Kurz: Použití služby Azure Key Vault k ukládání tajných kódů virtuálních počítačů pomocí Ansible

  • Článek

V tomto rychlém startu vytvoříte a načtete tajné kódy ze služby Azure Key Vault pomocí Ansible.

Důležité

K spuštění ukázkových playbooků v tomto článku se vyžaduje Ansible 2.9 (nebo novější).

V tomto článku získáte informace o těchto tématech:

  • Vytvoření instance služby Azure Key Vault
  • Vytvoření úložiště tajných kódů ve službě Azure Key Vault
  • Získání tajných kódů ze služby Azure Key Vault pomocí Ansible

Požadavky

  • Předplatné Azure: Pokud ještě nemáte předplatné Azure, vytvořte si bezplatný účet před tím, než začnete.

Vytvoření trezoru klíčů Azure

Ansible potřebuje skupinu prostředků k nasazení vašich prostředků.

  1. Vytvořte playbook Ansible s názvem create_kv.yml Přidejte následující úkol pro vytvoření skupiny prostředků:

    ---
- name: Create Azure key vault
  hosts: localhost
  connection: local
  tasks:

  - name: Create resource group
    azure_rm_resourcegroup:
      name: ansible-kv-test-rg
      location: eastus

  2. Definujte požadované proměnné pro ID tenanta, ID instančního objektu a název trezoru.

    ---
vars:
  tenant_id: <tenantId>
  object_id: <servicePrincipalObjectId>
  vault_name: <vaultName>

    Nahraďte <tenantId>, <servicePrincipalObjectId>a <vaultName> odpovídajícími hodnotami. ObjectId slouží k udělení přístupu k tajným kódům v trezoru klíčů.

    klíčový bod:

    • Názvy trezorů klíčů Azure musí být globálně jedinečné. K trezoru klíčů a klíčům a tajným klíčům uvnitř se přistupuje prostřednictvím https://{vault-name}.vault.azure.net identifikátoru URI.

  3. Nakonfigurujte instanci služby Azure Key Vault přidáním create_kv.yml úlohy.

    ---
- name: Create key vault instance
  azure_rm_keyvault:
    resource_group: ansible-kv-test-rg
    vault_name: "{{ vault_name }}"
    enabled_for_deployment: yes
    vault_tenant: "{{ tenant_id }}"
    sku:
      name: standard
    access_policies:
      - tenant_id: "{{ tenant_id }}"
        object_id: "{{ object_id }}"
        secrets:
          - get
          - list
          - set
          - delete

  4. create_kv.yml Spusťte playbook.

    ansible-playbook create_kv.yml

    PLAY [localhost] *******************************************************************************************************

TASK [Gathering Facts] *************************************************************************************************
ok: [localhost]

TASK [Create resource group] *******************************************************************************************
ok: [localhost]

TASK [Create key vault instance] ************************************************************************************
ok: [localhost]

PLAY RECAP *************************************************************************************************************
localhost                  : ok=3    changed=0    unreachable=0    failed=0    skipped=0    rescued=0    ignored=0

Dokončení vytvoření playbooku služby Azure Key Vault

Tato část obsahuje celý ukázkový playbook Ansible pro vytvoření trezoru klíčů Azure.

- hosts: localhost
  connection: local

  vars:
    tenant_id: <tenantId>
    object_id: <servicePrincipalObjectId>
    vault_name: <vaultName>

  tasks:
  - name: Create resource group 
    azure_rm_resourcegroup:
      name: ansible-kv-test-rg
      location: eastus

  - name: Create instance of Key Vault
    azure_rm_keyvault:
      resource_group: ansible-kv-test-rg
      vault_name: "{{ vault_name }}"
      enabled_for_deployment: yes
      vault_tenant: "{{ tenant_id }}"
      sku:
        name: standard
      access_policies:
        - tenant_id: "{{ tenant_id }}"
          object_id: "{{ object_id }}"
          secrets:
            - get
            - list
            - set
            - delete

Vytvoření tajného klíče v trezoru klíčů

Před vytvořením tajného kódu budete potřebovat identifikátor URI služby KeyVault.

