Развертывание локальной версии 23H2 с помощью локального удостоверения с помощью Azure Key Vault (предварительная версия)

Область применения: Локальная версия Azure, версия 23H2

В этой статье описывается, как использовать локальное удостоверение с Azure Key Vault для локального развертывания Azure версии 23H2.

Внимание

Эта функция сейчас доступна в режиме предварительной версии. Юридические условия, применимые к функциям Azure, которые находятся в состоянии бета-версии, предварительной версии или иным образом еще не выпущены в общедоступной версии, см. на странице Дополнительные условия использования предварительных версий в Microsoft Azure.

Обзор

Ранее известное как развертывание без AD, метод использования локального удостоверения с Key Vault позволяет Azure Local безопасно управлять секретами и хранить секреты, такие как ключи BitLocker, пароли узлов и другие конфиденциальные сведения, без использования AD. Интеграция с Key Vault и использование проверки подлинности на основе сертификатов позволяет повысить уровень безопасности и обеспечить непрерывность операций.

Льготы

Использование локального удостоверения с Key Vault в Azure Local предоставляет несколько преимуществ, особенно для сред, которые не используют AD. Ниже приведены некоторые ключевые преимущества:

• Минимальная граничная инфраструктура. В средах, не использующих AD, локальное удостоверение с Key Vault обеспечивает безопасный и эффективный способ управления удостоверениями пользователей и секретами.

• Хранилище секретов. Key Vault безопасно управляет секретами, такими как ключи BitLocker, пароли узлов и другие конфиденциальные сведения. Это снижает риск несанкционированного доступа и повышает общую безопасность.

• Поддержка упрощенного управления. Интеграция с Key Vault позволяет организациям оптимизировать управление секретами и учетными данными. Это включает хранение секретов развертывания и локальных удостоверений в одном хранилище, что упрощает управление и доступ к этим секретам.

• Упрощенное развертывание. Во время развертывания системы с помощью портал Azure можно выбрать локальный поставщик удостоверений, интегрированный с Key Vault. Этот параметр упрощает процесс развертывания, обеспечивая безопасное хранение всех необходимых секретов в Key Vault. Развертывание становится более эффективным путем сокращения зависимостей от существующих систем AD или других систем, работающих в AD, которые требуют текущего обслуживания. Кроме того, этот подход упрощает настройку брандмауэра для операционных сетей, что упрощает управление и защиту этих сред.

Необходимые компоненты

Прежде чем начать, убедитесь, что вы:

• Подписывание локального удостоверения с помощью формы предварительной версии Azure Key Vault для участия в ограниченной общедоступной предварительной версии. Дополнительные сведения о сборе, использовании и защите персональных данных во время участия в предварительной версии см . в заявлении о конфиденциальности Майкрософт.

• Выполните необходимые условия и полный контрольный список развертывания. Пропустите предварительные требования, относящиеся к AD.

• Создайте учетную запись локального пользователя с одинаковыми учетными данными на всех узлах и добавьте ее в группу локальных администраторов вместо использования встроенной учетной записи администратора.

• У вас ЕСТЬ DNS-сервер с правильно настроенной зоной. Эта настройка имеет решающее значение для правильной работы сети. См. статью "Настройка DNS-сервера для локальной службы Azure".

• Скачайте локальное программное обеспечение Azure. Инструкции по скачиванию локального программного обеспечения Azure будут предоставлены тем, кто зарегистрировался для предварительной версии.

Настройка DNS-сервера для локального сервера Azure

Выполните следующие действия, чтобы настроить DNS для локальной среды Azure:

1. Создание и настройка DNS-сервера.

   Настройте DNS-сервер, если у вас еще нет сервера. Это можно сделать с помощью DNS-сервера Windows Server или другого решения DNS.

2. Создайте записи узла DNS A.

   Для каждого узла в локальном экземпляре Azure создайте запись узла DNS A. Эта запись сопоставляет имя узла узла с IP-адресом, позволяя другим устройствам в сети находить и взаимодействовать с ним.

   Кроме того, создайте запись узла DNS A для самой системы. Эта запись должна использовать первый IP-адрес из диапазона сети, выделенного для системы.

3. Проверьте записи DNS.

