Можно ли использовать Terraform и брандмауэр Azure Key Vault без необходимости указывать свой IP-адрес каждый раз, когда я хочу внести изменения?

bandarr3000

15.04.2023, 02:10

У меня есть несколько виртуальных машин в среде Azure, и у каждой есть связанный ключ шифрования. Ключ шифрования хранится в Azure Key Vault. Все это ресурсы в моих сценариях Terraform. В Azure Key Vault у меня включен брандмауэр, и мой пользователь Azure AD находится в политике доступа. Я использую Vault Policy/Firewall вместо RBAC, чтобы добавить частные конечные точки в хранилище ключей для частных ссылок на вышеупомянутые виртуальные машины.
Проблема: когда я запускаю «terraform apply» для любых изменений в моей среде Azure (будь то для виртуальной машины или чего-то другого), мой IP-адрес должен быть в network_acl. Без него Terraform не «видит» мое хранилище ключей и хочет уничтожить мои виртуальные машины. Я бы предпочел не добавлять, а затем удалять свой IP-адрес из ACL каждый раз, когда я хочу внести изменения. Я должен отметить, что моя структура Terraform довольно плоская/простая. Состояние ВСЕГО проверяется/обновляется при планировании/применении.
Есть ли другой способ обойти это требование IP и сохранить мои частные конечные точки?

249

0 + 0

терраформировать

Рейтинг:1

Server

Sam Cogan

15.04.2023, 08:40

Если у вас включен брандмауэр Key Vault, то любая машина, которая должна общаться с ним, должна быть разрешена в этом брандмауэре, это был бы довольно ужасный брандмауэр, если бы это было не так. Есть несколько способов работы с этим:

Добавьте IP-адрес ваших машин в брандмауэр на постоянной основе, возможно, как часть вашего развертывания Terraform.
Запустите свои конвейеры Terraform с другого компьютера, например агента сборки, и разрешите этот IP-адрес. Переход к использованию инструментов CI/CD для вашего Terraform будет полезен и в других отношениях.
Как и выше, используйте агент сборки, но вместо добавления его внешнего IP-адреса в брандмауэр KV используйте частные конечные точки, чтобы разрешить доступ через частную сеть. Для этого требуется, чтобы компьютер находился в Azure или был подключен к Azure через VPN/ExpressRoute.

0 + 0

bandarr3000

15.04.2023, 15:17

Я думаю, что это все. Достаточно просто иметь машину сборки в собственной виртуальной сети, которая может получать доступ к хранилищам ключей и учетным записям хранения через частную конечную точку. Спасибо!

Ответить

Admin

Этот вопрос на других языках:

EN: Is it possible to use Terraform and an Azure Key Vault Firewall without having to specify my IP address every time I want to make a change?

TH: เป็นไปได้ไหมที่จะใช้ Terraform และไฟร์วอลล์ Azure Key Vault โดยไม่ต้องระบุที่อยู่ IP ทุกครั้งที่ต้องการเปลี่ยนแปลง

RO: Este posibil să utilizez Terraform și un paravan de protecție Azure Key Vault fără a fi necesar să îmi specific adresa IP de fiecare dată când vreau să fac o modificare?

RU: Можно ли использовать Terraform и брандмауэр Azure Key Vault без необходимости указывать свой IP-адрес каждый раз, когда я хочу внести изменения?

VI: Có thể sử dụng Terraform và Tường lửa Azure Key Vault mà không phải chỉ định địa chỉ IP của tôi mỗi khi tôi muốn thực hiện thay đổi không?

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.