【问题标题】:Deploy a cert to service fabric cluster without using ARM template在不使用 ARM 模板的情况下将证书部署到服务结构集群
【发布时间】:2018-12-21 04:47:14
【问题描述】:

我想将客户端证书部署到我已经创建的集群中,我的服务将使用该证书向依赖服务发出请求,并且已经将该证书添加到我预配的 KeyVault 资源中。如何将该证书部署到我的 VM 规模集 - 是否可以通过某种方式授权我的服务访问该 Keyvault 实例,之后它将自动部署到我的 VM,或者是否有其他过程?

【问题讨论】:

    标签: azure azure-service-fabric azure-keyvault


    【解决方案1】:

    如果您需要证书存储在证书存储中,您可以(重新)将带有 certificate references 的 VM 规模集部署到 Key Vault。

    "secrets": [
        {
            "sourceVault": {
                "id": "/subscriptions/{subscriptionid}/resourceGroups/myrg1/providers/Microsoft.KeyVault/vaults/mykeyvault1"
            },
            "vaultCertificates": [
                {
                    "certificateUrl": "https://mykeyvault1.vault.azure.net/secrets/{secretname}/{secret-version}",
                    "certificateStore": "certificateStoreName"
                }
            ]
        }
    ]
    

    确保将密钥保管库配置为allow deployments to access secrets

    您还可以使用 MSI 或您自己的 Service Principal 从代码访问 Key Vault。我更喜欢使用客户端证书(部署到 VM)来进行身份验证。

    • 如果您选择 MSI,每个 VM 都有自己的(托管)服务主体,所有这些都需要配置为允许 access to Key Vault data。你需要自己做。

    • 如果您选择将服务主体与 ClientId 和 ClientSecret 一起使用,请确保将服务主体客户端机密保存在 protected configuration 中。 (这也需要证书)确保也为此 SPN 配置访问策略。

    【讨论】:

      猜你喜欢
      • 2019-03-11
      • 2017-03-29
      • 2017-01-14
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2019-11-11
      • 2020-11-11
      相关资源
      最近更新 更多