Bereitstellen von Azure Local, Version 23H2 mit lokaler Identität mit Azure Key Vault (Vorschau)

Gilt für: Azure Local, Version 23H2

In diesem Artikel wird beschrieben, wie Sie lokale Identität mit Azure Key Vault für azure Local, Version 23H2-Bereitstellung, verwenden.

Wichtig

Dieses Feature befindet sich derzeit in der VORSCHAU. Die zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen enthalten rechtliche Bedingungen. Sie gelten für diejenigen Azure-Features, die sich in der Beta- oder Vorschauversion befinden oder aber anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Übersicht

Früher als AD-lose Bereitstellung bezeichnet, ermöglicht die Methode der Verwendung der lokalen Identität mit Key Vault Azure Local das sichere Verwalten und Speichern geheimer Schlüssel, z. B. BitLocker-Schlüssel, Knoten-Kennwörter und andere vertrauliche Informationen, ohne auf AD zu vertrauen. Durch die Integration mit Key Vault und der zertifikatbasierten Authentifizierung können Sie Ihren Sicherheitsstatus verbessern und die Kontinuität der Vorgänge sicherstellen.

Vorteile

Die Verwendung der lokalen Identität mit Key Vault auf Azure Local bietet mehrere Vorteile, insbesondere für Umgebungen, die nicht auf AD angewiesen sind. Im Folgenden finden Sie einige wichtige Vorteile:

• Minimale Edgeinfrastruktur. Für Umgebungen, die AD nicht verwenden, bietet die lokale Identität mit Key Vault eine sichere und effiziente Möglichkeit zum Verwalten von Benutzeridentitäten und geheimen Schlüsseln.

• Geheimnisspeicher. Key Vault verwaltet und speichert geheime Schlüssel, z. B. BitLocker-Schlüssel, Knotenkennwörter und andere vertrauliche Informationen. Dadurch wird das Risiko eines nicht autorisierten Zugriffs reduziert und der gesamte Sicherheitsstatus verbessert.

• Verwalten Sie die vereinfachte Verwaltung. Durch die Integration in Key Vault können Organisationen die Verwaltung von geheimen Schlüsseln und Anmeldeinformationen optimieren. Dies umfasst das Speichern von Bereitstellungs- und lokalen Identitätsgeheimnissen in einem einzigen Tresor, wodurch die Verwaltung und der Zugriff auf diese geheimen Schlüssel erleichtert wird.

• Vereinfachte Bereitstellung. Während der Systembereitstellung über die Azure-Portal haben Sie die Möglichkeit, einen lokalen Identitätsanbieter auszuwählen, der in Key Vault integriert ist. Mit dieser Option wird der Bereitstellungsprozess optimiert, indem sichergestellt wird, dass alle erforderlichen geheimen Schlüssel sicher im Key Vault gespeichert werden. Die Bereitstellung wird effizienter, indem Abhängigkeiten von vorhandenen AD-Systemen oder anderen Systemen reduziert werden, die AD ausführen, die eine fortlaufende Wartung erfordern. Darüber hinaus vereinfacht dieser Ansatz Firewallkonfigurationen für Operational Technology-Netzwerke und erleichtert die Verwaltung und Sicherung dieser Umgebungen.

Voraussetzungen

Bevor Sie beginnen, stellen Sie sicher, dass Sie:

• Signieren Sie die lokale Identität mit dem Azure Key Vault Preview-Anmeldeformular , um an der eingeschränkten öffentlichen Vorschau teilzunehmen. Weitere Informationen dazu, wie wir Ihre personenbezogenen Daten während Ihrer Teilnahme an der Vorschau sammeln, verwenden und schützen, finden Sie in den Datenschutzbestimmungen von Microsoft.

• Erfüllen Sie die Voraussetzungen und füllen Sie die Prüfliste für die Bereitstellung aus. Überspringen Sie die AD-spezifischen Voraussetzungen.

• Erstellen Sie ein lokales Benutzerkonto mit denselben Anmeldeinformationen über alle Knoten hinweg, und fügen Sie es der lokalen Administratorgruppe hinzu, anstatt das integrierte Administratorkonto zu verwenden.

• Verfügen Sie über einen DNS-Server mit einer ordnungsgemäß konfigurierten Zone. Diese Einrichtung ist entscheidend, damit das Netzwerk ordnungsgemäß funktioniert. Siehe Konfigurieren des DNS-Servers für Azure Local.

