Partilhar via

Implantar o Azure Local, versão 23H2 usando a identidade local com o Azure Key Vault (visualização)

  • Artigo

Aplica-se a: Azure Local 2311.2 e posterior

Este artigo descreve como usar a identidade local com o Azure Key Vault for Azure Local, versão 23H2 implantação.

Importante

Este recurso está atualmente em visualização. Veja Termos de Utilização Complementares da Pré-visualizações do Microsoft Azure para obter os termos legais que se aplicam às funcionalidades do Azure que estão na versão beta, na pré-visualização ou que ainda não foram lançadas para disponibilidade geral.

Descrição geral

Anteriormente conhecido como implantação sem AD, o método de usar a identidade local com o Cofre da Chave permite que o Azure Local gerencie e armazene segredos com segurança, como chaves BitLocker, senhas de nó e outras informações confidenciais, sem depender do AD. Ao integrar-se com o Key Vault e usar a autenticação baseada em certificado, você pode melhorar sua postura de segurança e garantir a continuidade das operações.

Benefícios

Usar a identidade local com o Cofre da Chave no Azure Local oferece vários benefícios, especialmente para ambientes que não dependem do AD. Aqui estão alguns benefícios importantes:

  • Infraestrutura de borda mínima. Para ambientes que não usam AD, a identidade local com o Cofre de Chaves fornece uma maneira segura e eficiente de gerenciar identidades e segredos de usuários.

  • Loja secreta. O Cofre de Chaves gerencia e armazena segredos com segurança, como chaves BitLocker, senhas de nó e outras informações confidenciais. Isso reduz o risco de acesso não autorizado e melhora a postura geral de segurança.

  • Manter uma gestão simplificada. Com a integração com o Key Vault, as organizações podem simplificar o gerenciamento de segredos e credenciais. Isso inclui armazenar segredos de implantação e identidade local em um único cofre, facilitando o gerenciamento e o acesso a esses segredos.

  • Implantação simplificada. Durante a implantação do sistema por meio do portal do Azure, você tem a opção de selecionar um provedor de identidade local integrado ao Cofre da Chave. Essa opção simplifica o processo de implantação, garantindo que todos os segredos necessários sejam armazenados com segurança no Cofre da Chave. A implantação torna-se mais eficiente reduzindo as dependências em sistemas AD existentes ou outros sistemas que executam AD, que exigem manutenção contínua. Além disso, essa abordagem simplifica as configurações de firewall para redes de Tecnologia Operacional, facilitando o gerenciamento e a segurança desses ambientes.

Pré-requisitos

Antes de começar, certifique-se de que:

  • Assine o formulário de inscrição Identidade Local com o Azure Key Vault Preview para participar da visualização pública limitada. Para obter mais informações sobre como recolhemos, utilizamos e protegemos os seus dados pessoais durante a sua participação na pré-visualização, consulte a Declaração de Privacidade da Microsoft.

  • Satisfaça os pré-requisitos e complete a lista de verificação de implantação. Ignore os pré-requisitos específicos do AD.

  • Crie uma conta de usuário local com as mesmas credenciais em todos os nós e adicione-a ao grupo de administradores locais, em vez de usar a conta de administrador interna.

  • Baixe o software Azure Local. Instruções sobre como baixar o software Azure Local serão fornecidas para aqueles que se inscreveram para a visualização.

  • Para esta visualização, os nós requerem endereços IP estáticos e não suportam DHCP. Depois que o sistema operacional estiver instalado, use o SConfig para definir o endereço IP estático, a sub-rede, o gateway e o DNS.

  • Tenha um servidor DNS com uma zona configurada corretamente. Esta configuração é crucial para que a rede funcione corretamente. Consulte Configurar o servidor DNS para o Azure Local.

Configurar o servidor DNS para o Azure Local

Siga estas etapas para configurar o DNS para o Azure Local:

  1. Crie e configure o servidor DNS.

    Configure o seu servidor DNS se ainda não tiver um. Isso pode ser feito usando o DNS do Windows Server ou outra solução de DNS.

  2. Crie registos de anfitrião DNS A.

    Para cada nó em sua instância Local do Azure, crie um registro DNS Host A. Esse registro mapeia o nome de host do nó para seu endereço IP, permitindo que outros dispositivos na rede localizem e se comuniquem com o nó.

    Além disso, crie um registro DNS Host A para o próprio sistema. Esse registro deve usar o primeiro endereço IP do intervalo de rede que você alocou para o sistema.

