Distribuire l'identità locale di Azure con Azure Key Vault (anteprima)

Questo articolo descrive come usare l'identità locale con Azure Key Vault per la distribuzione locale di Azure.

Importante

La funzionalità è attualmente disponibile in ANTEPRIMA. Vedere le condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure per termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, in anteprima o in altro modo non ancora disponibili a livello generale.

Panoramica

In precedenza noto come distribuzione senza AD, il metodo di uso dell'identità locale con Key Vault consente ad Azure Locale di gestire e archiviare in modo sicuro i segreti, ad esempio chiavi BitLocker, password dei nodi e altre informazioni riservate, senza basarsi su AD. Integrando con Key Vault e usando l'autenticazione basata su certificati, è possibile migliorare il comportamento di sicurezza e garantire la continuità delle operazioni.

Vantaggi

L'uso dell'identità locale con Key Vault in Azure Local offre diversi vantaggi, in particolare per gli ambienti che non si basano su AD. Ecco alcuni vantaggi principali:

• Infrastruttura perimetrale minima. Per gli ambienti che non usano Active Directory, l'identità locale con Key Vault offre un modo sicuro ed efficiente per gestire identità e segreti utente.

• Archivio segreti. Key Vault gestisce e archivia in modo sicuro i segreti, ad esempio chiavi BitLocker, password dei nodi e altre informazioni riservate. Ciò riduce il rischio di accesso non autorizzato e migliora il comportamento di sicurezza complessivo.

• Gestire la gestione semplificata. Grazie all'integrazione con Key Vault, le organizzazioni possono semplificare la gestione dei segreti e delle credenziali. Ciò include l'archiviazione di segreti di identità locali e di distribuzione in un singolo insieme di credenziali, semplificando la gestione e l'accesso a questi segreti.

• Distribuzione semplificata. Durante la distribuzione del sistema tramite il portale di Azure, è possibile selezionare un provider di identità locale integrato con Key Vault. Questa opzione semplifica il processo di distribuzione assicurandosi che tutti i segreti necessari vengano archiviati in modo sicuro all'interno di Key Vault. La distribuzione diventa più efficiente riducendo le dipendenze da sistemi AD esistenti o da altri sistemi che eseguono Active Directory, che richiedono una manutenzione continua. Inoltre, questo approccio semplifica le configurazioni del firewall per le reti tecnologiche operative, semplificando la gestione e la protezione di questi ambienti.

Prerequisiti

Prima di iniziare, assicurarsi di:

• Firmare il modulo di iscrizione all'identità locale con l'anteprima di Azure Key Vault per partecipare all'anteprima pubblica limitata. Per altre informazioni su come vengono raccolti, usati e protetti i dati personali durante la partecipazione all'anteprima, vedere l'Informativa sulla privacy di Microsoft.

• Soddisfare i prerequisiti e completare l'elenco di controllo per la distribuzione. Ignorare i prerequisiti specifici di AD.

• Creare un account utente locale con le stesse credenziali in tutti i nodi e aggiungerlo al gruppo administrators locale, anziché usare l'account amministratore predefinito.

• Scaricare il software locale di Azure. Le istruzioni su come scaricare il software locale di Azure verranno fornite a coloro che hanno effettuato l'iscrizione per l'anteprima.

• Per questa anteprima, i nodi richiedono indirizzi IP statici e non supportano DHCP. Dopo aver installato il sistema operativo, usare SConfig per impostare l'indirizzo IP statico, la subnet, il gateway e IL DNS.

• Disporre di un server DNS con una zona configurata correttamente. Questa configurazione è fondamentale per il corretto funzionamento della rete. Vedere Configurare il server DNS per l'istanza locale di Azure.

Configurare il server DNS per Azure Local

Seguire questa procedura per configurare DNS per l'ambiente locale di Azure:

1. Creare e configurare il server DNS.

   Configurare il server DNS se non ne è già disponibile uno. Questa operazione può essere eseguita usando DNS di Windows Server o un'altra soluzione DNS.

2. Creare record A dell'host DNS.

   Per ogni nodo nell'istanza locale di Azure, creare un record HOST DNS A. Questo record esegue il mapping del nome host del nodo al relativo indirizzo IP, consentendo ad altri dispositivi della rete di individuare e comunicare con il nodo.

   Creare inoltre un record HOST DNS A per il sistema stesso. Questo record deve usare il primo indirizzo IP dell'intervallo di rete allocato per il sistema.

3. Verificare i record DNS.

   Per verificare che i record DNS per un computer specifico siano configurati correttamente, eseguire il comando seguente:

   nslookup "machine name"
   

4. Configurare l'inoltro DNS.

   Configurare l'inoltro DNS nel server DNS per inoltrare le query DNS a DNS di Azure o a un altro provider DNS esterno in base alle esigenze.

