Hızlı Başlangıç: Terraform kullanarak Azure Doğrulama sağlayıcısı oluşturma

Microsoft Azure Doğrulama, Güvenilen Yürütme Ortamlarını (TEE) kanıtlamaya yönelik bir çözümdür. Bu hızlı başlangıçta Terraform kullanarak Microsoft Azure Doğrulama ilkesi oluşturma işlemine odaklanılır.

Bu makalede şunları öğreneceksiniz:

• random_pet kullanarak Azure kaynak grubu adı için rastgele bir değer oluşturun.
• azurerm_resource_group kullanarak bir Azure kaynak grubu oluşturun.
• azurerm_attestation_provider kullanarak bir Azure Doğrulama sağlayıcısı oluşturun.

Önkoşullar

• Terraform'u yükleme ve yapılandırma

• İlke İmzalama Sertifikası: İmzalı ilkeleri doğrulamak için kanıtlama sağlayıcısı tarafından kullanılan bir X.509 sertifikasını karşıya yüklemeniz gerekir. Bu sertifika bir sertifika yetkilisi tarafından imzalanır veya otomatik olarak imzalanır. Desteklenen dosya uzantıları arasında pem, txtve cerbulunur. Bu makalede, zaten geçerli bir X.509 sertifikanız olduğu varsayılır.

Terraform kodunu uygulama

Not

Bu makalenin örnek kodu Azure Terraform GitHub deposunda bulunur. Terraform'un geçerli ve önceki sürümlerinden test sonuçlarını içeren günlük dosyasını görüntüleyebilirsiniz.

Azure kaynaklarını yönetmek için Terraform'un nasıl kullanılacağını gösteren diğer makalelere ve örnek koda bakın

1. Örnek Terraform kodunu test etmek ve geçerli dizin yapmak için bir dizin oluşturun.

2. adlı providers.tf bir dosya oluşturun ve aşağıdaki kodu ekleyin:

   terraform {
     required_version = ">=0.12"
   
     required_providers {
       azurerm = {
         source  = "hashicorp/azurerm"
         version = "~>2.0"
       }
       random = {
         source  = "hashicorp/random"
         version = "~>3.0"
       }
       tls = {
         source  = "hashicorp/tls"
         version = "4.0.4"
       }
     }
   }
   
   provider "azurerm" {
     features {}
   }
   

3. adlı main.tf bir dosya oluşturun ve aşağıdaki kodu ekleyin:

   resource "random_pet" "rg_name" {
     prefix = var.resource_group_name_prefix
   }
   
   resource "azurerm_resource_group" "rg" {
     location = var.resource_group_location
     name     = random_pet.rg_name.id
   }
   
   locals {
     create_signing_cert = try(!fileexists(var.cert_path), true)
   }
   
   resource "tls_private_key" "signing_cert" {
     count = local.create_signing_cert ? 1 : 0
   
     algorithm = "RSA"
     rsa_bits  = 4096
   }
   
   resource "tls_self_signed_cert" "attestation" {
     count = local.create_signing_cert ? 1 : 0
   
     private_key_pem = tls_private_key.signing_cert[0].private_key_pem
     validity_period_hours = 12
     allowed_uses = [
       "cert_signing",
     ]
   }
   
   resource "random_string" "attestation_suffix" {
     length  = 8
     numeric = false
     special = false
     upper   = false
   }
   
   resource "azurerm_attestation_provider" "corp_attestation" {
     location                        = azurerm_resource_group.rg.location
     name                            = "${var.attestation_provider_name}${random_string.attestation_suffix.result}"
     resource_group_name             = azurerm_resource_group.rg.name
     policy_signing_certificate_data = try(tls_self_signed_cert.attestation[0].cert_pem, file(var.cert_path))
   }
   

4. adlı variables.tf bir dosya oluşturun ve aşağıdaki kodu ekleyin:

   variable "attestation_provider_name" {
     default = "attestation"
   }
   
   variable "cert_path" {
     default = "~/.certs/cert.pem"
   }
   
   variable "resource_group_location" {
     default     = "eastus"
     description = "Location of the resource group."
   }
   
   variable "resource_group_name_prefix" {
     default     = "rg"
     description = "Prefix of the resource group name that's combined with a random ID so name is unique in your Azure subscription."
   }
   

   Önemli noktalar:

   • policy_file PEM dosyanıza işaret etmek için alanı gerektiği gibi ayarlayın.

