Wdrażanie usługi Azure Local przy użyciu tożsamości lokalnej za pomocą usługi Azure Key Vault (wersja zapoznawcza)

W tym artykule opisano sposób używania tożsamości lokalnej z usługą Azure Key Vault na potrzeby lokalnego wdrożenia platformy Azure.

Ważne

Ta funkcja jest obecnie dostępna w wersji zapoznawczej. Zobacz Dodatkowe warunki użytkowania wersji zapoznawczych platformy Microsoft Azure, aby zapoznać się z postanowieniami prawnymi dotyczącymi funkcji platformy Azure, które są w wersji beta lub wersji zapoznawczej albo w inny sposób nie zostały jeszcze wydane jako ogólnie dostępne.

Omówienie

Wcześniej znana jako wdrożenie bez usługi AD, metoda używania tożsamości lokalnej z Key Vault umożliwia bezpieczne zarządzanie i przechowywanie takich danych jak klucze BitLocker, hasła węzłów i inne poufne informacje, bez polegania na usłudze AD. Dzięki integracji z usługą Key Vault i uwierzytelniania opartego na certyfikatach można zwiększyć poziom zabezpieczeń i zapewnić ciągłość operacji.

Świadczenia

Korzystanie z tożsamości lokalnej z usługą Key Vault w usłudze Azure Local oferuje kilka korzyści, szczególnie w środowiskach, które nie korzystają z usługi AD. Oto kilka kluczowych korzyści:

• Minimalna infrastruktura brzegowa. W przypadku środowisk, które nie korzystają z usługi AD, tożsamość lokalna z usługą Key Vault zapewnia bezpieczny i wydajny sposób zarządzania tożsamościami i wpisami tajnymi użytkowników.

• Tajny magazyn. Usługa Key Vault bezpiecznie zarządza tajemnicami i przechowuje je, takie jak klucze BitLocker, hasła węzła i inne poufne informacje. Zmniejsza to ryzyko nieautoryzowanego dostępu i zwiększa ogólny poziom zabezpieczeń.

• Zachowaj uproszczone zarządzanie. Dzięki integracji z usługą Key Vault organizacje mogą usprawnić zarządzanie danymi poufnymi i poświadczeniami. Obejmuje to przechowywanie tajemnic wdrożeniowych i lokalnej tożsamości w jednym skarbcu, co ułatwia zarządzanie tymi tajemnicami i uzyskiwanie do nich dostępu.

• Uproszczone wdrożenie. Podczas wdrażania systemu za pośrednictwem witryny Azure Portal możesz wybrać lokalnego dostawcę tożsamości zintegrowanego z usługą Key Vault. Ta opcja usprawnia proces wdrażania, zapewniając bezpieczne przechowywanie wszystkich niezbędnych wpisów tajnych w usłudze Key Vault. Wdrożenie staje się bardziej wydajne dzięki zmniejszeniu zależności od istniejących systemów AD lub innych systemów obsługujących AD, które wymagają ciągłej konserwacji. Ponadto takie podejście upraszcza konfiguracje zapory dla sieci operacyjnych technologii, co ułatwia zarządzanie tymi środowiskami i ich zabezpieczanie.

Wymagania wstępne

Przed rozpoczęciem upewnij się, że:

• Wyślij wiadomość e-mail do azurelocalidentity@microsoft.com, aby wziąć udział w ograniczonej publicznej wersji zapoznawczej. Aby uzyskać więcej informacji na temat sposobu zbierania, używania i ochrony danych osobowych podczas uczestnictwa w wersji zapoznawczej, zapoznaj się z zasadami zachowania poufności informacji firmy Microsoft.

• Spełnij wszystkie wymagania wstępne i kompletną listę kontrolną wdrożenia. Pomiń wymagania wstępne specyficzne dla Active Directory.

• Utwórz konto użytkownika lokalnego z tymi samymi poświadczeniami we wszystkich węzłach i dodaj je do lokalnej grupy administratorów zamiast korzystać z wbudowanego konta administratora.

