azure - 使用 Terraform 部署 Azure Key Vault + Windows VM-6ren

azure - 使用 Terraform 部署 Azure Key Vault + Windows VM

转载作者：行者123 更新时间：2023-12-02 06:37:47

我正在尝试使用 Terraform 部署基础设施。

我的目的是部署带有 WinRM 监听器的虚拟机，因此，我需要使用证书。

我首先部署一个 key 保管库，将证书放入其中，然后从保管库检索证书以将其注册到虚拟机中。

###############################################################################################################
# PROVIDERS
###############################################################################################################

provider "azurerm" {
  features {}
}


###############################################################################################################
# RESOURCES
###############################################################################################################

data "azurerm_client_config" "current" {}

resource "azurerm_resource_group" "rg" {
  name     = "runner"
  location = "West Europe"
}

resource "azurerm_key_vault" "testrunnerkeyvault" {
  name                = "test-runner-keyvault"
  location            = azurerm_resource_group.rg.location
  resource_group_name = azurerm_resource_group.rg.name
  tenant_id           = data.azurerm_client_config.current.tenant_id
  sku_name            = "standard"

  access_policy {
    tenant_id = data.azurerm_client_config.current.tenant_id
    object_id = data.azurerm_client_config.current.object_id

    certificate_permissions = [
      "create",
      "delete",
      "deleteissuers",
      "get",
      "getissuers",
      "import",
      "list",
      "listissuers",
      "managecontacts",
      "manageissuers",
      "purge",
      "recover",
      "setissuers",
      "update",
    ]

    key_permissions = [
      "backup",
      "create",
      "decrypt",
      "delete",
      "encrypt",
      "get",
      "import",
      "list",
      "purge",
      "recover",
      "restore",
      "sign",
      "unwrapKey",
      "update",
      "verify",
      "wrapKey",
    ]

    secret_permissions = [
      "backup",
      "delete",
      "get",
      "list",
      "purge",
      "recover",
      "restore",
      "set",
    ]

    storage_permissions = [
      "Backup",
      "Delete",
      "DeleteSAS",
      "Get",
      "GetSAS",
      "List",
      "ListSAS",
      "Purge",
      "Recover",
      "RegenerateKey",
      "Restore",
      "Set",
      "SetSAS",
      "Update"
    ]
  }
}

resource "azurerm_key_vault_certificate" "testrunnercertificate" {
  name         = "test-winrm-cert"
  key_vault_id = azurerm_key_vault.testrunnerkeyvault.id

  certificate {
    contents = filebase64("files/winrm_cert.pfx")
    password = "*********"
  }
}

resource "azurerm_virtual_network" "vn" {
  name                = "runner_vn"
  address_space       = ["10.0.0.0/8"]
  location            = azurerm_resource_group.rg.location
  resource_group_name = azurerm_resource_group.rg.name
}

resource "azurerm_subnet" "subnet" {
  name                 = "runner_subnet"
  resource_group_name  = azurerm_resource_group.rg.name
  virtual_network_name = azurerm_virtual_network.vn.name
  address_prefixes     = ["10.0.1.0/24"]
}

resource "azurerm_network_security_group" "nsg" {
  name                = "Runner-Security-Group"
  location            = azurerm_resource_group.rg.location
  resource_group_name = azurerm_resource_group.rg.name

  tags = {
    environment = "Test"
  }
}

resource "azurerm_network_security_rule" "ssh-rule" {
  name                        = "SSH"
  priority                    = 1001
  direction                   = "Inbound"
  access                      = "Allow"
  protocol                    = "Tcp"
  source_port_range           = "*"
  destination_port_range      = "22"
  source_address_prefix       = "*"
  destination_address_prefix  = "*"
  resource_group_name         = azurerm_resource_group.rg.name
  network_security_group_name = azurerm_network_security_group.nsg.name
}

resource "azurerm_network_security_rule" "winrm-https-rule" {
  name                        = "WinRM-Https"
  priority                    = 300
  direction                   = "Inbound"
  access                      = "Allow"
  protocol                    = "Tcp"
  source_port_range           = "*"
  destination_port_range      = "5986"
  source_address_prefix       = "*"
  destination_address_prefix  = "*"
  resource_group_name         = azurerm_resource_group.rg.name
  network_security_group_name = azurerm_network_security_group.nsg.name
}

resource "azurerm_network_security_rule" "winrm-http-rule" {
  name                        = "WinRM-Http"
  priority                    = 301
  direction                   = "Inbound"
  access                      = "Allow"
  protocol                    = "Tcp"
  source_port_range           = "*"
  destination_port_range      = "5985"
  source_address_prefix       = "*"
  destination_address_prefix  = "*"
  resource_group_name         = azurerm_resource_group.rg.name
  network_security_group_name = azurerm_network_security_group.nsg.name
}