5. adlı outputs.tf bir dosya oluşturun ve aşağıdaki kodu ekleyin:

   output "resource_group_name" {
     value = azurerm_resource_group.rg.name
   }
   

Terraform'u başlatma

Terraform dağıtımını başlatmak için terraform init komutunu çalıştırın. Bu komut, Azure kaynaklarınızı yönetmek için gereken Azure sağlayıcısını indirir.

terraform init -upgrade

Önemli noktalar:

• -upgrade parametresi, gerekli sağlayıcı eklentilerini yapılandırmanın sürüm kısıtlamalarına uygun en yeni sürüme yükseltir.

Terraform yürütme planı oluşturma

Terraform planını çalıştırarak yürütme planı oluşturun.

terraform plan -out main.tfplan

Önemli noktalar:

• komutu terraform plan bir yürütme planı oluşturur ancak yürütmez. Bunun yerine, yapılandırma dosyalarınızda belirtilen yapılandırmayı oluşturmak için hangi eylemlerin gerekli olduğunu belirler. Bu düzen, gerçek kaynaklarda değişiklik yapmadan önce yürütme planının beklentilerinizle eşleşip eşleşmediğini doğrulamanızı sağlar.
• İsteğe bağlı -out parametresi, plan için bir çıkış dosyası belirtmenize olanak tanır. parametresinin -out kullanılması, gözden geçirdiğiniz planın tam olarak uygulanan plan olmasını sağlar.

Terraform yürütme planı uygulama

Yürütme planını bulut altyapınıza uygulamak için terraform apply komutunu çalıştırın.

terraform apply main.tfplan

Önemli noktalar:

• Örnek terraform apply komut, daha önce komutunu çalıştırdığınızı terraform plan -out main.tfplanvarsayar.
• parametresi için -out farklı bir dosya adı belirttiyseniz, çağrısında terraform applyaynı dosya adını kullanın.
• parametresini -out kullanmadıysanız, parametresiz olarak çağırın terraform apply .

6. Sonuçları doğrulayın

Azure CLI

1. Azure kaynak grubu adını alın.

   resource_group_name=$(terraform output -raw resource_group_name)
   

2. Belirtilen kaynak grubu adının sağlayıcılarını listelemek için az attestation list komutunu çalıştırın.

   az attestation list --resource-group $resource_group_name
   

Kaynakları temizleme

Terraform aracılığıyla oluşturulan kaynaklara artık ihtiyacınız kalmadığında aşağıdaki adımları uygulayın:

1. terraform planını çalıştırın ve bayrağını destroy belirtin.

   terraform plan -destroy -out main.destroy.tfplan
   

   Önemli noktalar:

   • komutu terraform plan bir yürütme planı oluşturur ancak yürütmez. Bunun yerine, yapılandırma dosyalarınızda belirtilen yapılandırmayı oluşturmak için hangi eylemlerin gerekli olduğunu belirler. Bu düzen, gerçek kaynaklarda değişiklik yapmadan önce yürütme planının beklentilerinizle eşleşip eşleşmediğini doğrulamanızı sağlar.
   • İsteğe bağlı -out parametresi, plan için bir çıkış dosyası belirtmenize olanak tanır. parametresinin -out kullanılması, gözden geçirdiğiniz planın tam olarak uygulanan plan olmasını sağlar.

2. Yürütme planını uygulamak için terraform apply komutunu çalıştırın.

   terraform apply main.destroy.tfplan
   

Azure'da Terraform sorunlarını giderme

Azure'da Terraform kullanırken karşılaşılan yaygın sorunları giderme

Sonraki adımlar

Azure Doğrulama genel bakış.