• Pobierz oprogramowanie lokalne platformy Azure. Instrukcje dotyczące pobierania oprogramowania lokalnego platformy Azure zostaną udostępnione tym, którzy zarejestrowali się w celu uzyskania wersji zapoznawczej.

• W tej wersji zapoznawczej węzły wymagają statycznych adresów IP i nie obsługują protokołu DHCP. Po zainstalowaniu systemu operacyjnego użyj narzędzia SConfig, aby ustawić statyczny adres IP, podsieć, bramę i system DNS.

• Serwer DNS z prawidłowo skonfigurowaną strefą. Ta konfiguracja ma kluczowe znaczenie dla prawidłowego działania sieci. Zobacz Konfigurowanie serwera DNS dla usługi Azure Local.

Konfigurowanie serwera DNS dla usługi Azure Local

Wykonaj następujące kroki, aby skonfigurować usługę DNS dla usługi Azure Local:

1. Tworzenie i konfigurowanie serwera DNS.

   Skonfiguruj serwer DNS, jeśli jeszcze go nie masz. Można to zrobić przy użyciu systemu Windows Server DNS lub innego rozwiązania DNS.

2. Utwórz rekordy hosta DNS A.

   Dla każdego węzła w lokalnym wystąpieniu platformy Azure utwórz rekord A DNS. Ten rekord mapuje nazwę hosta węzła na jego adres IP, umożliwiając innym urządzeniom w sieci lokalizowanie węzła i komunikowanie się z nim.

   Ponadto utwórz rekord HOSTA DNS A dla samego systemu. Ten rekord powinien używać pierwszego adresu IP z zakresu sieci przydzielonego dla systemu.

3. Zweryfikuj rekordy DNS.

   Aby sprawdzić, czy rekordy DNS dla określonej maszyny są poprawnie skonfigurowane, uruchom następujące polecenie:

   nslookup "machine name"
   

4. Skonfiguruj przekazywanie DNS.

   Skonfiguruj przekazywanie DNS na serwerze DNS w celu przekazywania zapytań DNS do usługi Azure DNS lub innego zewnętrznego dostawcy DNS zgodnie z potrzebami.

5. Aktualizowanie ustawień sieciowych.

   Zaktualizuj ustawienia sieciowe w węzłach lokalnych platformy Azure, aby użyć skonfigurowanego serwera DNS. Można to zrobić za pomocą ustawień karty sieciowej lub poleceń programu PowerShell.

6. Zweryfikuj konfigurację DNS.

   Przetestuj konfigurację DNS, aby upewnić się, że zapytania DNS są prawidłowo rozpoznawane. Aby zweryfikować rozpoznawanie nazw DNS, możesz użyć narzędzi takich jak nslookup lub dig.

7. Skonfiguruj klucz rejestru w każdym węźle.

   Ustaw klucz rejestru z nazwą strefy/nazwą FQDN w każdym węźle. Uruchom następujące polecenie:

   $zoneName = "replace.with.your.zone.name.here" 
   $RegistryPath = 'HKLM:\SYSTEM\CurrentControlSet\services\Tcpip\Parameters' 
   Set-ItemProperty -Path $RegistryPath -Name 'Domain' -Value $zoneName
   

8. Uruchom ponownie system operacyjny na maszynach lokalnych i zdalnych, używając następującego polecenia:

   Restart-Computer
   

Wdrażanie Azure Local poprzez portal z użyciem tożsamości lokalnej i usługi Key Vault

Podczas wdrażania za pośrednictwem witryny Azure Portal możesz wybrać lokalnego dostawcę tożsamości zintegrowanego z usługą Key Vault. Dzięki temu można używać tożsamości lokalnej z usługą Key Vault do bezpiecznego zarządzania wpisami tajnymi i przechowywania ich zamiast polegać na usłudze AD na potrzeby uwierzytelniania.

Ogólne kroki wdrażania są takie same jak te opisane w Wdrażanie systemu lokalnego platformy Azure przy użyciu witryny Azure Portal. Jednak w przypadku korzystania z tożsamości lokalnej z usługą Key Vault należy wykonać określone kroki na kartach Sieć i zarządzanie .

