在通过 ARM 部署的 Desired State Configuration 中保护凭据
Securing credentials in Desired State Configuration deployed via ARM
如何结合 ARM 使用 Desired State Configuration。
范围:
- 我们有一个通过 ARM 模板部署的 Azure 虚拟机。
- VM 在 ARM 模板中有一个扩展资源,用于 Desired State Configuration
- 我们需要将敏感参数(以安全的方式!)传递到 Desired State Configuration(我们想使用 DSC 创建一个额外的本地 windows 帐户)
- 配置文件用于了解用于加密的 public 密钥,并让 VM 知道必须使用哪个证书进行解密(通过指纹)
- 使用ARM时,需要在单独的属性中定义配置数据文件
- 我注意到 DSC 服务会自动将文档加密证书添加到 VM。
问题:
如果我想让它开箱即用,我需要预先创建 configurationDataFile,并将其存储在某个地方(如 blob 或其他东西)。
但是,VM 上的 'out-of-the-box' 证书只有在部署 ARM 模板后才能知道。
我想知道是否有办法让 DSC 中的 encryption/decryption 正常工作,使用 VM 上开箱即用的 DSC 证书,而不使用不同的增量 DSC 模板。
那么我如何才能在部署时知道开箱即用的证书指纹呢? (在手臂模板中?)
我是否真的需要为每个部署转换 ConfigurationData 文件(并找到正确的 VM 指纹),或者是否有开箱即用的方式告诉 DSC 通过 ARM 为此使用开箱即用创建的证书?
因为目标 VM 也是创作机器,所以密码可以纯文本形式传递,因为它们永远不会离开虚拟机。
这已由 Microsoft 支持人员验证。
如何结合 ARM 使用 Desired State Configuration。
范围: - 我们有一个通过 ARM 模板部署的 Azure 虚拟机。 - VM 在 ARM 模板中有一个扩展资源,用于 Desired State Configuration - 我们需要将敏感参数(以安全的方式!)传递到 Desired State Configuration(我们想使用 DSC 创建一个额外的本地 windows 帐户) - 配置文件用于了解用于加密的 public 密钥,并让 VM 知道必须使用哪个证书进行解密(通过指纹) - 使用ARM时,需要在单独的属性中定义配置数据文件 - 我注意到 DSC 服务会自动将文档加密证书添加到 VM。
问题: 如果我想让它开箱即用,我需要预先创建 configurationDataFile,并将其存储在某个地方(如 blob 或其他东西)。 但是,VM 上的 'out-of-the-box' 证书只有在部署 ARM 模板后才能知道。
我想知道是否有办法让 DSC 中的 encryption/decryption 正常工作,使用 VM 上开箱即用的 DSC 证书,而不使用不同的增量 DSC 模板。 那么我如何才能在部署时知道开箱即用的证书指纹呢? (在手臂模板中?) 我是否真的需要为每个部署转换 ConfigurationData 文件(并找到正确的 VM 指纹),或者是否有开箱即用的方式告诉 DSC 通过 ARM 为此使用开箱即用创建的证书?
因为目标 VM 也是创作机器,所以密码可以纯文本形式传递,因为它们永远不会离开虚拟机。 这已由 Microsoft 支持人员验证。