Başlarken: Azure Cloud Shell bash ile terrayform 'u yapılandırma

Makale
12/03/2021
Okumak için 9 dakika

Terrayform , bulut altyapısının tanımını, önizlemesini ve dağıtımını sunar. Terrayform kullanarak, HCL söz diziminikullanarak yapılandırma dosyaları oluşturursunuz. HCL sözdizimi, Azure gibi bulut sağlayıcısını ve bulut altyapınızı oluşturan öğeleri belirtmenize olanak tanır. Yapılandırma dosyalarınızı oluşturduktan sonra, altyapı değişiklerinizi dağıtılmadan önce önizlemenize olanak tanıyan bir yürütme planı oluşturursunuz. Değişiklikleri doğruladıktan sonra, altyapıyı dağıtmak için yürütme planını uygularsınız.

Bu makalede, Azure 'da Terrayform ile kullanım için kimlik doğrulama seçenekleri sunulmaktadır.

Bu makalede şunları öğreneceksiniz:

Cloud Shell Yapılandır

Geçerli Azure hesabını görüntüle

Ortak Teraform ve Azure kimlik doğrulama senaryolarını anlama

Cloud Shell Microsoft hesabı aracılığıyla kimlik doğrulama (bash veya PowerShell kullanarak)

Windows Microsoft hesabı aracılığıyla kimlik doğrulama (bash veya PowerShell kullanarak)

Azure CLı kullanarak hizmet sorumlusu oluşturma

Azure PowerShell’i kullanarak hizmet sorumlusu oluşturma

Ortam değişkenlerinde hizmet sorumlusu kimlik bilgilerini belirtin

Bir Terrayform sağlayıcı bloğunda hizmet sorumlusu kimlik bilgilerini belirtme

1. ortamınızı yapılandırın

Azure aboneliği: Azure aboneliğiniz yoksa başlamadan önce ücretsiz bir hesap oluşturun.

2. Cloud Shell açın

Zaten açık bir Cloud Shell oturumunuz varsa, sonraki bölüme atlayabilirsiniz.
Azure portalına gidin
Gerekirse, Azure aboneliğinizde oturum açın ve Azure dizinini değiştirin.
Cloud Shell'i açın.
Daha önce Cloud Shell kullanmadıysanız, ortamı ve depolama ayarlarını yapılandırın.
Komut satırı ortamını seçin.

3. Azure Cloud Shell için en son Terrayform sürümünü yükler

Cloud Shell, yayının birkaç haftası içinde Terrayform 'un en son sürümüne otomatik olarak güncelleştirilir. Ancak en son sürüme daha erken ihtiyacınız varsa, aşağıdaki adımlarda Terrayform 'un geçerli sürümünün nasıl indirileceği ve yükleneceği gösterilmektedir.

Cloud Shell ' de kullanılan Terrayform sürümünü saptayın.
```
terraform version
```
Cloud Shell ' de yüklü olan Terrayform sürümü en son sürüm değilse, Terrayform sürümünün güncel olmadığını belirten bir ileti görürsünüz.
Belirtilen sürümle çalışırken bir sonraki bölüme atlayın. Aksi takdirde, aşağıdaki adımlarla devam edin.
Teroyform İndirmeleri sayfasınagidin.
Linux indirme bağlantılarına gidin.
Farenizi 64 bitlik bağlantının üzerine taşıyın. Bu, Cloud Shell için uygun olan en son 64 bitlik Linux AMD sürümünün bağlantıdır.
URL'yi kopyalayın.
curlYer tutucusunu, önceki ADıMDAKI URL ile değiştirerek çalıştırın.
```
curl -O <terraform_download_url>
```

Dosyanın sıkıştırmasını açın.

unzip <zip_file_downloaded_in_previous_step>

Dizin yoksa adlı bir dizin oluşturun bin .
```
mkdir bin
```
terraformDosyayı bin dizine taşıyın.
```
mv terraform bin/    
```
Terrayform 'un indirilen sürümünün yolda ilk olarak olduğunu doğrulayın.
```
terraform version
```

4. varsayılan Azure aboneliğini doğrulayın

Azure portal bir Microsoft hesabı ile oturum açtığınızda, bu hesap için varsayılan Azure aboneliği kullanılır.