5. Aggiornare le impostazioni di rete.

   Aggiornare le impostazioni di rete nei nodi locali di Azure per usare il server DNS configurato. Questa operazione può essere eseguita tramite le impostazioni della scheda di rete o usando i comandi di PowerShell.

6. Verificare la configurazione DNS.

   Testare la configurazione DNS per assicurarsi che le query DNS vengano risolte correttamente. È possibile usare strumenti come nslookup o scavare per verificare la risoluzione DNS.

7. Configurare la chiave del Registro di sistema in ogni nodo.

   Impostare la chiave del Registro di sistema con il nome/FQDN della zona in ogni nodo. Esegui questo comando:

   $zoneName = "replace.with.your.zone.name.here" 
   $RegistryPath = 'HKLM:\SYSTEM\CurrentControlSet\services\Tcpip\Parameters' 
   Set-ItemProperty -Path $RegistryPath -Name 'Domain' -Value $zoneName
   

8. Riavviare il sistema operativo nei computer locali e remoti usando il comando seguente:

   Restart-Computer
   

Distribuire Azure Locale tramite il portale usando l'identità locale con Key Vault

Durante la distribuzione tramite il portale di Azure, è possibile selezionare un provider di identità locale integrato con Key Vault. In questo modo è possibile usare un'identità locale con Key Vault per gestire e archiviare in modo sicuro i segreti anziché basarsi su AD per l'autenticazione.

I passaggi di distribuzione generali sono gli stessi descritti in Distribuire un sistema locale di Azure usando il portale di Azure. Tuttavia, quando si usa l'identità locale con Key Vault, è necessario eseguire passaggi specifici nelle schede Rete e gestione .

Scheda Rete

1. Specificare i dettagli del server DNS configurati nella sezione Configurare DNS per Azure Local .

   

Scheda Management (Gestione)

1. Selezionare l'opzione Identità locale con Azure Key Vault .

2. Per creare un nuovo insieme di credenziali delle chiavi, selezionare Crea un nuovo insieme di credenziali delle chiavi. Immettere i dettagli necessari nel riquadro di contesto destro e quindi selezionare Crea.

3. In Nome insieme di credenziali delle chiavi immettere il nuovo nome dell'insieme di credenziali delle chiavi.

   

Passaggi post-distribuzione

Dopo aver distribuito il sistema, verificare che la distribuzione fosse senza AD e verificare che venga eseguito il backup dei segreti in Key Vault.

Verificare che il sistema sia stato distribuito senza Active Directory

Dopo aver distribuito il sistema, verificare che la distribuzione fosse senza AD (senza AD).

1. Verificare che il nodo non sia aggiunto a un dominio di Active Directory eseguendo il comando seguente. Se l'output mostra WORKGROUP, il nodo non è aggiunto a un dominio.

   Get-WmiObject Win32_ComputerSystem.Domain
   

   Di seguito è riportato un output di esempio:

   [host]: PS C:\Users\LocalAdmin\Documents> (Get-WmiObject Win32_ComputerSystem).Domain 
   WORKGROUP
   

2. Verificare che un cluster sia un cluster del gruppo di lavoro funzionante senza Active Directory. Eseguire il comando seguente e controllare il valore del ADAware parametro :

   Get-ClusterResource "Cluster Name" | Get-ClusterParameter ADAware 
   
   Object       Name    Value Type 
   
   ------       ----    ----- ---- 
   
   ClusterName  ADAware  2    UInt32 
   
   For ADAware property, 0 = None, 1 = AD, 2 = DNS (AD'less) only.
   

Verificare che venga eseguito il backup dei segreti in Key Vault

Le chiavi BitLocker e le password di amministratore di ripristino vengono sottoposte a backup sicuro in Azure e vengono ruotate per garantire la massima sicurezza.

Negli scenari in cui Active Directory non è disponibile, è possibile usare un utente amministratore di ripristino dedicato per ripristinare il sistema. Il nome utente designato a questo scopo è RecoveryAdmin. La password corrispondente può essere recuperata in modo sicuro da Azure Key Vault, assicurandosi di disporre delle credenziali necessarie per eseguire le operazioni di ripristino del sistema in modo efficace.

In questo modo tutte le informazioni critiche vengono archiviate in modo sicuro e possono essere facilmente recuperate quando necessario, fornendo un ulteriore livello di sicurezza e affidabilità per l'infrastruttura.

Aggiornare Key Vault in Locale di Azure

Per aggiornare la configurazione di backup per usare un nuovo insieme di credenziali delle chiavi, è necessario applicare patch al sistema con le nuove informazioni di Key Vault.

