Wdrażanie usługi Azure Local w wersji 23H2 przy użyciu tożsamości lokalnej z usługą Azure Key Vault (wersja zapoznawcza)

Dotyczy: Azure Local 2311.2 i nowsze

W tym artykule opisano sposób używania tożsamości lokalnej z usługą Azure Key Vault dla wdrożenia lokalnego platformy Azure w wersji 23H2.

Ważne

Ta funkcja jest obecnie dostępna w wersji zapoznawczej. Zobacz Dodatkowe warunki użytkowania wersji zapoznawczych platformy Microsoft Azure, aby zapoznać się z postanowieniami prawnymi dotyczącymi funkcji platformy Azure, które są w wersji beta lub wersji zapoznawczej albo w inny sposób nie zostały jeszcze wydane jako ogólnie dostępne.

Omówienie

Wcześniej znana jako wdrożenie bez usługi AD metoda używania tożsamości lokalnej z usługą Key Vault umożliwia usłudze Azure Local bezpieczne zarządzanie wpisami tajnymi i przechowywanie ich, takich jak klucze funkcji BitLocker, hasła węzłów i inne poufne informacje bez polegania na usłudze AD. Dzięki integracji z usługą Key Vault i uwierzytelniania opartego na certyfikatach można zwiększyć poziom zabezpieczeń i zapewnić ciągłość operacji.

Świadczenia

Korzystanie z tożsamości lokalnej z usługą Key Vault w usłudze Azure Local oferuje kilka korzyści, szczególnie w środowiskach, które nie korzystają z usługi AD. Oto kilka kluczowych korzyści:

• Minimalna infrastruktura brzegowa. W przypadku środowisk, które nie korzystają z usługi AD, tożsamość lokalna z usługą Key Vault zapewnia bezpieczny i wydajny sposób zarządzania tożsamościami i wpisami tajnymi użytkowników.

• Magazyn wpisów tajnych. Usługa Key Vault bezpiecznie zarządza wpisami tajnymi i przechowuje je, takie jak klucze funkcji BitLocker, hasła węzła i inne poufne informacje. Zmniejsza to ryzyko nieautoryzowanego dostępu i zwiększa ogólny poziom zabezpieczeń.

• Zachowaj uproszczone zarządzanie. Dzięki integracji z usługą Key Vault organizacje mogą usprawnić zarządzanie wpisami tajnymi i poświadczeniami. Obejmuje to przechowywanie wdrożeń i lokalnych wpisów tajnych tożsamości w jednym magazynie, co ułatwia zarządzanie tymi wpisami tajnymi i uzyskiwanie do nich dostępu.

• Uproszczone wdrożenie. Podczas wdrażania systemu za pośrednictwem witryny Azure Portal możesz wybrać lokalnego dostawcę tożsamości zintegrowanego z usługą Key Vault. Ta opcja usprawnia proces wdrażania, zapewniając bezpieczne przechowywanie wszystkich niezbędnych wpisów tajnych w usłudze Key Vault. Wdrożenie staje się bardziej wydajne dzięki zmniejszeniu zależności od istniejących systemów usługi AD lub innych systemów, które uruchamiają usługę AD, co wymaga ciągłej konserwacji. Ponadto takie podejście upraszcza konfiguracje zapory dla sieci operacyjnych technologii, co ułatwia zarządzanie tymi środowiskami i ich zabezpieczanie.

Wymagania wstępne

Przed rozpoczęciem upewnij się, że:

• Zaloguj się do formularza rejestracji lokalnej tożsamości lokalnej przy użyciu usługi Azure Key Vault w wersji zapoznawczej, aby wziąć udział w ograniczonej publicznej wersji zapoznawczej. Aby uzyskać więcej informacji na temat sposobu zbierania, używania i ochrony danych osobowych podczas uczestnictwa w wersji zapoznawczej, zapoznaj się z zasadami zachowania poufności informacji firmy Microsoft.

• Spełnij wymagania wstępne i kompletną listę kontrolną wdrożenia. Pomiń wymagania wstępne specyficzne dla usługi AD.

• Utwórz konto użytkownika lokalnego z tymi samymi poświadczeniami we wszystkich węzłach i dodaj je do lokalnej grupy administratorów zamiast korzystać z wbudowanego konta administratora.