Terrayform, varsayılan Azure aboneliğindeki bilgileri kullanarak kimliğini otomatik olarak doğrular.

Geçerli Microsoft hesabı ve Azure aboneliğini doğrulamak için az Account Show ' i çalıştırın.

az account show

Terrayform aracılığıyla yaptığınız tüm değişiklikler, gösterilen Azure aboneliğine göre yapılır. İsterseniz, bu makalenin geri kalanını atlayın.

5. Azure 'da Terrayform kimlik doğrulaması

Terrayform ve Azure kimlik doğrulama senaryoları

Terrayform yalnızca Azure CLı aracılığıyla Azure kimlik doğrulamasını destekler. Azure PowerShell kullanarak kimlik doğrulaması desteklenmiyor. bu nedenle, teraform işinizi gerçekleştirirken Azure PowerShell modülünü kullanabilmeniz için önce azure clı kullanarak azure 'da kimlik doğrulaması yapmanız gerekir.

Bu makalede, aşağıdaki senaryolar için Terrayform 'un Azure 'da nasıl kimlik doğrulaması yapılacağı açıklanmaktadır. Azure 'da Terrayform kimlik doğrulaması seçenekleri hakkında daha fazla bilgi için bkz. Azure CLI kullanarak kimlik doğrulama.

Cloud Shell kullanarak (bash veya PowerShell ile) Microsoft hesabı ile kimlik doğrulama
Windows kullanarak Microsoft hesabı kimlik doğrulaması (bash veya PowerShell ile)
Hizmet sorumlusu aracılığıyla kimlik doğrulaması:
1. Hizmet sorumlusu yoksa, bir hizmet sorumlusu oluşturun.
2. Bir ortam değişkenlerini kullanarak Azure 'Da kimlik doğrulaması yapın veya terrayform sağlayıcı bloğunu kullanarak Azure 'da kimlik doğrulaması yapın

Microsoft hesabı aracılığıyla Azure 'da kimlik doğrulama

Microsoft hesabı, Azure gibi Microsoft hizmetleri oturum açmak için kullanılan (bir e-posta ve kimlik bilgileriyle ilişkili) kullanıcı adıdır. Bir Microsoft hesabı, Bu aboneliklerden biri varsayılan olan bir veya daha fazla Azure aboneliği ile ilişkilendirilebilir.

Aşağıdaki adımlarda, Microsoft hesabı kullanarak Azure 'da etkileşimli olarak oturum açma, hesabın ilişkili Azure aboneliklerini listeleme (varsayılan dahil) ve geçerli aboneliği ayarlama gösterilmektedir.

Azure CLı erişimi olan bir komut satırı açın.
Herhangi bir parametre olmadan az Login çalıştırın ve Azure 'da oturum açmak için yönergeleri izleyin.
```
az login
```
Anahtar noktaları:
- Başarılı oturum açma sırasında, az login varsayılan abonelik dahil olmak üzere, oturum açmış Microsoft hesabı Ilişkili Azure aboneliklerinin bir listesini görüntüler.
Geçerli Azure aboneliğini onaylamak için az Account Show' i çalıştırın.
```
az account show
```
Belirli bir Microsoft hesabı yönelik tüm Azure abonelik adlarını ve kimliklerini görüntülemek için az Account List' i çalıştırın.
```
az account list --query "[?user.name=='<microsoft_account_email>'].{Name:name, ID:id, Default:isDefault}" --output Table
```
Anahtar noktaları:
- <microsoft_account_email>Yer tutucusunu, Azure aboneliklerini listelemek istediğiniz Microsoft hesabı e-posta adresiyle değiştirin.
- Bir hotmail veya Outlook gibi bir Live hesabıyla, tam e-posta adresini belirtmeniz gerekebilir. Örneğin, e-posta adresiniz ise admin@hotmail.com , yer tutucusunu ile değiştirmeniz gerekebilir live.com#admin@hotmail.com .
Belirli bir Azure aboneliğini kullanmak için az Account set' i çalıştırın.
```
az account set --subscription "<subscription_id_or_subscription_name>"
```
Anahtar noktaları:
- <subscription_id_or_subscription_name>Yer tutucusunu, kullanmak istediğiniz ABONELIĞIN kimliğiyle veya adıyla değiştirin.
- Çağırma, az account set belirtilen Azure aboneliğine geçiş sonuçlarını göstermez. Ancak, az account show geçerli Azure aboneliğinin değiştiğini doğrulamak için kullanabilirsiniz.
- az account listÖnceki adımdan komutu çalıştırırsanız, varsayılan Azure aboneliğinin ile belirttiğiniz abonelikle değiştirildiğini görürsünüz az account set .

