Развертывание VMSS и внедрение секретов

Question

Мне интересно, есть ли какой-нибудь простой способ внедрения файлов / секретов в виртуальную среднюю шкалу, когда вы выполняете развертывание (ARM) или изменяете образ.

Это будет уровень приложенияпароли, сертификаты и т. д., которые мы не хотели бы хранить на изображениях.

Я использую расширение сценария linux custum для сценария точки входа и понимаю, что некоторые параметры можно ввести в виде параметровк этому сценарию.Я предполагаю, что это не будет работать с сертификатами (слишком большой / длинный), и это не будет очень перспективным, поскольку нам нужно будет повторно развернуть шаблон (и переписать скрипт точки входа) всякий раз, когда мы хотим добавить или удалить секрет.

Answer 1

Windows-система VMSS может получать сертификаты от KV непосредственно во время развертывания, но Linux не может этого сделать.Кроме того, есть свойство customData, которое позволяет вам передавать все, что вы хотите (я думаю, что оно ограничено данными, закодированными в 64 КБ base64), но это не очень гибко.

Один из способов решения этой проблемы - написатьсценарий инициализации, в котором для получения секретов из хранилища ключей используется идентификатор управляемой службы. Таким образом, вы получаете несколько преимуществ:

1. Вы не храните секреты в шаблонах \ vm configuration
2. Youможет обновить секрет, и все VMSS получат новую версию при следующем развертывании
3. Вам не нужно редактировать сценарий инициализации, если секретные имена не изменены или не введены новые секреты.