  1. Vytvořte další playbook s názvem create_kv_secret.yml. Zkopírujte do playbooku následující kód:

    ---
- hosts: localhost
  connection: local

  tasks:

  - name: Get Key Vault by name
    azure_rm_keyvault_info:
      resource_group: ansible-kv-test-rg
      name: <vaultName>
    register: keyvault

  - name: set KeyVault uri fact
    set_fact: keyvaulturi="{{ keyvault['keyvaults'][0]['vault_uri'] }}"

  - name: Create a secret
    azure_rm_keyvaultsecret:
      secret_name: adminPassword
      secret_value: <secretValue>
      keyvault_uri: "{{ keyvaulturi }}"

    Nahraďte <vaultName> názvem vašeho trezoru klíčů a <secretValue> hodnotou tajného kódu.

    Klíčový bod:

    • set_facts Moduly azure_rm_keyvault_info registrují identifikátor URI trezoru klíčů jako proměnnou. Tato proměnná se pak předá azure_rm_keyvaultsecret modulu, aby se vytvořil tajný kód.

  2. create_kv_secret.yml Spusťte playbook.

    ansible-playbook create_kv_secret.yml

    PLAY [localhost] *******************************************************************************************************

TASK [Gathering Facts] *************************************************************************************************
ok: [localhost]

TASK [Get Key Vault by name] *******************************************************************************************
ok: [localhost]

TASK [set KeyVault uri fact] *******************************************************************************************
ok: [localhost]

TASK [Create a secret] *************************************************************************************************
ok: [localhost]

PLAY RECAP *************************************************************************************************************
localhost                  : ok=4    changed=0    unreachable=0    failed=0    skipped=0    rescued=0    ignored=0

Získání tajných kódů z trezoru klíčů

Tajné kódy uložené ve službě Azure Key Vault je možné použít k naplnění proměnných Ansible.

  1. Vytvořte nový playbook volaný get_kv_secrets.yml k načtení tajných kódů trezoru klíčů pomocí Ansible.

    Ansible 2,9 s azure_preview_modules

    ---
- hosts: localhost
  connection: local
  roles: 
    -  { role: azure.azure_preview_modules }

  vars:
    tenant_id: <tenantId>
    vault_name: <vaultName>
    secret_name: adminPassword
    client_id: <servicePrincipalApplicationId>
    client_secret: <servicePrincipalSecret>

  tasks:
  - name: Get Key Vault by name
    azure_rm_keyvault_info:
      resource_group: ansible-kv-test-rg
      name: "{{ vault_name }}"
    register: keyvault

  - name: Set key vault URI fact
    set_fact: keyvaulturi="{{ keyvault['keyvaults'][0]['vault_uri'] }}"

  - name: Set key vault secret fact
    set_fact: secretValue={{ lookup('azure_keyvault_secret',secret_name,vault_url=keyvaulturi, client_id=client_id, secret=client_secret, tenant_id=tenant_id) }}

  - name: Output key vault secret
    debug:
      msg: "{{ secretValue }}"

    Nahraďte <tenantId>, <servicePrincipalApplicationId><vaultName>, a <servicePrincipalSecret> odpovídajícími hodnotami.

    Další informace najdete azure_preview_modulesna stránce Ansible Galaxy .

    Ansible 2.10 s azure.azcollection

    ---
- hosts: localhost
  connection: local
  collections:
    - azure.azcollection

  vars:
    vault_name: ansible-kv-test-01
    secret_name: adminPassword

  tasks:

  - name: Get Key Vault by name
    azure_rm_keyvault_info:
      resource_group: ansible-kv-test-rg
      name: "{{ vault_name }}"
    register: keyvault

  - name: Set key vault URI fact
    set_fact: keyvaulturi="{{ keyvault['keyvaults'][0]['vault_uri'] }}"

  - name: Get secret value
    azure_rm_keyvaultsecret_info:
      vault_uri: "{{ keyvaulturi }}"
      name: "{{ secret_name }}"
    register: kvSecret

  - name: set secret fact
    set_fact: secretValue="{{ kvSecret['secrets'][0]['secret'] }}"

  - name: Output key vault secret
    debug: 
      msg="{{ secretValue }}"

    Nahraďte <vaultName> příslušnou hodnotou.