   Чтобы убедиться, что записи DNS для определенного компьютера настроены правильно, выполните следующую команду:

   nslookup "machine name"
   

4. Настройка перенаправления DNS.

   Настройте перенаправление DNS на DNS-сервере для пересылки DNS-запросов в Azure DNS или другого внешнего поставщика DNS по мере необходимости.

5. Обновление параметров сети.

   Обновите параметры сети на локальных узлах Azure, чтобы использовать настроенный DNS-сервер. Это можно сделать с помощью параметров сетевого адаптера или с помощью команд PowerShell.

6. Проверьте конфигурацию DNS.

   Проверьте конфигурацию DNS, чтобы убедиться, что запросы DNS разрешаются правильно. Для проверки разрешения DNS можно использовать такие инструменты, как nslookup и для проверки разрешения DNS.

7. Настройка раздела реестра на каждом узле.

   Задайте раздел реестра с именем зоны или полное доменное имя на каждом узле. Выполните следующую команду:

   $zoneName = "replace.with.your.zone.name.here" 
   $RegistryPath = 'HKLM:\SYSTEM\CurrentControlSet\services\Tcpip\Parameters' 
   Set-ItemProperty -Path $RegistryPath -Name 'Domain' -Value $zoneName
   

8. Перезапустите операционную систему на локальных и удаленных компьютерах с помощью следующей команды:

   Restart-Computer
   

Развертывание локальной службы Azure на портале с помощью локального удостоверения с помощью Key Vault

Во время развертывания с помощью портал Azure у вас есть возможность выбрать локальный поставщик удостоверений, интегрированный с Key Vault. Это позволяет использовать локальное удостоверение с Key Vault для безопасного управления секретами и хранения секретов вместо использования AD для проверки подлинности.

Общие шаги развертывания совпадают с описанными в статье "Развертывание локальной системы Azure версии 23H2 с помощью портал Azure". Однако при использовании локального удостоверения с Key Vault необходимо выполнить определенные действия на вкладках "Сеть и управление ".

Вкладка "Сеть"

1. Укажите сведения о DNS-сервере, настроенные в разделе "Настройка DNS для локальной службы Azure".

   

Вкладка Management "Управление"

1. Выберите локальное удостоверение с помощью Azure Key Vault .

2. Чтобы создать новое хранилище ключей, нажмите кнопку "Создать новое хранилище ключей". Введите необходимые сведения в правой области контекста и нажмите кнопку "Создать".

3. В имени хранилища ключей введите новое имя Key Vault.

   

Действия, выполняемые после развертывания

После развертывания системы убедитесь, что развертывание было менее AD и убедитесь, что секреты резервируются в Key Vault.

Подтверждение развертывания системы без Active Directory

После развертывания системы убедитесь, что развертывание было без AD (AD-less).

1. Убедитесь, что узел не присоединен к домену AD, выполнив следующую команду. Если выходные данные показаны WORKGROUP, узел не присоединен к домену.

   Get-WmiObject Win32_ComputerSystem.Domain
   

   Ниже приведен пример выходных данных.

   [host]: PS C:\Users\LocalAdmin\Documents> (Get-WmiObject Win32_ComputerSystem).Domain 
   WORKGROUP
   

2. Убедитесь, что кластер является функциональным кластером рабочей группы без AD. Выполните следующую команду и проверьте значение ADAware параметра:

   Get-ClusterResource "Cluster Name" | Get-ClusterParameter ADAware 
   
   Object       Name    Value Type 
   
   ------       ----    ----- ---- 
   
   ClusterName  ADAware  2    UInt32 
   
   For ADAware property, 0 = None, 1 = AD, 2 = DNS (AD'less) only.
   

Проверка резервного копирования секретов в Key Vault

Ключи BitLocker и пароли администратора восстановления безопасно резервируются в Azure и сменяются, чтобы обеспечить максимальную безопасность.

В сценариях, когда AD недоступен, вы можете использовать выделенного администратора восстановления для восстановления системы. Указанное имя пользователя для этой цели .RecoveryAdmin Соответствующий пароль можно безопасно получить из Azure Key Vault, гарантируя, что необходимые учетные данные для эффективного выполнения операций восстановления системы.