• Pobierz oprogramowanie lokalne platformy Azure. Instrukcje dotyczące pobierania oprogramowania lokalnego platformy Azure zostaną udostępnione tym, którzy zarejestrowali się w celu uzyskania wersji zapoznawczej.

• W tej wersji zapoznawczej węzły wymagają statycznych adresów IP i nie obsługują protokołu DHCP. Po zainstalowaniu systemu operacyjnego użyj narzędzia SConfig, aby ustawić statyczny adres IP, podsieć, bramę i system DNS.

• Serwer DNS z prawidłowo skonfigurowaną strefą. Ta konfiguracja ma kluczowe znaczenie dla prawidłowego działania sieci. Zobacz Konfigurowanie serwera DNS dla usługi Azure Local.

Konfigurowanie serwera DNS dla usługi Azure Local

Wykonaj następujące kroki, aby skonfigurować usługę DNS dla usługi Azure Local:

1. Tworzenie i konfigurowanie serwera DNS.

   Skonfiguruj serwer DNS, jeśli jeszcze go nie masz. Można to zrobić przy użyciu systemu Windows Server DNS lub innego rozwiązania DNS.

2. Utwórz rekordy hosta DNS A.

   Dla każdego węzła w wystąpieniu lokalnym platformy Azure utwórz rekord HOSTA A hosta DNS. Ten rekord mapuje nazwę hosta węzła na jego adres IP, umożliwiając innym urządzeniom w sieci lokalizowanie węzła i komunikowanie się z nim.

   Ponadto utwórz rekord HOSTA DNS A dla samego systemu. Ten rekord powinien używać pierwszego adresu IP z zakresu sieci przydzielonego dla systemu.

3. Zweryfikuj rekordy DNS.

   Aby sprawdzić, czy rekordy DNS dla określonej maszyny są poprawnie skonfigurowane, uruchom następujące polecenie:

   nslookup "machine name"
   

4. Skonfiguruj przekazywanie DNS.

   Skonfiguruj przekazywanie DNS na serwerze DNS w celu przekazywania zapytań DNS do usługi Azure DNS lub innego zewnętrznego dostawcy DNS zgodnie z potrzebami.

5. Aktualizowanie ustawień sieciowych.

   Zaktualizuj ustawienia sieciowe w węzłach lokalnych platformy Azure, aby użyć skonfigurowanego serwera DNS. Można to zrobić za pomocą ustawień karty sieciowej lub poleceń programu PowerShell.

6. Zweryfikuj konfigurację DNS.

   Przetestuj konfigurację DNS, aby upewnić się, że zapytania DNS są prawidłowo rozpoznawane. Aby zweryfikować rozpoznawanie nazw DNS, możesz użyć narzędzi takich jak nslookup lub dig.

7. Skonfiguruj klucz rejestru w każdym węźle.

   Ustaw klucz rejestru z nazwą strefy/nazwą FQDN w każdym węźle. Uruchom następujące polecenie:

   $zoneName = "replace.with.your.zone.name.here" 
   $RegistryPath = 'HKLM:\SYSTEM\CurrentControlSet\services\Tcpip\Parameters' 
   Set-ItemProperty -Path $RegistryPath -Name 'Domain' -Value $zoneName
   

8. Uruchom ponownie system operacyjny na maszynach lokalnych i zdalnych, używając następującego polecenia:

   Restart-Computer
   

Wdrażanie usługi Azure Local za pośrednictwem portalu przy użyciu tożsamości lokalnej z usługą Key Vault

Podczas wdrażania za pośrednictwem witryny Azure Portal możesz wybrać lokalnego dostawcę tożsamości zintegrowanego z usługą Key Vault. Dzięki temu można używać tożsamości lokalnej z usługą Key Vault do bezpiecznego zarządzania wpisami tajnymi i przechowywania ich zamiast polegać na usłudze AD na potrzeby uwierzytelniania.

Ogólne kroki wdrażania są takie same jak te opisane w temacie Wdrażanie systemu lokalnego platformy Azure w wersji 23H2 przy użyciu witryny Azure Portal. Jednak w przypadku korzystania z tożsamości lokalnej z usługą Key Vault należy wykonać określone kroki na kartach Sieć i zarządzanie .