  3. Verifique os registos DNS.

    Para verificar se os registros DNS de uma máquina específica estão configurados corretamente, execute o seguinte comando:

    nslookup "machine name"

  4. Configure o encaminhamento de DNS.

    Configure o encaminhamento de DNS em seu servidor DNS para encaminhar consultas DNS para o DNS do Azure ou outro provedor de DNS externo, conforme necessário.

  5. Atualize as configurações de rede.

    Atualize as configurações de rede em seus nós locais do Azure para usar o servidor DNS que você configurou. Isso pode ser feito por meio das configurações do adaptador de rede ou usando comandos do PowerShell.

  6. Verifique a configuração do DNS.

    Teste a configuração de DNS para garantir que as consultas DNS sejam resolvidas corretamente. Você pode usar ferramentas como nslookup ou cavar para verificar a resolução de DNS.

  7. Configure a chave do Registro em cada nó.

    Defina a chave do Registro com o nome da zona/FQDN em cada nó. Execute o seguinte comando:

    $zoneName = "replace.with.your.zone.name.here" 
$RegistryPath = 'HKLM:\SYSTEM\CurrentControlSet\services\Tcpip\Parameters' 
Set-ItemProperty -Path $RegistryPath -Name 'Domain' -Value $zoneName

  8. Reinicie o sistema operacional em máquinas locais e remotas usando o seguinte comando:

    Restart-Computer

Implantar o Azure Local por meio do portal usando a identidade local com o Cofre da Chave

Durante a implantação por meio do portal do Azure, você tem a opção de selecionar um provedor de identidade local integrado ao Cofre da Chave. Isso permite que você use uma identidade local com o Cofre da Chave para gerenciar e armazenar segredos com segurança, em vez de depender do AD para autenticação.

As etapas gerais de implantação são as mesmas descritas em Implantar um sistema Azure Local, versão 23H2 usando o portal do Azure. No entanto, ao usar a identidade local com o Cofre da Chave, você precisa executar etapas específicas nas guias Rede e Gerenciamento .

Separador Rede

  1. Forneça os detalhes do servidor DNS configurados na seção Configurar DNS para Azure Local .

    Captura de ecrã do separador Rede a mostrar o campo Servidor DNS.

Guia Gerenciamento

  1. Selecione a opção Identidade Local com o Cofre da Chave do Azure.

  2. Para criar um novo Cofre de Chaves, selecione Criar um novo Cofre de Chaves. Insira os detalhes necessários no painel de contexto direito e selecione Criar.

  3. Em Nome do Cofre da Chave, insira o novo nome do Cofre da Chave.

    Captura de ecrã da página Criar um Cofre de Chaves.

Passos pós-implementação

Depois de implantar o sistema, confirme se a implantação foi sem AD e verifique se o backup dos segredos está sendo feito no Cofre da Chave.

Confirme se o sistema foi implantado sem o Ative Directory

Depois de implantar o sistema, confirme se a implantação foi sem AD (sem AD).

  1. Confirme se o nó não está associado a um domínio do AD executando o seguinte comando. Se a saída mostrar WORKGROUP, o nó não está associado ao domínio.

    Get-WmiObject Win32_ComputerSystem.Domain

    Aqui está um exemplo de saída:

    [host]: PS C:\Users\LocalAdmin\Documents> (Get-WmiObject Win32_ComputerSystem).Domain 
WORKGROUP

  2. Verifique se um cluster é um cluster de grupo de trabalho funcional sem AD. Execute o seguinte comando e verifique o ADAware valor do parâmetro:

    Get-ClusterResource "Cluster Name" | Get-ClusterParameter ADAware 

Object       Name    Value Type 

------       ----    ----- ---- 

ClusterName  ADAware  2    UInt32 

For ADAware property, 0 = None, 1 = AD, 2 = DNS (AD'less) only.

Verifique se os segredos estão sendo copiados para o Cofre da Chave

As chaves BitLocker e as palavras-passe de administrador de recuperação são copiadas com segurança para o Azure e são alternadas para garantir a máxima segurança.

Em cenários em que o AD não está disponível, você pode utilizar um usuário administrador de recuperação dedicado para restaurar o sistema. O nome de utilizador designado para este efeito é RecoveryAdmin. A senha correspondente pode ser recuperada com segurança do Cofre de Chaves do Azure, garantindo que você tenha as credenciais necessárias para executar operações de recuperação do sistema de forma eficaz.