Это гарантирует, что все критически важные сведения хранятся безопасно и могут быть легко извлечены при необходимости, обеспечивая дополнительный уровень безопасности и надежности для нашей инфраструктуры.

Обновление Key Vault в локальной среде Azure

Чтобы обновить конфигурацию резервного копирования, чтобы использовать новое хранилище ключей, необходимо исправить систему с помощью новых сведений Key Vault.

Выполните следующие действия, чтобы обновить конфигурацию хранилища ключей резервного копирования системы, чтобы использовать новое хранилище ключей:

1. Начните с создания хранилища ключей в портал Azure. Убедитесь, что он настроен для хранения секретов резервного копирования.

2. Настройте соответствующие элементы управления доступом для нового Key Vault. Это включает предоставление необходимых разрешений для удостоверения узла. Убедитесь, что key Vault назначена роль секретного директора Key Vaults. Инструкции см. в статье "Предоставление доступа к ключам, сертификатам и секретам Key Vault с помощью управления доступом на основе ролей Azure".

   

3. Обновите конфигурацию системы.

   Используйте запрос POST для обновления конфигурации кластера с новыми сведениями о Key Vault. Это включает отправку запроса в следующую конечную точку API:

   API Spec:
   API Version: 2024-07-01-preview
   API Path: /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.AzureStackHCI/clusters/{clusterName}/updateSecretsLocations
   Payload:
   {
   "properties": {
       "secretsType": "BackupSecrets",
       "secretsLocation": "https://hcikeyvaulttestingnew.vault.azure.net/"
   }
   }
   

4. Проверка конфигурации. В портал Azure откройте системный ресурс и убедитесь, что JSON ресурсов содержит обновленные сведения о Key Vault.

   Ниже приведен пример снимка экрана с JSON ресурса, в котором можно обновить Хранилище ключей:

   

5. Проверьте секреты в новом Хранилище ключей. Убедитесь, что все секреты резервного копирования хранятся в новом хранилище ключей.

6. Очистите старое хранилище ключей. Старое хранилище ключей и его секреты не удаляются автоматически. Убедившись, что новое хранилище ключей настроено правильно и все секреты хранятся должным образом, при необходимости можно удалить старое хранилище ключей.

Восстановление удаленного хранилища ключей и возобновление резервного копирования

При удалении и последующем восстановлении Хранилища ключей управляемое удостоверение, которое ранее имело доступ к Key Vault, влияет следующим образом:

• Отзыв доступа к управляемому удостоверению. В процессе удаления разрешения на доступ управляемого удостоверения к Key Vault отзываются. Это означает, что удостоверение больше не имеет авторизации для доступа к Key Vault.
• Сбой операций расширения. Расширение хранилища ключей резервного копирования, ответственное за управление резервными копиями секретов, зависит от управляемого удостоверения для доступа. При отмене разрешений доступа расширение не может выполнять операции резервного копирования.
• Состояние расширения в портал Azure. В портал Azure состояние расширения отображается как сбой, указывающий, что расширение не может создавать резервные копии секретов из-за потери необходимых разрешений.

Чтобы устранить проблему сбоем расширения и восстановить обычные операции резервного копирования, выполните следующие действия.

1. Переназначение доступа к управляемому удостоверению.

   1. Определите управляемое удостоверение, требующее доступа к Key Vault.
   2. Переназначьте роль секретного сотрудника Key Vault управляемому удостоверению.

2. Проверьте функциональные возможности расширения.

   1. После переназначения отслеживайте состояние расширения в портал Azure, чтобы убедиться, что он изменяется с failed to Succeeded. Это означает, что расширение восстановило необходимые разрешения и теперь работает должным образом.
   2. Проверьте операции резервного копирования, чтобы обеспечить правильность резервного копирования секретов и правильность работы процесса резервного копирования.

Следующие шаги

• Если во время развертывания не было создано томов рабочей нагрузки, создайте тома рабочей нагрузки и пути к хранилищу для каждого тома. Дополнительные сведения см. в статье "Создание томов" в кластерах Azure Local и Windows Server и создание пути к хранилищу для локальной среды Azure.
• Получите поддержку проблем с локальным развертыванием Azure.