod -Path "/subscriptions/<subscriptionId>/resourceGroups/<resourceGroupName>/providers/Microsoft.AzureStackHCI/clusters/<clusterName>/updateSecretsLocations" -Method POST -Payload
{ 
"properties": {
    "secretsType": "BackupSecrets",
    "secretsLocation": "https://hcikeyvaulttestingnew.vault.azure.net/"
              }
} # Response: 200 OK

  4. Valide a configuração. No portal do Azure, abra o recurso do sistema e verifique se Resource JSON inclui os detalhes de Key Vault atualizados.

    Aqui está uma captura de tela de exemplo de Resource JSON em que você pode atualizar o Key Vault:

    Screenshot do recurso JSON onde você pode atualizar o Key Vault.

  5. Verifique os segredos no novo Key Vault. Confirme se todos os segredos de backup estão armazenados corretamente no novo Key Vault.

  6. Limpe o velho Key Vault. O Key Vault antigo e seus segredos não são excluídos automaticamente. Depois de verificar se o novo Key Vault está configurado corretamente, você pode excluir a Key Vault antiga, se necessário.

Recuperar um Key Vault excluído e retomar o backup

Quando você exclui e recupera posteriormente um Key Vault, a identidade gerenciada que anteriormente tinha acesso ao Key Vault é afetada das seguintes maneiras:

  • Revogação do acesso à identidade gerenciada. Durante o processo de exclusão, as permissões de acesso da identidade gerenciada para o Key Vault são revogadas. Isso significa que a identidade não tem mais autorização para acessar o Key Vault.
  • Falha nas operações de extensão. A extensão do cofre de chaves de backup responsável pelo gerenciamento de backups secretos depende da identidade gerenciada para obter acesso. Com as permissões de acesso revogadas, a extensão não pode executar operações de backup.
  • Status da extensão no portal do Azure. No portal Azure, o status da extensão é exibido como Failed indicando que a extensão não pode fazer backup de segredos devido à perda de permissões necessárias.

Para resolver e resolver o problema da extensão com falha e restaurar as operações normais de backup, execute as seguintes etapas:

  1. Reatribua o acesso à identidade gerenciada.

    1. Determine a identidade gerenciada que requer acesso ao Key Vault.
    2. Reatribua a função Key Vault Secret Officer à identidade gerenciada.

  2. Verifique a funcionalidade da extensão.

    1. Após a reatribuição, monitore o status da extensão no portal do Azure para garantir que ele mude de Failed para Succeeded. Isso indica que a extensão recuperou as permissões necessárias e agora está funcionando corretamente.
    2. Teste as operações de backup para garantir que o backup dos segredos esteja sendo feito corretamente e que o processo de backup esteja funcionando conforme o esperado.

Compatibilidade de ferramentas em ambientes Azure Local configurados com Azure Key Vault

O suporte a ferramentas em ambientes de Azure Local configurados com Azure Key Vault para gerenciamento de identidades varia em todo o ecossistema. Use as diretrizes a seguir para planejar e operar efetivamente nessas configurações.

Ferramentas com suporte

  • PowerShell. Suporte total para ambientes de identidade baseados em AD e Azure Key Vault. O PowerShell é a interface principal para gerenciar e automatizar clusters Azure Local em configurações de identidade.

  • Azure Monitor. Suporte para monitorar a integridade e o desempenho de hosts e máquinas virtuais. A integração com Azure Monitor permite visibilidade da integridade do sistema, dos alertas e da telemetria.

  • Azure portal. Com suporte para o gerenciamento de clusters de Azure Local.

Ferramentas de suporte sem suporte ou limitadas

  • Windows Admin Center. Não há suporte em ambientes de identidade baseados em Azure Key Vault. Você deve usar o PowerShell ou outras ferramentas com suporte para tarefas administrativas.
  • System Center Virtual Machine Manager (SCVMM). Espera-se que tenha suporte limitado ou sem suporte em ambientes de identidade baseados em Azure Key Vault. Valide casos de uso específicos antes de depender do SCVMM.

Compatibilidade mista

  • Microsoft Consoles de Gerenciamento (MMCs). A compatibilidade varia. Ferramentas como o Gerenciador de Hyper-V e o Gerenciador de Cluster de Failover podem não estar funcionais em todos os cenários. Teste fluxos de trabalho críticos antes de depender de MMCs para uso em produção.

 Serviços disponíveis ou com suporte em geral

  • Clustering com reconhecimento de rack. Dá suporte à conscientização do domínio de falhas e à resiliência aprimorada para clusters de Azure Local configurados com identidade local e Azure Key Vault.
  • Área de Trabalho Virtual do Azure (AVD). Há suporte para cargas de trabalho AVD em clusters Azure Local usando a identidade local com Azure Key Vault, habilitando implantações de área de trabalho virtual seguras sem dependência de Active Directory.

 Compatibilidade de terceiros

O Commvault é uma solução de backup e proteção de dados de terceiros compatível com implantações de Azure Local usando identidade local e Azure Key Vault. Em cenários com suporte, o Commvault pode ser usado para backup e recuperação sem a necessidade de uma dependência de Active Directory.

perguntas frequentes

Esta seção fornece respostas para algumas perguntas frequentes sobre como usar a identidade local com Key Vault.

O que fazer se a extensão Azure Key Vault Segredos de Backup não tiver sido instalada durante a implantação

Se a extensão não tiver sido instalada durante a implantação, você poderá instalá-la manualmente em servidores habilitados para Arc seguindo estas etapas:

  1. Crie uma nova Azure Key Vault se você ainda não tiver uma. Para obter instruções, consulte Quickstart: Criar um cofre de chaves usando o portal Azure.

  2. Na página Key Vault, navegue até Controle de acesso (IAM)>Adicionar atribuição de função.

    1. Na guia Role, selecione Key Vault Secrets Officer.
    2. Na aba Members, selecione Identidade gerenciada e adicione o cluster Azure Local como membro.
    3. Clique em Revisar + atribuir para concluir a atribuição de função.

  3. Verifique se a atribuição de função aparece na guia Atribuições de função.

  4. Vá para o cluster Azure Local e anote os nomes dos computadores Arc.

  5. Execute o seguinte script do PowerShell para instalar a extensão em computadores Arc:

    # Login to Azure
Connect-AzAccount
$ResourceGroup = "<Resource Group>"
$ResourceLocation = "<Location>"
$KeyVaultUri = "<URL of Azure Key Vault>"
$ArcMachines = @("v-host1", "v-host2", "v-host3", "v-host4")
foreach ($MachineName in $ArcMachines) {
New-AzConnectedMachineExtension `
-Name AzureEdgeAKVBackupForWindows `
-ResourceGroupName $ResourceGroup `
-Location $ResourceLocation `
-MachineName $MachineName `
-Publisher Microsoft.Edge.Backup `
-ExtensionType AKVBackupForWindows `
-Setting @{KeyVaultUrl = $KeyVaultUri; UseClusterIdentity = $true}
}

  6. Confirme o status da extensão no portal Azure para garantir que ele foi instalado com êxito.

Próximas etapas

Esse recurso só está disponível no Azure Local 2510 ou posterior.

  • Last updated on