    Další informace najdete azcollectionv tématu Ansible collection for Azure.

  2. get-secret-value.yml Spusťte playbook.

    ansible-playbook get-secret-value.yml

    TASK [Output key vault secret] *************************************************
ok: [localhost] => {
    "msg": "<plainTextPassword>"
}

    Ověřte, že výstup, který jste nahradili <plainTextPassword> , je hodnota prostého textu tajného kódu, který jste dříve vytvořili ve službě Azure Key Vault.

Kompletní ukázkový playbook Ansible

Tato část obsahuje celý ukázkový playbook Ansible pro konfiguraci virtuálního počítače Azure s Windows pomocí tajného klíče trezoru klíčů.

---
- name: Create Azure VM
  hosts: localhost
  connection: local
  gather_facts: false
  collections:
    - azure.azcollection

  vars:
    vault_uri: <key_vault_uri>
    secret_name: <key_vault_secret_name>

  tasks:

  - name: Get latest version of a secret
    azure_rm_keyvaultsecret_info:
      vault_uri: "{{ vault_uri }}"
      name: "{{ secret_name }}"
    register: kvSecret

  - name: Set secret fact
    set_fact: secret_value="{{ kvSecret['secrets'][0]['secret'] }}"

  - name: Create resource group
    azure_rm_resourcegroup:
      name: myResourceGroup
      location: eastus

  - name: Create virtual network
    azure_rm_virtualnetwork:
      resource_group: myResourceGroup
      name: vNet
      address_prefixes: "10.0.0.0/16"

  - name: Add subnet
    azure_rm_subnet:
      resource_group: myResourceGroup
      name: subnet
      address_prefix: "10.0.1.0/24"
      virtual_network: vNet

  - name: Create public IP address
    azure_rm_publicipaddress:
      resource_group: myResourceGroup
      allocation_method: Static
      name: pip
    register: output_ip_address

  - name: Output public IP
    debug:
      msg: "The public IP is {{ output_ip_address.state.ip_address }}"
  
  - name: Create Network Security Group
    azure_rm_securitygroup:
      resource_group: myResourceGroup
      name: networkSecurityGroup
      rules:
        - name: 'allow_rdp'
          protocol: Tcp
          destination_port_range: 3389
          access: Allow
          priority: 1001
          direction: Inbound

  - name: Create a network interface
    azure_rm_networkinterface:
      name: nic
      resource_group: myResourceGroup
      virtual_network: vNet
      subnet_name: subnet
      security_group: networkSecurityGroup
      ip_configurations:
        - name: default
          public_ip_address_name: pip
          primary: True

  - name: Create VM
    azure_rm_virtualmachine:
      resource_group: myResourceGroup
      name: win-vm
      vm_size: Standard_DS1_v2
      admin_username: azureuser
      admin_password: "{{ secret_value }}"
      network_interfaces: nic
      os_type: Windows
      image:
          offer: WindowsServer
          publisher: MicrosoftWindowsServer
          sku: 2019-Datacenter
          version: latest
    no_log: true

Nahraďte a <key_vault_secret_name> nahraďte <key_vault_uri> odpovídajícími hodnotami.

Vyčištění prostředků

  1. Uložte následující kód jako delete_rg.yml.

    ---
- hosts: localhost
  tasks:
    - name: Deleting resource group - "{{ name }}"
      azure_rm_resourcegroup:
        name: "{{ name }}"
        state: absent
      register: rg
    - debug:
        var: rg

  2. Spusťte playbook pomocí příkazu ansible-playbook . Zástupný symbol nahraďte názvem skupiny prostředků, která se má odstranit. Odstraní se všechny prostředky v rámci skupiny prostředků.

    ansible-playbook delete_rg.yml --extra-vars "name=<resource_group>"

    Klíčové body:

    • register Vzhledem k proměnné a debug části playbooku se výsledky zobrazí po dokončení příkazu.

Další kroky

Ansible v Azure