Hizmet sorumlusu oluşturma

Terrayform gibi Azure hizmetlerini dağıtan veya kullanan otomatikleştirilmiş araçların her zaman sınırlı izinleri olmalıdır. Uygulamaları tam ayrıcalıklı bir kullanıcı olarak oturum açmak yerine, Azure hizmet sorumlularını sunmaktadır.

En yaygın model Azure 'da etkileşimli olarak oturum açmak, hizmet sorumlusu oluşturmak, hizmet sorumlusunu test etmek ve ardından bu hizmet sorumlusunu gelecekteki kimlik doğrulaması (etkileşimli veya betiklerden) için kullanır.

Bash
Azure PowerShell

Hizmet sorumlusu oluşturmak için Azure 'da oturum açın. Microsoft hesabı aracılığıyla Azure 'da kimlik doğrulamasındangeçtikten sonra buraya dönün.
Git Bash 'ten bir hizmet sorumlusu oluşturuyorsanız, MSYS_NO_PATHCONV ortam değişkenini ayarlayın. (Cloud Shell kullanıyorsanız bu adım gerekli değildir.)
```
export MSYS_NO_PATHCONV=1    
```
Anahtar noktaları:
- MSYS_NO_PATHCONVOrtam değişkenini genel olarak (tüm Terminal oturumları için) veya yerel olarak (yalnızca geçerli oturum için) ayarlayabilirsiniz. Hizmet sorumlusu oluşturmak genellikle yaptığınız bir şey olmadığından, örnek geçerli oturum için değeri ayarlar. Bu ortam değişkenini küresel olarak ayarlamak için, ayarı ~/.bashrc dosyaya ekleyin.
Hizmet sorumlusu oluşturmak için az ad SP Create-for-RBAC' i çalıştırın.
```
az ad sp create-for-rbac --name <service_principal_name> --role Contributor
```
Anahtar noktaları:
- ' <service-principal-name> Nı ortamınız için özel bir ad ile değiştirebilir veya parametresini tamamen atlayabilirsiniz. Parametresini atlarsanız, hizmet sorumlusu adı geçerli tarih ve saate göre oluşturulur.
- Başarıyla tamamlandıktan sonra, az ad sp create-for-rbac birkaç değeri görüntüler. appId, password Ve değerleri bir tenant sonraki adımda kullanılır.
- Parola kaybolduysa alınamaz. Bu nedenle, parolanızı güvenli bir yerde depolamanız gerekir. Parolanızı unutursanız hizmet sorumlusu kimlik bilgilerini sıfırlayabilirsiniz.
- Bu makalede, katkıda bulunan rolüne sahip bir hizmet sorumlusu kullanılmaktadır. Role-Based Access Control (RBAC) ve rolleri hakkında daha fazla bilgi için bkz. RBAC: yerleşik roller.
- Hizmet sorumlusu oluşturma çıkışının hassas kimlik bilgileri vardır. Bu kimlik bilgilerini kodunuzda bulundurmayın veya kaynak denetimi kimlik bilgilerini kontrol edin.
- Azure CLı ile hizmet sorumlusu oluşturma oluşturma seçenekleri hakkında daha fazla bilgi için Azure CLI Ile Azure hizmet sorumlusu oluşturmamakalesine bakın.

