【发布时间】:2017-10-18 09:09:20
【问题描述】:
如何结合 ARM 使用 Desired State Configuration。
范围: - 我们有一个通过 ARM 模板部署的 Azure 虚拟机。 - VM 在 ARM 模板中有一个扩展资源,用于 Desired State Configuration - 我们需要将敏感参数(以安全的方式!)传递到 Desired State Configuration(我们想使用 DSC 创建一个额外的本地 Windows 帐户) - 配置文件用于知道使用什么公钥进行加密,并让 VM 知道它必须使用哪个证书进行解密(通过指纹) - 使用ARM时,需要在单独的属性中定义配置数据文件 - 我注意到 DSC 服务会自动向 VM 添加用于文档加密的证书。
问题: 如果我想开箱即用,我需要预先创建 configurationDataFile,并将其存储在某个地方(如 blob 或其他东西)。 但是,VM 上的“开箱即用”证书只有在部署 ARM 模板后才能知道。
我想知道是否有办法让 DSC 中的加密/解密工作,使用 VM 上的开箱即用 DSC 证书,而不使用不同的增量 DSC 模板。 那么我如何在部署时知道开箱即用的证书指纹呢? (在手臂模板中?) 我真的需要为每个部署转换 ConfigurationData 文件(并找到正确的 VM 指纹),还是有一种开箱即用的方式通过 ARM 告诉 DSC 为此使用开箱即用的创建证书?
【问题讨论】:
-
您将需要一个支持“KeyEncipherment”、“DataEncipherment”和“文档加密”的证书。无论您在何处创建配置,都需要安装此证书私钥。有关加密 mof 文件的更多信息,请参见此处:docs.microsoft.com/en-us/powershell/dsc/securemof
标签: azure azure-resource-manager dsc