Distribuera Azure Local version 23H2 med hjälp av lokal identitet med Azure Key Vault (förhandsversion)
Gäller för: Azure Local, version 23H2
Den här artikeln beskriver hur du använder lokal identitet med Azure Key Vault för distribution av Azure Local version 23H2.
Viktigt!
Den här funktionen är för närvarande i förhandsversion. Juridiska villkor för Azure-funktioner i betaversion, förhandsversion eller som av någon annan anledning inte har gjorts allmänt tillgängliga ännu finns i kompletterande användningsvillkor för Microsoft Azure-förhandsversioner.
Översikt
Metoden för att använda lokal identitet med Key Vault, som tidigare kallades AD-mindre distribution, gör att Azure Local på ett säkert sätt kan hantera och lagra hemligheter, till exempel BitLocker-nycklar, nodlösenord och annan känslig information, utan att förlita sig på AD. Genom att integrera med Key Vault och använda certifikatbaserad autentisering kan du förbättra din säkerhetsstatus och säkerställa kontinuiteten i åtgärderna.
Förmåner
Att använda lokal identitet med Key Vault på Azure Local ger flera fördelar, särskilt för miljöer som inte är beroende av AD. Här är några viktiga fördelar:
Minimal gränsinfrastruktur. För miljöer som inte använder AD ger lokal identitet med Key Vault ett säkert och effektivt sätt att hantera användaridentiteter och hemligheter.
Hemlig butik. Key Vault hanterar och lagrar hemligheter på ett säkert sätt, till exempel BitLocker-nycklar, nodlösenord och annan känslig information. Detta minskar risken för obehörig åtkomst och förbättrar den övergripande säkerhetsstatusen.
Underhåll förenklad hantering. Genom att integrera med Key Vault kan organisationer effektivisera hanteringen av hemligheter och autentiseringsuppgifter. Detta omfattar lagring av distributions- och lokala identitetshemligheter i ett enda valv, vilket gör det enklare att hantera och komma åt dessa hemligheter.
Förenklad distribution. Under systemdistributionen via Azure Portal kan du välja en lokal identitetsprovider som är integrerad med Key Vault. Det här alternativet effektiviserar distributionsprocessen genom att se till att alla nödvändiga hemligheter lagras på ett säkert sätt i Key Vault. Distributionen blir effektivare genom att minska beroenden för befintliga AD-system eller andra system som kör AD, vilket kräver löpande underhåll. Dessutom förenklar den här metoden brandväggskonfigurationer för nätverk med driftteknik, vilket gör det enklare att hantera och skydda dessa miljöer.
Förutsättningar
Innan du börjar kontrollerar du att du:
Signera den lokala identiteten med registreringsformuläret för förhandsversionen av Azure Key Vault för att delta i den begränsade offentliga förhandsversionen. Mer information om hur vi samlar in, använder och skyddar dina personuppgifter under ditt deltagande i förhandsversionen finns i Microsofts sekretesspolicy.
Uppfylla kraven och slutför distributionschecklistan. Hoppa över de AD-specifika förutsättningarna.
Skapa ett lokalt användarkonto med samma autentiseringsuppgifter för alla noder och lägg till det i den lokala administratörsgruppen i stället för att använda det inbyggda administratörskontot.
Ha en DNS-server med en korrekt konfigurerad zon. Den här konfigurationen är avgörande för att nätverket ska fungera korrekt. Se Konfigurera DNS-server för Azure Local.
Ladda ned Azure Local-programvaran. Instruktioner om hur du laddar ned Azure Local-programvaran ges till dem som har registrerat sig för förhandsversionen.
Konfigurera DNS-server för Azure Local
Följ de här stegen för att konfigurera DNS för Azure Local:
Skapa och konfigurera DNS-server.
Konfigurera DNS-servern om du inte redan har en. Detta kan göras med hjälp av Windows Server DNS eller en annan DNS-lösning.
Skapa DNS-värd-A-poster.
Skapa en DNS-värd-A-post för varje nod i din lokala Azure-instans. Den här posten mappar nodens värdnamn till dess IP-adress så att andra enheter i nätverket kan hitta och kommunicera med noden.
Skapa dessutom en DNS-värd-A-post för själva systemet. Den här posten bör använda den första IP-adressen från det nätverksintervall som du har allokerat för systemet.
Verifiera DNS-poster.