• Laden Sie die lokale Azure-Software herunter. Anweisungen zum Herunterladen der lokalen Azure-Software werden denjenigen bereitgestellt, die sich für die Vorschau registriert haben.

Konfigurieren des DNS-Servers für Azure Local

Führen Sie die folgenden Schritte aus, um DNS für Azure Local zu konfigurieren:

1. Erstellen und Konfigurieren des DNS-Servers.

   Richten Sie Ihren DNS-Server ein, wenn Sie noch keinen haben. Dies kann mithilfe von Windows Server DNS oder einer anderen DNS-Lösung erfolgen.

2. Erstellen Sie DNS-Host-A-Einträge.

   Erstellen Sie für jeden Knoten in Ihrer lokalen Azure-Instanz einen DNS-Host-A-Eintrag. Dieser Eintrag ordnet den Hostnamen des Knotens seiner IP-Adresse zu, sodass andere Geräte im Netzwerk den Knoten suchen und mit ihm kommunizieren können.

   Erstellen Sie außerdem einen DNS-Host-A-Eintrag für das System selbst. Dieser Eintrag sollte die erste IP-Adresse aus dem Netzwerkbereich verwenden, den Sie für das System zugewiesen haben.

3. Überprüfen Sie DNS-Einträge.

   Führen Sie den folgenden Befehl aus, um zu überprüfen, ob die DNS-Einträge für einen bestimmten Computer ordnungsgemäß eingerichtet sind:

   nslookup "machine name"
   

4. Einrichten der DNS-Weiterleitung.

   Konfigurieren Sie die DNS-Weiterleitung auf Ihrem DNS-Server, um DNS-Abfragen nach Bedarf an Azure DNS oder einen anderen externen DNS-Anbieter weiterzuleiten.

5. Aktualisieren der Netzwerkeinstellungen.

   Aktualisieren Sie die Netzwerkeinstellungen auf Ihren lokalen Azure-Knoten, um den von Ihnen konfigurierten DNS-Server zu verwenden. Dies kann über die Netzwerkadaptereinstellungen oder mithilfe von PowerShell-Befehlen erfolgen.

6. Überprüfen Sie die DNS-Konfiguration.

   Testen Sie die DNS-Konfiguration, um sicherzustellen, dass DNS-Abfragen ordnungsgemäß aufgelöst werden. Sie können Tools wie nslookup oder dig verwenden, um die DNS-Auflösung zu überprüfen.

7. Richten Sie den Registrierungsschlüssel auf jedem Knoten ein.

   Legen Sie den Registrierungsschlüssel mit dem Zonennamen/FQDN für jeden Knoten fest. Führen Sie den folgenden Befehl aus:

   $zoneName = "replace.with.your.zone.name.here" 
   $RegistryPath = 'HKLM:\SYSTEM\CurrentControlSet\services\Tcpip\Parameters' 
   Set-ItemProperty -Path $RegistryPath -Name 'Domain' -Value $zoneName
   

8. Starten Sie das Betriebssystem auf lokalen und Remotecomputern neu, indem Sie den folgenden Befehl verwenden:

   Restart-Computer
   

Bereitstellen von Azure Local über das Portal mithilfe der lokalen Identität mit Key Vault

Während der Bereitstellung über die Azure-Portal haben Sie die Möglichkeit, einen lokalen Identitätsanbieter auszuwählen, der in Key Vault integriert ist. Auf diese Weise können Sie eine lokale Identität mit Key Vault verwenden, um geheime Schlüssel sicher zu verwalten und zu speichern, anstatt auf AD für die Authentifizierung zu vertrauen.

Die allgemeinen Bereitstellungsschritte sind identisch mit den schritten, die unter Bereitstellen eines lokalen Azure,Version 23H2-Systems mithilfe der Azure-Portal beschrieben sind. Wenn Sie jedoch lokale Identität mit Key Vault verwenden, müssen Sie bestimmte Schritte auf den Registerkarten "Netzwerk und Verwaltung " ausführen.

