使用 Terraform 创建具有由 Key Vault 维护的 RSA 密钥的 AKS
Use Terraform to create an AKS with an RSA key maintained by Key Vault
我正在尝试使用 Terraform 创建一个 AKS(Azure Kubernetes 服务),我想为 AKS 节点的“linux_profile”设置一个 ssh_key。
我发现使用 terraform 创建 AKS 的唯一相关教程是 this,它使用“~/.ssh/id_rsa.pub”中的本地文件。
resource "azurerm_kubernetes_cluster" "k8s" {
name = var.cluster_name
location = azurerm_resource_group.k8s.location
resource_group_name = azurerm_resource_group.k8s.name
dns_prefix = var.dns_prefix
linux_profile {
admin_username = "ubuntu"
ssh_key {
key_data = file(var.ssh_public_key)
}
}
# lots of other configuration
}
我想使用由 keyvault 管理的密钥,这样我就不必在本地管理任何机密。为此,我用这段代码创建了一个密钥库(为了清楚起见,我删除了关于“access_policies”的部分)
resource "azurerm_key_vault" "example-keyvault" {
name ="example-keyvault"
location = data.azurerm_resource_group.rg.location
resource_group_name = data.azurerm_resource_group.rg.name
enabled_for_disk_encryption = true
tenant_id = data.azurerm_client_config.current.tenant_id
soft_delete_enabled = true
purge_protection_enabled = false
sku_name = "standard"
tags = merge(var.tags, {environment = terraform.workspace})
}
我使用以下代码在此密钥库中创建了一个密钥:
resource "azurerm_key_vault_key" "ssh_key_linux_profile"
{
name = "ssh_key_linux_profile"
key_vault_id = azurerm_key_vault.example-keyvault.id
key_type = "RSA"
key_size = 2048
key_opts = [
"decrypt",
"encrypt",
"sign",
"unwrapKey",
"verify",
"wrapKey",
]
}
我正在尝试找到一种方法来告诉 terraform 使用该键的 public 组件作为“ssh_key”的“key_data”。我尝试了以下内容:
将“azurerm_key_vault_key”导入我当前的范围:
data "azurerm_key_vault_key" "ssh_key_linux_profile" {
name = "ssh_key_linux_profile"
key_vault_id = azurerm_key_vault.example-keyvault.id
}
然后访问密钥的public部分:
...
ssh_key {
key_data = data.azurerm_key_vault_key.ssh-key-linux-profile.e
}
...
我现在已经知道“e”只是“public 指数”,因此只是 public 键的一小部分。相应的 terraform documentation 没有给我任何提示:-/
我可以使用 azure cli 下载该密钥
az keyvault key download --vault-name "example-keyvault" -n ssh-key-linux-profile -e PEM -f mykey.pem
有什么方法可以告诉 terraform 使用这个密钥吗?
更新:
我发现这个 reddit threat 有同样的问题,但也无法解决。
也许您可以在本地创建 SSH public 密钥,然后将它们存储在 Azure Key Vault 机密中。然后您可以使用数据源获取秘密值作为 ssh 密钥:
data "azurerm_key_vault_secret" "example" {
name = "ssh-key-linux-profile"
key_vault_id = data.azurerm_key_vault.existing.id
}
...
ssh_key {
key_data = data.azurerm_key_vault_secret.example.value
}
...
这是将 SSH Public 密钥存储在 Azure Key Vault 中的正确且简单的方法。
我正在尝试使用 Terraform 创建一个 AKS(Azure Kubernetes 服务),我想为 AKS 节点的“linux_profile”设置一个 ssh_key。
我发现使用 terraform 创建 AKS 的唯一相关教程是 this,它使用“~/.ssh/id_rsa.pub”中的本地文件。
resource "azurerm_kubernetes_cluster" "k8s" {
name = var.cluster_name
location = azurerm_resource_group.k8s.location
resource_group_name = azurerm_resource_group.k8s.name
dns_prefix = var.dns_prefix
linux_profile {
admin_username = "ubuntu"
ssh_key {
key_data = file(var.ssh_public_key)
}
}
# lots of other configuration
}
我想使用由 keyvault 管理的密钥,这样我就不必在本地管理任何机密。为此,我用这段代码创建了一个密钥库(为了清楚起见,我删除了关于“access_policies”的部分)
resource "azurerm_key_vault" "example-keyvault" {
name ="example-keyvault"
location = data.azurerm_resource_group.rg.location
resource_group_name = data.azurerm_resource_group.rg.name
enabled_for_disk_encryption = true
tenant_id = data.azurerm_client_config.current.tenant_id
soft_delete_enabled = true
purge_protection_enabled = false
sku_name = "standard"
tags = merge(var.tags, {environment = terraform.workspace})
}
我使用以下代码在此密钥库中创建了一个密钥:
resource "azurerm_key_vault_key" "ssh_key_linux_profile"
{
name = "ssh_key_linux_profile"
key_vault_id = azurerm_key_vault.example-keyvault.id
key_type = "RSA"
key_size = 2048
key_opts = [
"decrypt",
"encrypt",
"sign",
"unwrapKey",
"verify",
"wrapKey",
]
}
我正在尝试找到一种方法来告诉 terraform 使用该键的 public 组件作为“ssh_key”的“key_data”。我尝试了以下内容: 将“azurerm_key_vault_key”导入我当前的范围:
data "azurerm_key_vault_key" "ssh_key_linux_profile" {
name = "ssh_key_linux_profile"
key_vault_id = azurerm_key_vault.example-keyvault.id
}
然后访问密钥的public部分:
...
ssh_key {
key_data = data.azurerm_key_vault_key.ssh-key-linux-profile.e
}
...
我现在已经知道“e”只是“public 指数”,因此只是 public 键的一小部分。相应的 terraform documentation 没有给我任何提示:-/
我可以使用 azure cli 下载该密钥
az keyvault key download --vault-name "example-keyvault" -n ssh-key-linux-profile -e PEM -f mykey.pem
有什么方法可以告诉 terraform 使用这个密钥吗?
更新: 我发现这个 reddit threat 有同样的问题,但也无法解决。
也许您可以在本地创建 SSH public 密钥,然后将它们存储在 Azure Key Vault 机密中。然后您可以使用数据源获取秘密值作为 ssh 密钥:
data "azurerm_key_vault_secret" "example" {
name = "ssh-key-linux-profile"
key_vault_id = data.azurerm_key_vault.existing.id
}
...
ssh_key {
key_data = data.azurerm_key_vault_secret.example.value
}
...
这是将 SSH Public 密钥存储在 Azure Key Vault 中的正确且简单的方法。