เป็นไปได้ไหมที่จะใช้ Terraform และไฟร์วอลล์ Azure Key Vault โดยไม่ต้องระบุที่อยู่ IP ทุกครั้งที่ต้องการเปลี่ยนแปลง

bandarr3000

15/4/23 02:10

ฉันมี VM หลายเครื่องในสภาพแวดล้อม Azure ของฉัน และแต่ละเครื่องมีคีย์การเข้ารหัสที่เกี่ยวข้อง คีย์การเข้ารหัสถูกจัดเก็บไว้ใน Azure Key Vault ทั้งหมดนี้เป็นแหล่งข้อมูลในสคริปต์ Terraform ของฉัน ฉันเปิดไฟร์วอลล์ใน Azure Key Vault และผู้ใช้ Azure AD ของฉันอยู่ในนโยบายการเข้าถึง ฉันใช้ Vault Policy/Firewall เทียบกับ RBAC เพื่อให้ฉันสามารถเพิ่มจุดสิ้นสุดส่วนตัวไปยัง Key Vault สำหรับลิงก์ส่วนตัวไปยัง VM ที่กล่าวถึงข้างต้น
ปัญหา: เมื่อฉันเรียกใช้ "terraform apply" สำหรับการเปลี่ยนแปลงใดๆ ในสภาพแวดล้อม Azure ของฉัน (ไม่ว่าจะเป็น VM หรืออย่างอื่นทั้งหมด) ที่อยู่ IP ของฉันต้องอยู่ใน network_acl ถ้าไม่มี Terraform ก็ไม่ "เห็น" ที่เก็บกุญแจของฉันและต้องการทำลาย VM ของฉัน ฉันไม่ต้องการเพิ่มและลบที่อยู่ IP ของฉันจาก ACL ทุกครั้งที่ต้องการเปลี่ยนแปลง ฉันควรทราบว่าโครงสร้าง Terraform ของฉันค่อนข้างเรียบ/เรียบง่าย สถานะของทุกอย่างได้รับการตรวจสอบ/อัปเดตตามแผน/นำไปใช้
มีวิธีอื่นใดในการหลีกเลี่ยงข้อกำหนด IP นี้และรักษาตำแหน่งข้อมูลส่วนตัวของฉันไว้หรือไม่

249

0 + 0

ดิน

Score:1

Server

Sam Cogan

15/4/23 08:40

หากคุณเปิดใช้ไฟร์วอลล์ Key Vault ไว้ เครื่องใดๆ ที่ต้องการพูดคุยด้วยจะต้องได้รับอนุญาตในไฟร์วอลล์นั้น มันจะเป็นไฟร์วอลล์ที่ค่อนข้างแย่มากหากไม่เป็นเช่นนั้น มีสองสามวิธีที่คุณสามารถทำได้:

เพิ่ม IP ของเครื่องของคุณในไฟร์วอลล์อย่างถาวร อาจเป็นส่วนหนึ่งของการปรับใช้ Terraform ของคุณ
เรียกใช้ Terraform Pipelines ของคุณจากเครื่องอื่น เช่น build agent และอนุญาต IP นี้ การย้ายมาใช้เครื่องมือ CI/CD สำหรับ Terraform ของคุณจะมีประโยชน์ในด้านอื่นๆ ด้วย
ให้ใช้ build agent แต่แทนที่จะใช้การเพิ่ม IP ภายนอกไปยังไฟร์วอลล์ KV ให้ใช้จุดสิ้นสุดส่วนตัวเพื่ออนุญาตการเข้าถึงผ่านเครือข่ายส่วนตัว สิ่งนี้ต้องการให้เครื่องอยู่ใน Azure หรือเชื่อมต่อกับ Azure ผ่าน VPN/ExpressRoute

0 + 0

bandarr3000

15/4/23 15:17

ฉันคิดว่านี่แหละ ง่ายพอที่จะมีเครื่องสร้างใน VNET ของตัวเองที่สามารถเข้าถึงห้องเก็บคีย์และบัญชีที่เก็บข้อมูลผ่านจุดสิ้นสุดส่วนตัว ขอบคุณ!

ตอบกลับ

Kulap

คำถามนี้เป็นภาษาอื่นๆ:

EN: Is it possible to use Terraform and an Azure Key Vault Firewall without having to specify my IP address every time I want to make a change?

TH: เป็นไปได้ไหมที่จะใช้ Terraform และไฟร์วอลล์ Azure Key Vault โดยไม่ต้องระบุที่อยู่ IP ทุกครั้งที่ต้องการเปลี่ยนแปลง

RO: Este posibil să utilizez Terraform și un paravan de protecție Azure Key Vault fără a fi necesar să îmi specific adresa IP de fiecare dată când vreau să fac o modificare?

RU: Можно ли использовать Terraform и брандмауэр Azure Key Vault без необходимости указывать свой IP-адрес каждый раз, когда я хочу внести изменения?

VI: Có thể sử dụng Terraform và Tường lửa Azure Key Vault mà không phải chỉ định địa chỉ IP của tôi mỗi khi tôi muốn thực hiện thay đổi không?

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา