Virtuális gép Azure Stack Hub üzembe a következőben tárolt jelszóval Key Vault

Ez a cikk a Windows virtuális gép (VM) üzembe helyezésének lépéseit a Azure Stack Hub Key Vault. A kulcstartó jelszavának használata biztonságosabb, mint egy egyszerű szöveges jelszó átadása.

Áttekintés

Az értékeket, például a jelszót titkos kulcsként tárolhatja egy Azure Stack Hub kulcstartóban. A titkos gombra a létrehozása után hivatkozhat a Azure Resource Manager sablonokban. A titkos kulcsok Resource Manager az alábbi előnyökkel jár:

  • Nem kell manuálisan megadnia a titkos adatokat minden egyes alkalommal, amikor üzembe helyez egy erőforrást.
  • Megadhatja, hogy mely felhasználók vagy szolgáltatásnév férhetnek hozzá a titkos adatokhoz.

Előfeltételek

A következő lépések a virtuális gépek létrehozásához szükséges folyamatot írják le egy virtuális gépen tárolt jelszó le Key Vault:

  1. Hozzon létre egy Key Vault titkos gombra.
  2. Frissítse a azuredeploy.parameters.json fájlt.
  3. A sablon üzembe helyezése.

Megjegyzés

Ezeket a lépéseket használhatja az Azure Stack Development Kit (ASDK), vagy egy külső ügyfélről, ha VPN-en keresztül csatlakozik.

Titkos Key Vault létrehozása

Az alábbi szkript létrehoz egy kulcstartót, és titkos kulcsként tárolja a jelszót a kulcstartóban. A -EnabledForDeployment kulcstartó létrehozásakor használja a paramétert. Ez a paraméter biztosíthatja, hogy a kulcstartóra hivatkozni lehet a Azure Resource Manager sablonokból.


$vaultName = "contosovault"
$resourceGroup = "contosovaultrg"
$location = "local"
$secretName = "MySecret"

New-AzResourceGroup `
  -Name $resourceGroup `
  -Location $location

New-AzKeyVault `
  -VaultName $vaultName `
  -ResourceGroupName $resourceGroup `
  -Location $location
  -EnabledForTemplateDeployment

$secretValue = ConvertTo-SecureString -String '<Password for your virtual machine>' -AsPlainText -Force

Set-AzureKeyVaultSecret `
  -VaultName $vaultName `
  -Name $secretName `
  -SecretValue $secretValue

Az előző szkript futtatásakor a kimenet tartalmazza a titkos URI-t (Uniform Resource Identifier). Jegyezze fel ezt az URI-t. Hivatkozni kell rá a Deploy Windows VM with password in key vault (Virtuális gép üzembe helyezése jelszóval a Key Vaultban) sablonban. Töltse le a 101-vm-secure-password mappát a fejlesztői számítógépre. Ez a mappa tartalmazza a és fájlokat, amelyekre a következő azuredeploy.jsonazuredeploy.parameters.json lépésekben szüksége lesz.

Módosítsa azuredeploy.parameters.json a fájlt a környezeti értékeknek megfelelően. A speciálisan érdekes paraméterek a tároló neve, a tároló erőforráscsoportja és a titkos kulcs URI-ja (az előző szkript alapján). Az alábbi fájl egy példa egy paraméterfájlra.

Az azuredeploy.parameters.json fájl frissítése

Frissítse a fájlt a virtuális gép azuredeploy.parameters.json értékeinek KeyVault URI,secretName és adminUsername értékeivel a környezetnek megfelelően. Az alábbi JSON-fájl egy példa a sablonparaméter-fájlra:

{
    "$schema":  "https://schema.management.azure.com/schemas/2015-01-01/deploymentParameters.json#",
    "contentVersion":  "1.0.0.0",
    "parameters":  {
       "adminUsername":  {
         "value":  "demouser"
          },
       "adminPassword":  {
         "reference":  {
            "keyVault":  {
              "id":  "/subscriptions/xxxxxx/resourceGroups/RgKvPwd/providers/Microsoft.KeyVault/vaults/KvPwd"
              },
            "secretName":  "MySecret"
         }
       },
       "dnsLabelPrefix":  {
          "value":  "mydns123456"
        },
        "windowsOSVersion":  {
          "value":  "2016-Datacenter"
        }
    }
}

Sablonalapú telepítés

Most telepítse a sablont a következő PowerShell-szkript használatával:

New-AzResourceGroupDeployment `
  -Name KVPwdDeployment `
  -ResourceGroupName $resourceGroup `
  -TemplateFile "<Fully qualified path to the azuredeploy.json file>" `
  -TemplateParameterFile "<Fully qualified path to the azuredeploy.parameters.json file>"

A sablon sikeres üzembe helyezése a következő kimenetet ad vissza:

Üzembe helyezés kimenete

Következő lépések