Zakładka Sieciowa

1. Podaj szczegóły serwera DNS skonfigurowane w sekcji Konfigurowanie usługi DNS dla usługi Azure Local .

   

Karta Zarządzanie

1. Wybierz opcję Tożsamość lokalna z Azure Key Vault.

2. Aby utworzyć nową usługę Key Vault, wybierz pozycję Utwórz nową usługę Key Vault. Wprowadź wymagane szczegóły w okienku kontekstowym po prawej stronie, a następnie wybierz pozycję Utwórz.

3. W polu Nazwa magazynu kluczy wprowadź nową nazwę magazynu kluczy.

   

Kroki po wdrożeniu

Po wdrożeniu systemu upewnij się, że wdrożenie było bez usług AD i sprawdź, czy tajne są zapisywane w usłudze Key Vault.

Potwierdzanie wdrożenia systemu bez usługi Active Directory

Po wdrożeniu systemu upewnij się, że wdrożenie było bez AD (AD-less).

1. Upewnij się, że węzeł nie jest przyłączony do domeny usługi AD, uruchamiając następujące polecenie. Jeśli dane wyjściowe zawierają WORKGROUP, węzeł nie jest przyłączony do domeny.

   Get-WmiObject Win32_ComputerSystem.Domain
   

   Oto przykładowe dane wyjściowe:

   [host]: PS C:\Users\LocalAdmin\Documents> (Get-WmiObject Win32_ComputerSystem).Domain 
   WORKGROUP
   

2. Sprawdź, czy klaster jest klastrem grupy roboczej, który działa bez usługi AD. Uruchom następujące polecenie i sprawdź wartość parametru ADAware :

   Get-ClusterResource "Cluster Name" | Get-ClusterParameter ADAware 
   
   Object       Name    Value Type 
   
   ------       ----    ----- ---- 
   
   ClusterName  ADAware  2    UInt32 
   
   For ADAware property, 0 = None, 1 = AD, 2 = DNS (AD'less) only.
   

Upewnij się, że sekrety są przechowywane w Key Vault

Klucze funkcji BitLocker i hasła administratora odzyskiwania są bezpiecznie zapasowo zapisywane na platformie Azure i są rotowane w celu zapewnienia maksymalnego bezpieczeństwa.

W scenariuszach, w których usługa AD jest niedostępna, możesz użyć dedykowanego użytkownika administratora odzyskiwania w celu przywrócenia systemu. Wyznaczona nazwa użytkownika w tym celu to RecoveryAdmin. Odpowiednie hasło można bezpiecznie pobrać z usługi Azure Key Vault, zapewniając, że masz poświadczenia niezbędne do efektywnego wykonywania operacji odzyskiwania systemu.

Dzięki temu wszystkie krytyczne informacje są bezpiecznie przechowywane i można je łatwo pobierać w razie potrzeby, zapewniając dodatkową warstwę zabezpieczeń i niezawodności naszej infrastruktury.

Aktualizowanie usługi Key Vault w środowisku lokalnym platformy Azure

Aby zaktualizować konfigurację kopii zapasowej w celu użycia nowego Key Vault, należy zaktualizować system z nowymi informacjami o Key Vault.

Wykonaj następujące kroki, aby zaktualizować konfigurację kopii zapasowej Key Vault do użycia nowego Key Vault:

1. Zacznij od utworzenia nowej usługi Key Vault w witrynie Azure Portal. Upewnij się, że jest skonfigurowany do przechowywania tajnych danych zapasowych.

2. Skonfiguruj odpowiednie kontrola dostępu dla nowego Key Vault. Obejmuje to udzielanie niezbędnych uprawnień dla tożsamości węzła. Upewnij się, że Twoja usługa Key Vault ma przypisaną rolę Key Vaults Secret Officer. Aby uzyskać instrukcje, zobacz Zapewnianie dostępu do kluczy, certyfikatów i wpisów tajnych usługi Key Vault za pomocą kontroli dostępu opartej na rolach platformy Azure.