Registerkarte „Netzwerk“

1. Geben Sie die IM Abschnitt "Konfigurieren von DNS für Azure Local" konfigurierten DNS-Serverdetails an.

   

Registerkarte „Verwaltung“

1. Wählen Sie die Option "Lokale Identität mit Azure Key Vault " aus.

2. Um einen neuen Schlüsseltresor zu erstellen, wählen Sie "Neuen Schlüsseltresor erstellen" aus. Geben Sie die erforderlichen Details im rechten Kontextbereich ein, und wählen Sie dann "Erstellen" aus.

3. Geben Sie im Schlüsseltresornamen den neuen Schlüsseltresornamen ein.

   

Schritte nach der Bereitstellung

Vergewissern Sie sich nach der Bereitstellung des Systems, dass die Bereitstellung AD-bereinigt war, und überprüfen Sie, ob geheime Schlüssel in Key Vault gesichert werden.

Bestätigen, dass das System ohne Active Directory bereitgestellt wurde

Vergewissern Sie sich nach der Bereitstellung des Systems, dass die Bereitstellung ohne AD (AD-less) war.

1. Vergewissern Sie sich, dass der Knoten nicht mit einer AD-Domäne verknüpft ist, indem Sie den folgenden Befehl ausführen. Wenn die Ausgabe angezeigt wird WORKGROUP, ist der Knoten nicht mit der Domäne verbunden.

   Get-WmiObject Win32_ComputerSystem.Domain
   

   Hier ist eine Beispielausgabe:

   [host]: PS C:\Users\LocalAdmin\Documents> (Get-WmiObject Win32_ComputerSystem).Domain 
   WORKGROUP
   

2. Stellen Sie sicher, dass es sich bei einem Cluster um einen Arbeitsgruppencluster handelt, der ohne AD funktionsfähig ist. Führen Sie den folgenden Befehl aus, und überprüfen Sie den Wert des ADAware Parameters:

   Get-ClusterResource "Cluster Name" | Get-ClusterParameter ADAware 
   
   Object       Name    Value Type 
   
   ------       ----    ----- ---- 
   
   ClusterName  ADAware  2    UInt32 
   
   For ADAware property, 0 = None, 1 = AD, 2 = DNS (AD'less) only.
   

Überprüfen, ob geheime Schlüssel in Key Vault gesichert werden

BitLocker-Schlüssel und Wiederherstellungsadministrator-Kennwörter werden sicher in Azure gesichert und gedreht, um maximale Sicherheit sicherzustellen.

In Szenarien, in denen AD nicht verfügbar ist, können Sie einen dedizierten Wiederherstellungsadministratorbenutzer verwenden, um das System wiederherzustellen. Der für diesen Zweck vorgesehene Benutzername lautet RecoveryAdmin. Das entsprechende Kennwort kann sicher aus dem Azure Key Vault abgerufen werden, um sicherzustellen, dass Sie über die erforderlichen Anmeldeinformationen verfügen, um Systemwiederherstellungsvorgänge effektiv auszuführen.

Dadurch wird sichergestellt, dass alle kritischen Informationen sicher gespeichert werden und bei Bedarf problemlos abgerufen werden können, wodurch eine zusätzliche Sicherheits- und Zuverlässigkeitsebene für unsere Infrastruktur bereitgestellt wird.

Aktualisieren des Key Vault auf Azure Local

Um die Sicherungskonfiguration für die Verwendung eines neuen Key Vault zu aktualisieren, müssen Sie Ihr System mit den neuen Key Vault-Informationen patchen.

Führen Sie die folgenden Schritte aus, um Ihre Backup Key Vault-Konfiguration eines Systems zu aktualisieren, um einen neuen Key Vault zu verwenden:

1. Erstellen Sie zunächst einen neuen Key Vault im Azure-Portal. Stellen Sie sicher, dass sie für das Speichern geheimer Sicherungsschlüssel konfiguriert ist.

2. Richten Sie die entsprechenden Zugriffssteuerungen für den neuen Key Vault ein. Dies schließt die Gewährung der erforderlichen Berechtigungen für die Knotenidentität ein. Stellen Sie sicher, dass Ihrem Schlüsseltresor die Rolle " Key Vaults Secret Officer " zugewiesen ist. Weitere Anleitungen finden Sie unter Gewähren des Zugriffs auf Key Vault-Schlüssel, -Zertifikate und -Geheimnisse mit der rollenbasierten Zugriffssteuerung in Azure.