Kontrollera att DNS-posterna för en specifik dator är korrekt konfigurerade genom att köra följande kommando:
nslookup "machine name"Konfigurera DNS-vidarebefordran.
Konfigurera DNS-vidarebefordran på DNS-servern för att vidarebefordra DNS-frågor till Azure DNS eller en annan extern DNS-provider efter behov.
Uppdatera nätverksinställningarna.
Uppdatera nätverksinställningarna på dina lokala Azure-noder så att de använder den DNS-server som du har konfigurerat. Detta kan göras via inställningarna för nätverkskortet eller med hjälp av PowerShell-kommandon.
Kontrollera DNS-konfigurationen.
Testa DNS-konfigurationen för att säkerställa att DNS-frågor matchas korrekt. Du kan använda verktyg som
nslookupeller gräva för att verifiera DNS-matchning.Konfigurera registernyckeln på varje nod.
Ange registernyckeln med zonnamnet/FQDN på varje nod. Kör följande kommando:
$zoneName = "replace.with.your.zone.name.here" $RegistryPath = 'HKLM:\SYSTEM\CurrentControlSet\services\Tcpip\Parameters' Set-ItemProperty -Path $RegistryPath -Name 'Domain' -Value $zoneNameStarta om operativsystemet på lokala datorer och fjärrdatorer med följande kommando:
Restart-Computer
Distribuera Azure Local via portalen med hjälp av lokal identitet med Key Vault
Under distributionen via Azure Portal kan du välja en lokal identitetsprovider som är integrerad med Key Vault. På så sätt kan du använda en lokal identitet med Key Vault för att hantera och lagra hemligheter på ett säkert sätt i stället för att förlita dig på AD för autentisering.
De allmänna distributionsstegen är desamma som de som beskrivs i Distribuera ett Azure Local version 23H2-system med hjälp av Azure Portal. Men när du använder lokal identitet med Key Vault måste du utföra specifika steg på flikarna Nätverk och hantering .
Fliken Nätverk
Ange DNS-serverinformationen som konfigurerats i avsnittet Konfigurera DNS för Azure Local .
Fliken Hantering
Välj alternativet Lokal identitet med Azure Key Vault.
Om du vill skapa ett nytt Nyckelvalv väljer du Skapa ett nytt nyckelvalv. Ange nödvändig information i det högra kontextfönstret och välj sedan Skapa.
I Key Vault-namn anger du det nya Key Vault-namnet.
Åtgärder efter distributionen
När du har distribuerat systemet bekräftar du att distributionen var AD-mindre och kontrollerar att hemligheter säkerhetskopieras till Key Vault.
Bekräfta att systemet har distribuerats utan Active Directory
När du har distribuerat systemet bekräftar du att distributionen var utan AD (AD-mindre).
Bekräfta att noden inte är ansluten till en AD-domän genom att köra följande kommando. Om utdata visar
WORKGROUPär noden inte domänansluten.Get-WmiObject Win32_ComputerSystem.DomainHär är ett exempel på utdata:
[host]: PS C:\Users\LocalAdmin\Documents> (Get-WmiObject Win32_ComputerSystem).Domain WORKGROUPKontrollera att ett kluster är ett arbetsgruppskluster som fungerar utan AD. Kör följande kommando och kontrollera värdet för parametern
ADAware:Get-ClusterResource "Cluster Name" | Get-ClusterParameter ADAware Object Name Value Type ------ ---- ----- ---- ClusterName ADAware 2 UInt32 For ADAware property, 0 = None, 1 = AD, 2 = DNS (AD'less) only.
Kontrollera att hemligheter säkerhetskopieras till Key Vault
BitLocker-nycklar och återställningsadministratörslösenord säkerhetskopieras säkert till Azure och roteras för att säkerställa maximal säkerhet.
I scenarier där AD inte är tillgängligt kan du använda en dedikerad återställningsadministratörsanvändare för att återställa systemet. Det avsedda användarnamnet för detta ändamål är RecoveryAdmin. Motsvarande lösenord kan hämtas på ett säkert sätt från Azure Key Vault, vilket säkerställer att du har de autentiseringsuppgifter som krävs för att utföra systemåterställningsåtgärder effektivt.
Detta säkerställer att all viktig information lagras på ett säkert sätt och enkelt kan hämtas vid behov, vilket ger ytterligare ett lager av säkerhet och tillförlitlighet för vår infrastruktur.