Bir PowerShell istemini açın.
Bağlan-azaccountkomutunu çalıştırın.
```
Connect-AzAccount
```
Anahtar noktaları:
- Başarılı oturum açma sırasında, Connect-AzAccount varsayılan abonelikle ilgili bilgileri görüntüler.
- TenantIdHizmet sorumlusunu kullanmak için gereken şekilde ' i unutmayın.
Geçerli Azure aboneliğini onaylamak için Get-AzContextkomutunu çalıştırın.
```
Get-AzContext
```
Oturum açmış Microsoft hesabı yönelik tüm etkin Azure aboneliklerini görüntülemek için Get-AzSubscriptionkomutunu çalıştırın.
```
Get-AzSubscription
```
Belirli bir Azure aboneliğini kullanmak için set-AzContextkomutunu çalıştırın.
```
Set-AzContext -Subscription "<subscription_id_or_subscription_name>"
```
Anahtar noktaları:
- <subscription_id_or_subscription_name>Yer tutucusunu, kullanmak istediğiniz ABONELIĞIN kimliğiyle veya adıyla değiştirin.
Yeni bir hizmet sorumlusu oluşturmak için New-AzADServicePrincipal komutunu çalıştırın.
```
$sp = New-AzADServicePrincipal -DisplayName <service_principal_name>    
```
Anahtar noktaları:
- ' <service-principal-name> Nı ortamınız için özel bir ad ile değiştirebilir veya parametresini tamamen atlayabilirsiniz. Parametresini atlarsanız, hizmet sorumlusu adı geçerli tarih ve saate göre oluşturulur.
- Katkıda bulunan rolü varsayılan roldür ve bir Azure hesabını okuyup yazmak için tam izinlere sahiptir. Bu makalede, katkıda bulunan rolüne sahip bir hizmet sorumlusu kullanılmaktadır. Role-Based Access Control (RBAC) ve rolleri hakkında daha fazla bilgi için bkz. RBAC: yerleşik roller.
Hizmet sorumlusu KIMLIĞINI görüntüleyin.
```
$sp.ApplicationId
```
Anahtar noktaları:
- Hizmet sorumlusu kullanılması gerektiği için hizmet sorumlusu uygulama KIMLIĞI ' ni unutmayın.
Otomatik olarak oluşturulan parolayı metne dönüştürün.
```
$BSTR = [System.Runtime.InteropServices.Marshal]::SecureStringToBSTR($sp.Secret)
$UnsecureSecret = [System.Runtime.InteropServices.Marshal]::PtrToStringAuto($BSTR)
$UnsecureSecret
```
Anahtar noktaları:
- Hizmet sorumlusunu kullanmak için gereken parolayı unutmayın.
- Parola kaybolduysa alınamaz. Bu nedenle, parolanızı güvenli bir yerde depolamanız gerekir. Parolanızı unutursanız hizmet sorumlusu kimlik bilgilerini sıfırlayabilirsiniz.

Ortam değişkenlerinde hizmet sorumlusu kimlik bilgilerini belirtin

Bir hizmet sorumlusu oluşturduktan sonra, ortam değişkenleri aracılığıyla Terrayform kimlik bilgilerini belirtebilirsiniz.

Bash
Azure PowerShell

~/.bashrcAşağıdaki ortam değişkenlerini ekleyerek dosyayı düzenleyin.

export ARM_SUBSCRIPTION_ID="<azure_subscription_id>"
export ARM_TENANT_ID="<azure_subscription_tenant_id>"
export ARM_CLIENT_ID="<service_principal_appid>"
export ARM_CLIENT_SECRET="<service_principal_password>"

Betiği yürütmek için ~/.bashrcsource ~/.bashrc (veya kısaltılmış eşdeğerini . ~/.bashrc ) çalıştırın. Ayrıca, komut dosyasının otomatik olarak çalışması için Cloud Shell çıkıp yeniden açabilirsiniz.
```
. ~/.bashrc
```
Ortam değişkenleri ayarlandıktan sonra, değerlerini aşağıdaki gibi doğrulayabilirsiniz:
```
printenv | grep ^ARM*
```

Anahtar noktaları:

Herhangi bir ortam değişkeninde olduğu gibi, bir Azure abonelik değerine bir Terrayform betiği içinden erişmek için aşağıdaki söz dizimini kullanın: ${env.<environment_variable>} . Örneğin, değere erişmek için ARM_SUBSCRIPTION_ID , belirtin ${env.ARM_SUBSCRIPTION_ID} .
Terkform yürütme planlarının oluşturulması ve uygulanması, hizmet sorumlusu ile ilişkili Azure aboneliğinde değişiklik yapar. Tek bir Azure aboneliğinde oturum açıyorsanız ve ortam değişkenleri ikinci bir Azure aboneliğine işaret ettikten sonra bu olgu bazen kafa karıştırıcı olabilir. Daha sonra açıklamak için aşağıdaki örneğe bakalım. İki Azure aboneliğiniz olduğunu varsayalım: SubA ve alt b. Geçerli Azure aboneliği, az account show ortam değişkenleri alt b 'ye işaret ederken (aracılığıyla belirlenir), Terrayform tarafından yapılan tüm değişiklikler alt b 'dedir. bu nedenle, değişikliklerinizi görüntülemek için Azure clı komutları veya Azure PowerShell komutlarını çalıştırmak üzere alt b aboneliğinizde oturum açmanız gerekir.

Belirli bir PowerShell oturumunda ortam değişkenlerini ayarlamak için aşağıdaki kodu kullanın. Yer tutucuları, ortamınız için uygun değerlerle değiştirin.

$env:ARM_CLIENT_ID="<service_principal_app_id>"
$env:ARM_SUBSCRIPTION_ID="<azure_subscription_id>"
$env:ARM_TENANT_ID="<azure_subscription_tenant_id>"
$env:ARM_CLIENT_SECRET="<service_principal_password>"

Azure ortam değişkenlerini doğrulamak için aşağıdaki PowerShell komutunu çalıştırın:
```
gci env:ARM_*
```
Her PowerShell oturumunun ortam değişkenlerini ayarlamak için bir PowerShell profili oluşturun ve profilinizde ortam değişkenlerini ayarlayın.

Anahtar noktaları:

Herhangi bir ortam değişkeninde olduğu gibi, bir Azure abonelik değerine bir Terrayform betiği içinden erişmek için aşağıdaki söz dizimini kullanın: ${env.<environment_variable>} . Örneğin, değere erişmek için ARM_SUBSCRIPTION_ID , belirtin ${env.ARM_SUBSCRIPTION_ID} .
Terkform yürütme planlarının oluşturulması ve uygulanması, hizmet sorumlusu ile ilişkili Azure aboneliğinde değişiklik yapar. Tek bir Azure aboneliğinde oturum açıyorsanız ve ortam değişkenleri ikinci bir Azure aboneliğine işaret ettikten sonra bu olgu bazen kafa karıştırıcı olabilir. Daha sonra açıklamak için aşağıdaki örneğe bakalım. İki Azure aboneliğiniz olduğunu varsayalım: SubA ve alt b. Geçerli Azure aboneliği, az account show ortam değişkenleri alt b 'ye işaret ederken (aracılığıyla belirlenir), Terrayform tarafından yapılan tüm değişiklikler alt b 'dedir. bu nedenle, değişikliklerinizi görüntülemek için Azure clı komutları veya Azure PowerShell komutlarını çalıştırmak üzere alt b aboneliğinizde oturum açmanız gerekir.

Bir Terrayform sağlayıcı bloğunda hizmet sorumlusu kimlik bilgilerini belirtme

Azure sağlayıcı bloğu, Azure aboneliğinizin kimlik doğrulama bilgilerini belirtmenizi sağlayan sözdizimini tanımlar.

terraform {
  required_providers {
    azurerm = {
      source = "hashicorp/azurerm"
      version = "~>2.0"
    }
  }
}

provider "azurerm" {
  features {}

  subscription_id   = "<azure_subscription_id>"
  tenant_id         = "<azure_subscription_tenant_id>"
  client_id         = "<service_principal_appid>"
  client_secret     = "<service_principal_password>"
}

# Your code goes here

Dikkat

Azure abonelik kimlik bilgilerinizi bir Terrayform yapılandırma dosyasında belirtme özelliği, özellikle test edilirken kullanışlı olabilir. Ancak, kimlik bilgilerinin güvenilir olmayan bireyler tarafından görüntülenebilen bir düz metin dosyasında depolanması önerilmez.

Azure 'da Terrampaform sorunlarını giderme

Azure 'da Terrampaform kullanırken karşılaşılan yaygın sorunları giderme

Sonraki adımlar

Azure Kaynak grubu oluştur