Seguire questa procedura per aggiornare la configurazione dell'insieme di credenziali delle chiavi di backup di un sistema per usare un nuovo insieme di credenziali delle chiavi:

1. Per iniziare, creare un nuovo insieme di credenziali delle chiavi nel portale di Azure. Assicurarsi che sia configurato per archiviare i segreti di backup.

2. Configurare i controlli di accesso appropriati per il nuovo insieme di credenziali delle chiavi. Ciò include la concessione delle autorizzazioni necessarie all'identità del nodo. Verificare che all'insieme di credenziali delle chiavi sia assegnato il ruolo Agente segreto key Vaults. Per istruzioni vedere Fornire l'accesso a chiavi, certificati e segreti di Key Vault con un controllo degli accessi in base al ruolo di Azure.

   

3. Aggiornare la configurazione di sistema.

   Usare una richiesta POST per aggiornare la configurazione del cluster con i nuovi dettagli di Key Vault. Ciò comporta l'invio di una richiesta all'endpoint API seguente:

   API Spec:
   API Version: 2024-07-01-preview
   API Path: /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.AzureStackHCI/clusters/{clusterName}/updateSecretsLocations
   Payload:
   {
   "properties": {
       "secretsType": "BackupSecrets",
       "secretsLocation": "https://hcikeyvaulttestingnew.vault.azure.net/"
   }
   }
   

4. Convalidare la configurazione. Nella portale di Azure aprire la risorsa di sistema e verificare che Resource JSON includa i dettagli aggiornati dell'insieme di credenziali delle chiavi.

   Ecco uno screenshot di esempio di Resource JSON in cui è possibile aggiornare l'insieme di credenziali delle chiavi:

   

5. Controllare i segreti nel nuovo insieme di credenziali delle chiavi. Verificare che tutti i segreti di backup siano archiviati correttamente nel nuovo insieme di credenziali delle chiavi.

6. Pulire l'insieme di credenziali delle chiavi precedente. L'insieme di credenziali delle chiavi precedente e i relativi segreti non vengono eliminati automaticamente. Dopo aver verificato che il nuovo insieme di credenziali delle chiavi è configurato correttamente e che tutti i segreti vengono archiviati come previsto, è possibile eliminare l'insieme di credenziali delle chiavi precedente, se necessario.

Ripristinare un insieme di credenziali delle chiavi eliminato e riprendere il backup

Quando si elimina e successivamente si ripristina un insieme di credenziali delle chiavi, l'identità gestita che in precedenza aveva accesso all'insieme di credenziali delle chiavi è interessata nei modi seguenti:

• Revoca dell'accesso all'identità gestita. Durante il processo di eliminazione, le autorizzazioni di accesso dell'identità gestita all'insieme di credenziali delle chiavi vengono revocate. Ciò significa che l'identità non ha più l'autorizzazione per accedere all'insieme di credenziali delle chiavi.
• Errore delle operazioni di estensione. L'estensione dell'insieme di credenziali delle chiavi di backup responsabile della gestione dei backup segreti si basa sull'identità gestita per l'accesso. Con le autorizzazioni di accesso revocate, l'estensione non è in grado di eseguire operazioni di backup.
• Stato dell'estensione nel portale di Azure. Nella portale di Azure lo stato dell'estensione viene visualizzato come Non riuscito che indica che l'estensione non può eseguire il backup dei segreti a causa della perdita delle autorizzazioni necessarie.

Per risolvere e risolvere il problema dell'estensione non riuscita e ripristinare le normali operazioni di backup, seguire questa procedura:

1. Riassegnare l'accesso all'identità gestita.

   1. Determinare l'identità gestita che richiede l'accesso all'insieme di credenziali delle chiavi.
   2. Riassegnare il ruolo Key Vault Secret Officer all'identità gestita.

2. Verificare la funzionalità dell'estensione.

   1. Dopo la riassegnazione, monitorare lo stato dell'estensione nel portale di Azure per assicurarsi che cambi da Non riuscito a Riuscito. Ciò indica che l'estensione ha recuperato le autorizzazioni necessarie e ora funziona correttamente.
   2. Testare le operazioni di backup per assicurarsi che il backup dei segreti venga eseguito correttamente e che il processo di backup funzioni come previsto.

Passaggi successivi

• Se non sono stati creati volumi di carico di lavoro durante la distribuzione, creare volumi del carico di lavoro e percorsi di archiviazione per ogni volume. Per informazioni dettagliate, vedere Creare volumi nei cluster locali di Azure e Windows Server e Creare il percorso di archiviazione per Azure Locale.
• Ottenere supporto per i problemi di distribuzione locale di Azure.