Karta Sieć

1. Podaj szczegóły serwera DNS skonfigurowane w sekcji Konfigurowanie usługi DNS dla usługi Azure Local .

   

Karta Zarządzanie

1. Wybierz opcję Tożsamość lokalna z usługą Azure Key Vault .

2. Aby utworzyć nową usługę Key Vault, wybierz pozycję Utwórz nową usługę Key Vault. Wprowadź wymagane szczegóły w okienku kontekstowym po prawej stronie, a następnie wybierz pozycję Utwórz.

3. W polu Nazwa magazynu kluczy wprowadź nową nazwę usługi Key Vault.

   

Kroki po wdrożeniu

Po wdrożeniu systemu upewnij się, że wdrożenie było mniej usług AD i sprawdź, czy kopie zapasowe wpisów tajnych są tworzone w usłudze Key Vault.

Potwierdzanie wdrożenia systemu bez usługi Active Directory

Po wdrożeniu systemu upewnij się, że wdrożenie było bez usługi AD (ad-less).

1. Upewnij się, że węzeł nie jest przyłączony do domeny usługi AD, uruchamiając następujące polecenie. Jeśli dane wyjściowe zawierają WORKGROUPwartość , węzeł nie jest przyłączony do domeny.

   Get-WmiObject Win32_ComputerSystem.Domain
   

   Oto przykładowe dane wyjściowe:

   [host]: PS C:\Users\LocalAdmin\Documents> (Get-WmiObject Win32_ComputerSystem).Domain 
   WORKGROUP
   

2. Sprawdź, czy klaster jest klastrem grupy roboczej, który działa bez usługi AD. Uruchom następujące polecenie i sprawdź wartość parametru ADAware :

   Get-ClusterResource "Cluster Name" | Get-ClusterParameter ADAware 
   
   Object       Name    Value Type 
   
   ------       ----    ----- ---- 
   
   ClusterName  ADAware  2    UInt32 
   
   For ADAware property, 0 = None, 1 = AD, 2 = DNS (AD'less) only.
   

Sprawdzanie, czy kopie zapasowe wpisów tajnych są tworzone w usłudze Key Vault

Klucze funkcji BitLocker i hasła administratora odzyskiwania są bezpiecznie tworzone na platformie Azure i są obracane w celu zapewnienia maksymalnego bezpieczeństwa.

W scenariuszach, w których usługa AD jest niedostępna, możesz użyć dedykowanego użytkownika administratora odzyskiwania w celu przywrócenia systemu. Wyznaczona nazwa użytkownika w tym celu to RecoveryAdmin. Odpowiednie hasło można bezpiecznie pobrać z usługi Azure Key Vault, zapewniając, że masz poświadczenia niezbędne do efektywnego wykonywania operacji odzyskiwania systemu.

Dzięki temu wszystkie krytyczne informacje są bezpiecznie przechowywane i można je łatwo pobierać w razie potrzeby, zapewniając dodatkową warstwę zabezpieczeń i niezawodności naszej infrastruktury.

Aktualizowanie usługi Key Vault w środowisku lokalnym platformy Azure

Aby zaktualizować konfigurację kopii zapasowej w celu użycia nowego magazynu Kluczy, należy zastosować poprawkę systemu przy użyciu nowych informacji usługi Key Vault.

Wykonaj następujące kroki, aby zaktualizować konfigurację usługi Key Vault kopii zapasowej systemu, aby użyć nowego magazynu kluczy:

1. Zacznij od utworzenia nowej usługi Key Vault w witrynie Azure Portal. Upewnij się, że jest skonfigurowany do przechowywania wpisów tajnych kopii zapasowych.

2. Skonfiguruj odpowiednie mechanizmy kontroli dostępu dla nowego magazynu Key Vault. Obejmuje to udzielanie niezbędnych uprawnień do tożsamości węzła. Upewnij się, że do usługi Key Vault przypisano rolę oficera wpisów tajnych usługi Key Vault. Aby uzyskać instrukcje, zobacz Zapewnianie dostępu do kluczy, certyfikatów i wpisów tajnych usługi Key Vault za pomocą kontroli dostępu opartej na rolach platformy Azure.