resource "azurerm_network_security_rule" "rdp-rule" {
  name                        = "RDP"
  priority                    = 302
  direction                   = "Inbound"
  access                      = "Allow"
  protocol                    = "Tcp"
  source_port_range           = "*"
  destination_port_range      = "3389"
  source_address_prefix       = "*"
  destination_address_prefix  = "*"
  resource_group_name         = azurerm_resource_group.rg.name
  network_security_group_name = azurerm_network_security_group.nsg.name
}

resource "azurerm_subnet_network_security_group_association" "secgroup-assoc" {
  subnet_id                 = azurerm_subnet.subnet.id
  network_security_group_id = azurerm_network_security_group.nsg.id
}

resource "azurerm_public_ip" "runner_public_ip" {
  name                = "runner-ip"
  location            = azurerm_resource_group.rg.location
  resource_group_name = azurerm_resource_group.rg.name
  allocation_method   = "Dynamic"
  sku                 = "Basic"
}

resource "azurerm_network_interface" "network_interface" {
  name                    = "runner-network-interface"
  location                = azurerm_resource_group.rg.location
  resource_group_name     = azurerm_resource_group.rg.name
  internal_dns_name_label = "runnertest" 

  ip_configuration {
    name                          = "internal"
    subnet_id                     = azurerm_subnet.subnet.id
    private_ip_address_allocation = "static"
    private_ip_address            = "10.0.1.5"
    public_ip_address_id          = azurerm_public_ip.runner_public_ip.id
  }

}

resource "azurerm_network_interface_security_group_association" "nisecuritygroup" {
  network_interface_id      = azurerm_network_interface.network_interface.id
  network_security_group_id = azurerm_network_security_group.nsg.id

}

resource "azurerm_windows_virtual_machine" "runner" {
  name                  = "runner"
  resource_group_name   = azurerm_resource_group.rg.name
  location              = azurerm_resource_group.rg.location
  size                  = "Standard_B2s"
  admin_username        = "******"
  admin_password        = "******"
  network_interface_ids = [azurerm_network_interface.network_interface.id]

  secret {
    certificate {
      store = "/CurrentUser/My"
      url   = azurerm_key_vault_certificate.testrunnercertificate.secret_id
    }
    key_vault_id = azurerm_key_vault.testrunnerkeyvault.id
  }


  winrm_listener {
    protocol        = "Https"
    certificate_url = azurerm_key_vault_certificate.testrunnercertificate.secret_id
  }

  os_disk {
    caching              = "ReadWrite"
    storage_account_type = "Standard_LRS"
    disk_size_gb         = 64
  }

  source_image_reference {
    publisher = "MicrosoftWindowsServer"
    offer     = "WindowsServer"
    sku       = "2022-datacenter-azure-edition-smalldisk"
    version   = "latest"
  }

}


data "azurerm_public_ip" "runner-ip" {
  name                = azurerm_public_ip.runner_public_ip.name
  resource_group_name = azurerm_windows_virtual_machine.runner.resource_group_name
  depends_on          = [azurerm_windows_virtual_machine.runner]
}


output "public_ip_address" {
  value = data.azurerm_public_ip.runner-ip.ip_address
}

在部署虚拟机期间，我收到以下错误:

 Error: waiting for creation of Windows Virtual Machine "runner" (Resource Group "runner"): 
 Code="KeyVaultAccessForbidden" Message="Key Vault 
 https://test-runner-keyvault.vault.azure.net/secrets/test-winrm-cert/23e7d5ab76914841b2c6e58d1e68b9b1 either has not been enabled for deployment or the vault id provided, /subscriptions/<subscriptionid>/resourceGroups/runner/providers/Microsoft.KeyVault/vaults/test-runner-keyvault, does not match the Key Vault's true resource id."
│
│   with azurerm_windows_virtual_machine.runner,
│   on main.tf line 224, in resource "azurerm_windows_virtual_machine" "runner":
│  224: resource "azurerm_windows_virtual_machine" "runner" {

最佳答案

您需要将以下可选参数(在您的 key-vault 资源中)切换为 true:

enabled_for_deployment - (可选) bool 标志，用于指定是否允许 Azure 虚拟机从 key 保管库检索作为 secret 存储的证书。默认为假。

在这里找到:https://registry.terraform.io/providers/hashicorp/azurerm/latest/docs/resources/key_vault#argument-reference

关于azure - 使用 Terraform 部署 Azure Key Vault + Windows VM，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/70542759/

