Kimlik bilgilerini Azure DSCExtension işleyicisine geçirme
Bu makale, Azure için İstenen Durum Yapılandırması (DSC) uzantısını kapsar. DSC uzantı işleyicisine genel bakış için bkz . Azure İstenen Durum Yapılandırması uzantısı işleyicisine giriş.
Not
DSC uzantısını etkinleştirmeden önce, azure automange adlı makine yapılandırması özelliği tarafından yönetilen daha yeni bir DSC sürümünün genel kullanıma sunulduğundan emin olmak isteriz. Makine yapılandırma özelliği, İstenen Durum Yapılandırması (DSC) uzantı işleyicisinin özelliklerini, durum yapılandırması Azure Otomasyonu ve müşteri geri bildirimlerinden en sık istenen özellikleri birleştirir. Makine yapılandırması, Arc özellikli sunucular aracılığıyla karma makine desteği de içerir.
Kimlik bilgilerini geçirme
Yapılandırma işleminin bir parçası olarak, kullanıcı hesaplarını ayarlamanız, hizmetlere erişmeniz veya kullanıcı bağlamında bir program yüklemeniz gerekebilir. Bunları yapmak için kimlik bilgilerini sağlamanız gerekir.
Parametreli yapılandırmaları ayarlamak için DSC kullanabilirsiniz. Parametreli bir yapılandırmada, kimlik bilgileri yapılandırmaya geçirilir ve .mof dosyalarında güvenli bir şekilde depolanır. Azure uzantı işleyicisi, sertifikaların otomatik yönetimini sağlayarak kimlik bilgisi yönetimini basitleştirir.
Aşağıdaki DSC yapılandırma betiği, belirtilen parolayla bir yerel kullanıcı hesabı oluşturur:
configuration Main
{
param(
[Parameter(Mandatory=$true)]
[ValidateNotNullorEmpty()]
[PSCredential]
$Credential
)
Node localhost {
User LocalUserAccount
{
Username = $Credential.UserName
Password = $Credential
Disabled = $false
Ensure = "Present"
FullName = "Local User Account"
Description = "Local User Account"
PasswordNeverExpires = $true
}
}
}
Yapılandırmanın bir parçası olarak node localhost'un dahil edilmesi önemlidir. Uzantı işleyicisi özellikle node localhost deyimini arar. Bu deyim eksikse aşağıdaki adımlar çalışmaz. [PsCredential] tür yayınını eklemek de önemlidir. Bu özel tür, kimlik bilgilerini şifrelemek için uzantıyı tetikler.
Bu betiği Azure Blob depolamada yayımlamak için:
Publish-AzVMDscConfiguration -ConfigurationPath .\user_configuration.ps1
Azure DSC uzantısını ayarlamak ve kimlik bilgilerini sağlamak için:
$configurationName = 'Main'
$configurationArguments = @{ Credential = Get-Credential }
$configurationArchive = 'user_configuration.ps1.zip'
$vm = Get-AzVM -Name 'example-1'
$vm = Set-AzVMDscExtension -VMName $vm -ConfigurationArchive $configurationArchive -ConfigurationName $configurationName -ConfigurationArgument @configurationArguments
$vm | Update-AzVM
Kimlik bilgilerinin güvenliği nasıl sağlanır?
Bu kodu çalıştırmak bir kimlik bilgisi ister. Kimlik bilgisi sağlandıktan sonra kısa bir süre bellekte depolanır. Kimlik bilgisi Set-AzVMDscExtension cmdlet'i kullanılarak yayımlandığında, kimlik bilgisi HTTPS üzerinden VM'ye iletilir. Vm'de Azure, yerel VM sertifikasını kullanarak diskte şifrelenen kimlik bilgilerini depolar. Kimlik bilgilerinin şifresi bellekte kısa bir süre çözülür ve ardından DSC'ye geçirmek için yeniden şifrelenir.
Bu işlem, uzantı işleyicisi olmadan güvenli yapılandırmaları kullanmaktan farklıdır. Azure ortamı, yapılandırma verilerini sertifikalar aracılığıyla güvenli bir şekilde iletmenin bir yolunu sunar. DSC uzantı işleyicisini kullandığınızda ConfigurationData'da $CertificatePath veya $CertificateID/ $Thumbprint girişi sağlamanız gerekmez.
Sonraki adımlar
- Azure DSC uzantı işleyicisine giriş edinin.
- DSC uzantısı için Azure Resource Manager şablonunu inceleyin.
- PowerShell DSC hakkında daha fazla bilgi için PowerShell belge merkezine gidin.
- PowerShell DSC kullanarak yönetebileceğiniz daha fazla işlevsellik ve daha fazla DSC kaynağı için PowerShell galerisine göz atın.