Передача учетных данных в обработчик Azure DSCExtension
В этой статье описывается расширение Desired State Configuration (DSC) для Azure. Обзор обработчика расширения DSC см. в статье Общие сведения об обработчике расширения Desired State Configuration в Azure.
Примечание
Прежде чем включить расширение DSC, мы хотели бы, чтобы вы знали, что более новая версия DSC теперь общедоступна и управляется функцией azure Automange именованной конфигурации компьютера. Функция конфигурации компьютера сочетает в себе функции обработчика расширений Desired State Configuration (DSC), служба автоматизации Azure State Configuration и наиболее часто запрашиваемые функции из отзывов клиентов. Конфигурация компьютера также включает поддержку гибридных компьютеров через серверы с поддержкой Arc.
Передача учетных данных
В рамках процесса настройки может потребоваться настройка учетных записей пользователей, доступ к службам или установка программы в пользовательском контексте. Чтобы выполнить эти действия, необходимо указать учетные данные.
DSC можно использовать для настройки параметризованных конфигураций. В параметризованной конфигурации учетные данные передаются в конфигурацию и надежно хранятся в MOF-файлах. Обработчик расширений Azure упрощает управление учетными данными, предоставляя автоматическое управление сертификатами.
Следующий скрипт конфигурации DSC создает учетную запись локального пользователя с указанным паролем.
configuration Main
{
param(
[Parameter(Mandatory=$true)]
[ValidateNotNullorEmpty()]
[PSCredential]
$Credential
)
Node localhost {
User LocalUserAccount
{
Username = $Credential.UserName
Password = $Credential
Disabled = $false
Ensure = "Present"
FullName = "Local User Account"
Description = "Local User Account"
PasswordNeverExpires = $true
}
}
}
Важно включить node localhost в конфигурацию. Обработчик расширений специально ищет инструкцию node localhost. Если эта инструкция отсутствует, следующие шаги не работают. Важно также добавить приведение типа [PsCredential], так как этот конкретный тип активирует в расширении шифрование учетных данных.
Для публикации этого скрипта в хранилище BLOB-объектов Azure:
Publish-AzVMDscConfiguration -ConfigurationPath .\user_configuration.ps1
Для установки расширения Azure DSC и указания учетных данных:
$configurationName = 'Main'
$configurationArguments = @{ Credential = Get-Credential }
$configurationArchive = 'user_configuration.ps1.zip'
$vm = Get-AzVM -Name 'example-1'
$vm = Set-AzVMDscExtension -VMName $vm -ConfigurationArchive $configurationArchive -ConfigurationName $configurationName -ConfigurationArgument @configurationArguments
$vm | Update-AzVM
Как обеспечивается безопасность учетных данных
При выполнении этого кода запрашиваются учетные данные. После предоставления учетных данных они недолго хранятся в памяти. При публикации с помощью командлета Set-AzVMDscExtension учетные данные передаются на виртуальную машину по протоколу HTTPS, где Azure сохраняет их в зашифрованном виде на диске с использованием локального сертификата виртуальной машины. Затем они быстро расшифровываются в памяти и повторно шифруются для передачи в DSC.
Этот процесс отличается от использования безопасных конфигураций без обработчика расширений. Среда Azure предоставляет способ безопасной передачи данных конфигурации с помощью сертификатов. При использовании обработчика расширений DSC нет необходимости указывать запись $CertificatePath либо $CertificateID/ $Thumbprint в ConfigurationData.
Дальнейшие действия
- Ознакомьтесь с общими сведениями об обработчике расширения Desired State Configuration в Azure.
- Изучите шаблон Azure Resource Manager для расширения DSC.
- Дополнительные сведения о PowerShell DSC см. в центре документации по PowerShell.
- Дополнительные функциональные возможности, которыми можно управлять с помощью PowerShell DSC, и ресурсы по DSC см. в коллекции PowerShell.
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по