文章推荐： azure - k8s 使用来自不同命名空间的 secret

文章推荐： java - 如何在 Java 中的不同行上多次写入文本文档？

文章推荐： python - 如何为 Durable Azure Functions 编写单元测试？

postgresql - 通过 jenkins 部署 postgres - 持续集成/部署
我在 *.sql 文件中得到了我的数据库转储(表、函数、触发器等)。此时我正在通过 jenkins 部署它们，通过传递执行 shell 命令: sudo -u postgres psql -d my_
api - Web 部署 API(部署 .zip 包)说明
我正在使用网络部署 API 来部署网络包(.zip 文件，由 MSDeploy.exe 创建)以编程方式将包发布到服务器(在发布包之前我们需要做一些其他事情这就是为什么我们不使用 MSDeploy.e
c# - Web 部署 API - 部署 .NET 4.5 应用程序
我们正在使用 Web Deploy 3 的(几乎完全未记录的)“公共(public) API”来创建我们网站的 .zip 包，然后将其同步到服务器: DeploymentBaseOptions des
Clojure 部署？
将 clojure 应用程序制作成可执行文件的最简单方法是什么，例如 http://rawr.rubyforge.org/ ruby 吗？ (exe 和 app 文件也是) 最佳答案使用 leini
Android内核编译/部署
是否可以下载 Android 源代码并针对任何设备进行编译？我想做的是尝试 GSM 代码部分并编译操作系统并将其部署到我的摩托罗拉手机上。谢谢! 最佳答案是的，但这很难，因为大多数手机不共享驱动
c++ - 部署
我正在考虑用 c/c++ 编写需要在大多数个人计算机上运行的 nbody 样式模拟。本质上是一个 O(n^2) 粒子模拟器。因为这需要相当用户友好，所以我希望有 1 个不需要用户安装任何东西的 Wi
Kubernetes 部署 - 状态副本和规范副本之间的区别
需要了解 kubernetes 部署中 kube_deployment_status_replicas 和 kube_deployment_spec_replicas 指标的区别最佳答案简而言之，
Maven 部署 + 源分类器
我正在尝试使用分类器部署 Maven Artifact 。由于我需要源代码和 JAR(我从 GWT 使用它)，我想获得 artifact-version-classifier.jar 和 artifa
PhpStorm 部署 - 每次都要求提供登录凭据
我设置部署以将我的项目代码与存储我的网站的 FTP 服务器上的项目同步。但是，每次尝试同步时，我总是必须登录。我什至检查了记住，但它不起作用! 我正在使用最新的 PhpStorm 2017.1.4
ASP.NET 部署
我在 Visual Studio 2008 中开发了一个 ASP.NET 网站。现在我想在其他机器上部署它。我怎样才能做到这一点？？就像我们为 Windows 应用程序制作安装包一样，我们可以为 AS
Qt Mac 部署
将 QT 框架添加到我的 .app 包中我正在关注 Qt 站点上关于部署的文档。我创建了一个名为 HTTPClient.app 的应用程序我在 Contents 下创建了 Framework 文
eclipse - JavaMe 部署
这个问题不太可能对任何 future 的访客有帮助；它只与一个小的地理区域、一个特定的时间点或一个非常狭窄的情况相关，通常不适用于互联网的全局受众。如需帮助使这个问题更广泛适用，visit the h
部署 CMS 驱动的内容
我正在研究改变我目前创建营销网站的策略。目前，我完全用 PHP 从头开始构建网站，使用一个简单的包含系统。所有代码(以及内容)都存储在文件(而不是数据库)中，允许我使用 Subversion 进行
没有端口的 Kubernetes 部署
我有一个长期运行的服务(在 while 1 循环中)并通过 GCloud pub/sub 处理有效负载，之后它将结果写入数据库。该服务不需要监听任何端口。 Kind=Deployment 的声明性
kubernetes - 如何诊断停滞的Kubernetes部署/部署？
似乎部署已停滞不前。我该如何进一步诊断？ kubectl rollout status deployment/wordpress Waiting for rollout to finish: 2 ou
dart - AngularDart转换/部署
我正在Dart中使用前端的Angular和后端的Shelf构建一个客户端/服务器应用程序。当我执行pub build时，它会按预期生成Dart文件的javascript，但不会替换HTML文件中的Da
Azure 部署 - 授权后无法查看所有存储库
我在 Azure 部署中心的下拉列表中看不到我的所有 Github 组织存储库。 Azure 很久以前就已经被授权了，下拉列表正确地显示了所有的存储库，直到上周我在 DevOps 中玩游戏时，不得不再
部署: Most secure,最优雅的方式来获取登录用户创建的特定集合中的所有对象？
我认为标题几乎说明了一切...对于 Deployd 来说是全新的，所以任何关于如何最好地实现这一点的指示都值得赞赏。最佳答案要获取用户创建的集合中的对象(我假设您使用的是 javascript 库
bash - 使用Bash脚本进行Docker构建/部署
我有一个试图用于CD服务器的部署脚本，但是在编写bash脚本以完成一些所需的步骤(例如运行npm和迁移命令)时遇到了问题。我将如何从该脚本进入容器bash，运行下面的命令，然后退出以完成对更改的提取
Kubernetes 部署 - 传递参数
我想在使用 kubectl 时将参数传递给 Kubernetes 部署命令应用部署文件。示例:在我的部署 .yaml 中，我有如下参数，我想在使用 kubectl apply - f .yaml 运

行者123

个人简介

我是一名优秀的程序员,十分优秀！

作者热门文章

滴滴打车优惠券免费领取

全站热门文章

首页

博学

6Ren·AI

商城

azure - 使用 Terraform 部署 Azure Key Vault + Windows VM