Azure Cloud Discovery mit Service-Prinzipal mit SSH-Zertifikaten

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 1 Minute Lesedauer

    • Erkennen Sie virtuelle Linux-Computer in Azure mithilfe von Service Principal (SP) mit kurzlebigen SSH-Zertifikaten. Durch die Verwendung dieser Zertifikate werden Passwörter oder öffentliche und private Schlüsselpaare überflüssig.

    Vorbereitungen

    Erforderliche Rolle: admin

    Vor dem Erstellen von Cloud Discovery-Anmeldeinformationen müssen Service-Prinzipale im Azure-Portal eingerichtet werden. Weitere Informationen finden Sie auf der Dokumentationswebsite von Microsoft Azure. Überprüfen Sie nach dem Erstellen einer Linux-VM mit aktivierter Azure AD-Anmeldung die Anforderungen für die Anmeldung bei Azure AD mithilfe der zertifikatsbasierten OpenSSH-Authentifizierung für Linux-VMs. Konfigurieren Sie geeignete Rollenzuweisungen für das Serviceprinzip und die Ressourcengruppe.

    Vor dem Erstellen von Anmeldeinformationen ist das Plugin „Externer Anmeldeinformationsspeicher “ erforderlich, um die Azure-VM mithilfe von OpenSSH-Zertifikaten zu verbinden.

    Prozedur

    1. Navigieren Sie in der Instanz zu Discovery > Berechtigungen und wählen Sie Neu.
    2. Wählen Sie als Typ der Anmeldeinformationen Azure Service Principalaus.
    3. Füllen Sie das Formular mit den erforderlichen Informationen aus, und senden Sie es ab.
      Datensatz des Azure-Dienstprinzipals
    4. Navigieren zu Discovery > Berechtigungen und wählen Sie Neu.
    5. Wählen Sie für diese Art von Anmeldeinformationen Azure SSH-Zertifikatanmeldeinformationenaus.
    6. Füllen Sie das Formular mit den erforderlichen Informationen aus, einschließlich der Verknüpfung mit den in Schritt 3 erstellten Service-Prinzip-Anmeldeinformationen.
      Die Anmeldeinformationen für Azure-Service Provider und SSH-Zertifikat wurden erstellt und verknüpft. Fahren Sie mit dem Verfahren fort, um den Cloud Discovery-Zeitplan zu erstellen.
    7. Navigieren Sie zur Startseite des Cloud Operations-Arbeitsbereichs, und wählen Sie Cloud-Erkennungaus.
      Die Startseite des Cloud Operations-Arbeitsbereichs.
    8. Wählen Sie Neuer Discovery-Zeitplan.
    9. Geben Sie einen Namen für den Zeitplan an, und wählen Sie Azure als Cloud-Anbieter aus.
    10. Erstellen Sie ein neues Abonnement mit den in Schritt 3 erstellten Anmeldeinformationen des Azure-Dienstprinzipals.
    11. Wählen Sie Rechenzentren aus.
    12. Aktivieren Sie die Option zum Erkennen virtueller Computer.
    13. Schließen Sie die Zeitplanerstellung ab, indem Sie Beenden und ausführenwählen.

    Ergebnisse

    Der Erkennungszeitplan sollte gestartet werden, und die Homepage von Cloud Operations sollte den Ausführungsstatus für den neu erstellten Zeitplan anzeigen. Nach einiger Zeit sollte die geplante Erkennung abgeschlossen sein. Anschließend wird ein neuer Zeitplan für die VM-Erkennung erstellt und ausgeführt. Der neue VM-Erkennungszeitplan verwendet den SP, den wir für die Generierung von SSH-Zertifikaten erstellt haben, um sich bei den VMs zu authentifizieren. Sie können dies im Abschnitt „Discovery IP Affinity“ für die Anmeldeinformationen beobachten.