   

3. Aktualisieren Sie die Systemkonfiguration.

   Verwenden Sie eine POST-Anforderung, um die Clusterkonfiguration mit den neuen Key Vault-Details zu aktualisieren. Dazu gehört das Senden einer Anforderung an den folgenden API-Endpunkt:

   API Spec:
   API Version: 2024-07-01-preview
   API Path: /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.AzureStackHCI/clusters/{clusterName}/updateSecretsLocations
   Payload:
   {
   "properties": {
       "secretsType": "BackupSecrets",
       "secretsLocation": "https://hcikeyvaulttestingnew.vault.azure.net/"
   }
   }
   

4. Überprüfen sie die Konfiguration. Öffnen Sie in der Azure-Portal die Systemressource, und stellen Sie sicher, dass der Ressourcen-JSON die aktualisierten Key Vault-Details enthält.

   Hier ist ein Beispielfoto von Resource JSON , in dem Sie den Key Vault aktualisieren können:

   

5. Überprüfen Sie geheime Schlüssel im neuen Schlüsseltresor. Vergewissern Sie sich, dass alle Sicherungsschlüssel ordnungsgemäß im neuen Key Vault gespeichert sind.

6. Bereinigen Sie den alten Schlüsseltresor. Der alte Schlüsseltresor und die geheimen Schlüssel werden nicht automatisch gelöscht. Nachdem Sie überprüft haben, ob der neue Key Vault ordnungsgemäß konfiguriert ist und alle geheimen Schlüssel wie erwartet gespeichert werden, können Sie den alten Key Vault bei Bedarf löschen.

Wiederherstellen eines gelöschten Key Vault und Fortsetzen der Sicherung

Wenn Sie einen Key Vault löschen und anschließend wiederherstellen, ist die verwaltete Identität, die zuvor Zugriff auf den Key Vault hatte, auf folgende Weise betroffen:

• Sperrung des Zugriffs auf verwaltete Identitäten. Während des Löschvorgangs werden die Zugriffsberechtigungen der verwalteten Identität für den Key Vault widerrufen. Dies bedeutet, dass die Identität nicht mehr über die Autorisierung für den Zugriff auf den Key Vault verfügt.
• Fehler bei Erweiterungsvorgängen. Die für die Verwaltung geheimer Sicherungen verantwortliche Erweiterung des Sicherungsschlüsseltresors basiert auf der verwalteten Identität für den Zugriff. Wenn die Zugriffsberechtigungen widerrufen wurden, kann die Erweiterung keine Sicherungsvorgänge ausführen.
• Erweiterungsstatus im Azure-Portal. Im Azure-Portal wird der Status der Erweiterung als fehlgeschlagen angezeigt, der angibt, dass die Erweiterung geheime Schlüssel aufgrund des Verlusts der erforderlichen Berechtigungen nicht sichern kann.

Führen Sie die folgenden Schritte aus, um das Problem der fehlgeschlagenen Erweiterung zu beheben und normale Sicherungsvorgänge wiederherzustellen:

1. Weisen Sie den verwalteten Identitätszugriff neu zu.

   1. Ermitteln Sie die verwaltete Identität, die Zugriff auf den Key Vault erfordert.
   2. Weisen Sie die Rolle " Key Vault Secret Officer " der verwalteten Identität erneut zu.

2. Überprüfen Sie die Erweiterungsfunktionalität.

   1. Überwachen Sie nach der Neuzuweisung den Erweiterungsstatus in der Azure-Portal, um sicherzustellen, dass sie von "Fehlgeschlagen" in "Erfolgreich" geändert wurde. Dies weist darauf hin, dass die Erweiterung die erforderlichen Berechtigungen wieder erhalten hat und jetzt ordnungsgemäß funktioniert.
   2. Testen Sie die Sicherungsvorgänge, um sicherzustellen, dass geheime Schlüssel ordnungsgemäß gesichert werden und dass der Sicherungsvorgang wie erwartet funktioniert.

Nächste Schritte

• Wenn Sie während der Bereitstellung keine Workloadvolumes erstellt haben, erstellen Sie Workloadvolumes und Speicherpfade für jedes Volume. Ausführliche Informationen finden Sie unter Erstellen von Volumes in Azure Local- und Windows Server-Clustern und Erstellen des Speicherpfads für Azure Local.
• Erhalten Sie Unterstützung für Probleme mit der lokalen Azure-Bereitstellung.