部署VMSS并注入机密

时间:2019-01-28 08:31:40

标签: azure azure-devops

我想知道是否有任何简单的方法可以在执行(ARM)部署或更改映像时将文件/秘密注入到规模集的vm中。

这是应用程序级密码,证书等,我们不想将其存储在图像上。

我在入口点脚本中使用了linux custum脚本扩展,并且意识到可以将一些秘密作为该脚本的参数注入。我认为这对证书不起作用(太大/太长),并且也不是很适合将来,因为每当我们要添加或删除机密时,我们都需要重新部署模板(并重写入口点脚本)。

1 个答案:

答案 0 :(得分:0)

基于Windows的VMSS可以在部署期间直接从KV获得证书,但是Linux的不能这样做。另外,还有一个customData属性,该属性允许您传递任何内容(我认为它仅限于64kb base64编码的数据),但这也不是很灵活。

解决此问题的一种方法-编写一个初始化脚本,该脚本将使用托管服务身份从Key Vault中获取机密,这样您将获得以下优势:

  1. 您不要在模板\ vm配置中存储机密
  2. 您可以更新密码,所有VMSS都会在下一次部署时获得新版本
  3. 除非更改了秘密名称或引入了新的秘密,否则您不必编辑初始化脚本。