Isso garante que todas as informações críticas sejam armazenadas com segurança e possam ser facilmente recuperadas quando necessário, fornecendo uma camada adicional de segurança e confiabilidade para nossa infraestrutura.

Captura de ecrã da página Segredos.

Atualizar o Cofre da Chave no Azure Local

Para atualizar a configuração de backup para usar um novo Cofre de Chaves, você precisa corrigir seu sistema com as novas informações do Cofre de Chaves.

Siga estas etapas para atualizar a configuração do Cofre da Chave de backup de um sistema para usar um novo Cofre da Chave:

  1. Comece criando um novo Cofre da Chave no portal do Azure. Certifique-se de que está configurado para armazenar segredos de backup.

  2. Configure os controles de acesso apropriados para o novo Cofre de Chaves. Isso inclui a concessão das permissões necessárias para a identidade do nó. Certifique-se de que o seu Cofre de Chaves recebeu a função de Oficial Secreto dos Cofres de Chaves . Para obter instruções, consulte Fornecer acesso a chaves, certificados e segredos do Cofre de Chaves com um controle de acesso baseado em função do Azure.

    Captura de ecrã da página Adicionar atribuição de função.

  3. Atualize a configuração do sistema.

    Use uma solicitação POST para atualizar a configuração do cluster com os novos detalhes do Cofre da Chave. Isso envolve o envio de uma solicitação para o seguinte ponto de extremidade da API:

    API Spec:
API Version: 2024-07-01-preview
API Path: /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.AzureStackHCI/clusters/{clusterName}/updateSecretsLocations
Payload:
{
"properties": {
    "secretsType": "BackupSecrets",
    "secretsLocation": "https://hcikeyvaulttestingnew.vault.azure.net/"
}
}

  4. Valide a configuração. No portal do Azure, abra o recurso do sistema e verifique se o JSON de Recursos inclui os detalhes atualizados do Cofre da Chave.

    Aqui está uma captura de tela de exemplo do JSON de recursos onde você pode atualizar o Cofre da Chave:

    Captura de ecrã do JSON de Recursos onde pode atualizar o Cofre de Chaves.

  5. Verifique os segredos no novo Cofre da Chave. Confirme se todos os segredos de backup estão armazenados corretamente no novo Cofre de Chaves.

  6. Limpe o antigo Cofre da Chave. O antigo Cofre da Chave e seus segredos não são excluídos automaticamente. Depois de verificar se o novo Cofre da Chave está configurado corretamente e se todos os segredos são armazenados conforme o esperado, você pode excluir o antigo Cofre da Chave, se necessário.

Recupere um Cofre de Chaves excluído e retome o backup

Quando você exclui e, posteriormente, recupera um Cofre de Chaves, a identidade gerenciada que anteriormente tinha acesso ao Cofre de Chaves é afetada das seguintes maneiras:

  • Revogação do acesso gerenciado à identidade. Durante o processo de exclusão, as permissões de acesso da identidade gerenciada ao Cofre da Chave são revogadas. Isso significa que a identidade não tem mais autorização para acessar o Cofre da Chave.
  • Insucesso das operações de extensão. A extensão do cofre de chaves de backup responsável pelo gerenciamento de backups secretos depende da identidade gerenciada para acesso. Com as permissões de acesso revogadas, a extensão não consegue executar operações de backup.
  • Status da extensão no portal do Azure. No portal do Azure, o status da extensão é exibido como Falha , indicando que a extensão não pode fazer backup de segredos devido à perda das permissões necessárias.

Para resolver e resolver o problema da extensão com falha e restaurar as operações normais de backup, execute as seguintes etapas:

  1. Reatribua o acesso de identidade gerenciado.

    1. Determine a identidade gerenciada que requer acesso ao Cofre da Chave.
    2. Reatribua a função de Oficial Secreto do Cofre de Chaves à identidade gerenciada.

  2. Verifique a funcionalidade da extensão.

    1. Após a reatribuição, monitore o status da extensão no portal do Azure para garantir que ela mude de Falha para Êxito. Isso indica que a extensão recuperou as permissões necessárias e agora está funcionando corretamente.
    2. Teste as operações de backup para garantir que o backup dos segredos está sendo feito corretamente e se o processo de backup está funcionando conforme o esperado.

Próximos passos