   

3. Zaktualizuj konfigurację systemu.

   Użyj żądania POST, aby zaktualizować konfigurację klastra przy użyciu nowych szczegółów usługi Key Vault. Obejmuje to wysłanie żądania do następującego punktu końcowego interfejsu API:

   API Spec:
   API Version: 2024-07-01-preview
   API Path: /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.AzureStackHCI/clusters/{clusterName}/updateSecretsLocations
   Payload:
   {
   "properties": {
       "secretsType": "BackupSecrets",
       "secretsLocation": "https://hcikeyvaulttestingnew.vault.azure.net/"
   }
   }
   

4. Zweryfikuj konfigurację. W witrynie Azure Portal otwórz zasób systemowy i sprawdź, czy plik JSON zasobu zawiera zaktualizowane szczegóły usługi Key Vault.

   Oto przykładowy zrzut ekranu Resource JSON, gdzie można zaktualizować Key Vault:

   

5. Sprawdź sekrety w nowym Key Vault. Upewnij się, że wszystkie tajne dane kopii zapasowej są prawidłowo przechowywane w nowym magazynie Key Vault.

6. Usuń stary Key Vault. Stary magazyn kluczy Key Vault i zawarte w nim tajemnice nie są usuwane automatycznie. Po sprawdzeniu, czy nowa usługa Key Vault jest poprawnie skonfigurowana, a wszystkie wpisy tajne są przechowywane zgodnie z oczekiwaniami, możesz usunąć stary magazyn Key Vault w razie potrzeby.

Odzyskiwanie usuniętego magazynu Kluczy i wznawianie tworzenia kopii zapasowej

Gdy usunięty i następnie odzyskany zostanie Key Vault, ma to następujący wpływ na tożsamość zarządzaną, która miała wcześniej do niego dostęp:

• Odwołanie dostępu tożsamości zarządzanej. Podczas procesu usuwania uprawnienia dostępu tożsamości zarządzanej do usługi Key Vault zostaną odwołane. Oznacza to, że tożsamość nie ma już autoryzacji do dostępu do Key Vault.
• Niepowodzenie operacji rozszerzenia. Rozszerzenie skrytki kluczy do kopii zapasowej, odpowiedzialne za zarządzanie tajnymi kopiami zapasowymi, opiera się na tożsamości zarządzanej dla dostępu. Po odwołaniu uprawnień dostępu rozszerzenie nie może wykonać operacji tworzenia kopii zapasowej.
• Stan rozszerzenia w witrynie Azure Portal. Na portalu Azure status rozszerzenia wyświetla się jako Niepowodzenie, co oznacza, że rozszerzenie nie może tworzyć kopii zapasowych tajemnic z powodu utraty niezbędnych uprawnień.

Aby rozwiązać problem z niepowodzeniem rozszerzenia i przywrócić normalne operacje tworzenia kopii zapasowej, wykonaj następujące kroki:

1. Przypisz ponownie dostęp tożsamości zarządzanej.

   1. Określ tożsamość zarządzaną, która wymaga dostępu do usługi Key Vault.
   2. Przypisz ponownie rolę Key Vault Secret Officer do tożsamości zarządzanej.

2. Zweryfikuj funkcjonalność rozszerzenia.

   1. Po ponownym przypisaniu monitoruj stan rozszerzenia w portalu Azure, aby upewnić się, że zmienia się z Nie powiodło się na Pomyślnie. Oznacza to, że rozszerzenie odzyskało niezbędne uprawnienia i działa teraz prawidłowo.
   2. Przetestuj operacje tworzenia kopii zapasowej, aby upewnić się, że kopie zapasowe wpisów tajnych są poprawnie tworzone i czy proces tworzenia kopii zapasowej działa zgodnie z oczekiwaniami.

Następne kroki

• Jeśli podczas wdrażania nie utworzono woluminów obciążeń, utwórz woluminy obciążeń i ścieżki magazynu dla każdego woluminu. Aby uzyskać szczegółowe informacje, zobacz Create volumes on Azure Local and Windows Server clusters (Tworzenie woluminów w lokalnych klastrach Azure i Windows Server) i Create storage path for Azure Local (Tworzenie ścieżki magazynu dla Azure Local).
• Uzyskaj pomoc techniczną dotyczącą problemów z wdrażaniem lokalnym platformy Azure.