Uppdatera Key Vault på Azure Local
Om du vill uppdatera säkerhetskopieringskonfigurationen så att den använder ett nytt Key Vault måste du korrigera systemet med den nya Key Vault-informationen.
Följ de här stegen för att uppdatera key vault-konfigurationen för säkerhetskopiering av ett system för att använda ett nytt Key Vault:
Börja med att skapa ett nytt Nyckelvalv i Azure Portal. Se till att den är konfigurerad för att lagra säkerhetskopieringshemligheter.
Konfigurera lämpliga åtkomstkontroller för det nya Key Vault. Detta omfattar beviljande av nödvändiga behörigheter till nodidentiteten. Se till att ditt Key Vault har tilldelats rollen Key Vaults Secret Officer . Anvisningar finns i Ge åtkomst till Key Vault-nycklar, certifikat och hemligheter med en rollbaserad åtkomstkontroll i Azure.
Uppdatera systemkonfigurationen.
Använd en POST-begäran för att uppdatera klusterkonfigurationen med den nya Key Vault-informationen. Detta innebär att skicka en begäran till följande API-slutpunkt:
API Spec: API Version: 2024-07-01-preview API Path: /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.AzureStackHCI/clusters/{clusterName}/updateSecretsLocations Payload: { "properties": { "secretsType": "BackupSecrets", "secretsLocation": "https://hcikeyvaulttestingnew.vault.azure.net/" } }Verifiera konfigurationen. I Azure Portal öppnar du systemresursen och kontrollerar att Resurs-JSON innehåller uppdaterad Key Vault-information.
Här är ett exempel på en skärmbild av Resource JSON där du kan uppdatera Key Vault:
Kontrollera hemligheter i det nya Nyckelvalvet. Bekräfta att alla säkerhetskopieringshemligheter lagras korrekt i det nya Nyckelvalvet.
Rensa det gamla Nyckelvalvet. Det gamla Nyckelvalvet och dess hemligheter tas inte bort automatiskt. När du har kontrollerat att det nya Nyckelvalvet har konfigurerats korrekt och alla hemligheter lagras som förväntat kan du ta bort det gamla Nyckelvalvet om det behövs.
Återställa ett borttaget Key Vault och återuppta säkerhetskopieringen
När du tar bort och sedan återställer ett Key Vault påverkas den hanterade identitet som tidigare hade åtkomst till Key Vault på följande sätt:
- Återkallande av åtkomst till hanterad identitet. Under borttagningsprocessen återkallas den hanterade identitetens åtkomstbehörigheter till Key Vault. Det innebär att identiteten inte längre har behörighet att komma åt Key Vault.
- Fel vid tilläggsåtgärder. Tillägget för säkerhetskopiering av nyckelvalv som ansvarar för att hantera hemliga säkerhetskopior förlitar sig på den hanterade identiteten för åtkomst. När åtkomstbehörigheterna har återkallats kan tillägget inte utföra säkerhetskopieringsåtgärder.
- Tilläggsstatus i Azure Portal. I Azure Portal visas statusen för tillägget som Misslyckades som anger att tillägget inte kan säkerhetskopiera hemligheter på grund av att nödvändiga behörigheter har misslyckats.
Utför följande steg för att åtgärda och lösa problemet med det misslyckade tillägget och återställa normala säkerhetskopieringsåtgärder:
Tilldela om åtkomst till hanterad identitet.
- Fastställ den hanterade identitet som kräver åtkomst till Key Vault.
- Tilldela om rollen Key Vault Secret Officer till den hanterade identiteten.
Verifiera tilläggsfunktionen.
- Efter omtilldelningen övervakar du tilläggsstatusen i Azure Portal för att se till att det ändras från Misslyckades till Lyckades. Detta indikerar att tillägget har återfått nödvändiga behörigheter och nu fungerar korrekt.
- Testa säkerhetskopieringsåtgärderna för att säkerställa att hemligheter säkerhetskopieras korrekt och att säkerhetskopieringsprocessen fungerar som förväntat.
Nästa steg
- Om du inte skapade arbetsbelastningsvolymer under distributionen skapar du arbetsbelastningsvolymer och lagringssökvägar för varje volym. Mer information finns i Skapa volymer i Azure Local- och Windows Server-kluster och Skapa lagringssökväg för Azure Local.
- Få stöd för problem med lokal Azure-distribution.