   

3. Zaktualizuj konfigurację systemu.

   Użyj żądania POST, aby zaktualizować konfigurację klastra przy użyciu nowych szczegółów usługi Key Vault. Obejmuje to wysłanie żądania do następującego punktu końcowego interfejsu API:

   API Spec:
   API Version: 2024-07-01-preview
   API Path: /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.AzureStackHCI/clusters/{clusterName}/updateSecretsLocations
   Payload:
   {
   "properties": {
       "secretsType": "BackupSecrets",
       "secretsLocation": "https://hcikeyvaulttestingnew.vault.azure.net/"
   }
   }
   

4. Zweryfikuj konfigurację. W witrynie Azure Portal otwórz zasób systemowy i sprawdź, czy plik JSON zasobu zawiera zaktualizowane szczegóły usługi Key Vault.

   Oto przykładowy zrzut ekranu przedstawiający plik JSON zasobu, na którym można zaktualizować usługę Key Vault:

   

5. Sprawdź wpisy tajne w nowej usłudze Key Vault. Upewnij się, że wszystkie wpisy tajne kopii zapasowej są prawidłowo przechowywane w nowym magazynie Key Vault.

6. Wyczyść stary magazyn Kluczy. Stary magazyn Key Vault i jego wpisy tajne nie są usuwane automatycznie. Po sprawdzeniu, czy nowa usługa Key Vault jest poprawnie skonfigurowana, a wszystkie wpisy tajne są przechowywane zgodnie z oczekiwaniami, możesz usunąć stary magazyn Key Vault w razie potrzeby.

Odzyskiwanie usuniętego magazynu Kluczy i wznawianie tworzenia kopii zapasowej

Usunięcie i odzyskanie usługi Key Vault spowoduje, że tożsamość zarządzana, która miała wcześniej dostęp do usługi Key Vault, będzie miała wpływ na następujące sposoby:

• Odwołanie dostępu tożsamości zarządzanej. Podczas procesu usuwania uprawnienia dostępu tożsamości zarządzanej do usługi Key Vault zostaną odwołane. Oznacza to, że tożsamość nie ma już autoryzacji dostępu do usługi Key Vault.
• Niepowodzenie operacji rozszerzenia. Rozszerzenie magazynu kluczy kopii zapasowych odpowiedzialne za zarządzanie tajnymi kopiami zapasowymi opiera się na tożsamości zarządzanej na potrzeby dostępu. Po odwołaniu uprawnień dostępu rozszerzenie nie może wykonać operacji tworzenia kopii zapasowej.
• Stan rozszerzenia w witrynie Azure Portal. W witrynie Azure Portal stan rozszerzenia jest wyświetlany jako Niepowodzenie wskazujące, że rozszerzenie nie może tworzyć kopii zapasowych wpisów tajnych z powodu utraty niezbędnych uprawnień.

Aby rozwiązać problem z niepowodzeniem rozszerzenia i przywrócić normalne operacje tworzenia kopii zapasowej, wykonaj następujące kroki:

1. Ponowne przypisywanie dostępu tożsamości zarządzanej.

   1. Określ tożsamość zarządzaną, która wymaga dostępu do usługi Key Vault.
   2. Ponownie przypisz rolę oficera wpisów tajnych usługi Key Vault do tożsamości zarządzanej.

2. Zweryfikuj funkcjonalność rozszerzenia.

   1. Po ponownym przypisaniu monitoruj stan rozszerzenia w witrynie Azure Portal, aby upewnić się, że zmienia się z Nie powiodłosię. Oznacza to, że rozszerzenie odzyskało niezbędne uprawnienia i działa teraz prawidłowo.
   2. Przetestuj operacje tworzenia kopii zapasowej, aby upewnić się, że kopie zapasowe wpisów tajnych są poprawnie tworzone i czy proces tworzenia kopii zapasowej działa zgodnie z oczekiwaniami.

Następne kroki

• Jeśli podczas wdrażania nie utworzono woluminów obciążeń, utwórz woluminy obciążeń i ścieżki magazynu dla każdego woluminu. Aby uzyskać szczegółowe informacje, zobacz Create volumes on Azure Local and Windows Server clusters (Tworzenie woluminów w klastrach lokalnych platformy Azure i Windows Server) i Create storage path for Azure Local (Tworzenie ścieżki magazynu dla usługi Azure Local i Windows Server).
• Uzyskaj pomoc techniczną dotyczącą problemów z wdrażaniem lokalnym platformy Azure.