Este posibil să utilizez Terraform și un paravan de protecție Azure Key Vault fără a fi necesar să îmi specific adresa IP de fiecare dată când vreau să fac o modificare?

bandarr3000

15.04.2023, 02:10

Am mai multe VM în mediul meu Azure și fiecare are o cheie de criptare asociată. Cheia de criptare este stocată într-un seif Azure Key Vault. Toate aceste lucruri sunt resurse în scripturile mele Terraform. În Azure Key Vault am paravanul de protecție activat, iar utilizatorul meu Azure AD se află în Politica de acces. Folosesc Vault Policy/Firewall vs. RBAC, astfel încât să pot adăuga puncte finale private în seiful de chei pentru legături private către VM-urile menționate mai sus.
Problema: când rulez „terraform apply” pentru orice modificare în mediul meu Azure (fie că este pentru o VM sau cu totul altceva), adresa mea IP trebuie să fie în network_acl. Fără el, Terraform nu „vede” seiful meu de chei și vrea să-mi distrugă mașinile virtuale. Prefer să nu adaug, apoi să elimin adresa mea IP din ACL de fiecare dată când vreau să fac o modificare. Ar trebui să rețin că structura mea Terraform este destul de plată/simplu. Starea TOTUL este verificată/actualizată la planificare/aplicare.
Există vreo altă modalitate de a ocoli această cerință IP și de a-mi păstra punctele finale private?

249

0 + 0

terraforma

Puncte:1

Server

Sam Cogan

15.04.2023, 08:40

Dacă aveți firewall-ul Key Vault activat, atunci orice mașină care trebuie să vorbească cu el va trebui să fie permisă în acel firewall, ar fi un firewall destul de groaznic dacă nu ar fi cazul. Există câteva moduri în care puteți lucra cu asta:

Adăugați IP-ul mașinilor dvs. în firewall permanent, poate ca parte a implementării Terraform
Rulați conductele Terraform de pe o altă mașină, cum ar fi un agent de construcție, și permiteți acest IP. Trecerea la utilizarea instrumentelor CI/CD pentru Terraform va fi benefică și în alte moduri
Ca mai sus, utilizați un agent de compilare, dar în loc să adăugați IP-ul extern la paravanul de protecție KV, utilizați puncte finale private pentru a permite accesul prin rețeaua privată. Acest lucru necesită ca mașina să fie în Azure sau conectată la Azure prin VPN/ExpressRoute

0 + 0

bandarr3000

15.04.2023, 15:17

Cred că asta este. Este suficient de simplu să aveți o mașină de construcție în propriul său VNET care poate ajunge în seifurile de chei și conturile de stocare printr-un punct final privat. Mulțumiri!

Răspunde

SEF 777

întrebarea această in alte limbi:

EN: Is it possible to use Terraform and an Azure Key Vault Firewall without having to specify my IP address every time I want to make a change?

TH: เป็นไปได้ไหมที่จะใช้ Terraform และไฟร์วอลล์ Azure Key Vault โดยไม่ต้องระบุที่อยู่ IP ทุกครั้งที่ต้องการเปลี่ยนแปลง

RO: Este posibil să utilizez Terraform și un paravan de protecție Azure Key Vault fără a fi necesar să îmi specific adresa IP de fiecare dată când vreau să fac o modificare?

RU: Можно ли использовать Terraform и брандмауэр Azure Key Vault без необходимости указывать свой IP-адрес каждый раз, когда я хочу внести изменения?

VI: Có thể sử dụng Terraform và Tường lửa Azure Key Vault mà không phải chỉ định địa chỉ IP của tôi mỗi khi tôi muốn thực hiện thay đổi không?

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.