azure - 使用 Terraform 使用 Key Vault 维护的 RSA key 创建 AKS

Question

我正在尝试使用 Terraform 创建 AKS(Azure Kubernetes 服务)，并且想为 AKS 节点的“linux_profile”设置 ssh_key。

我发现的使用 terraform 创建 AKS 的唯一相关教程是 this它使用“~/.ssh/id_rsa.pub”中的本地文件。

resource "azurerm_kubernetes_cluster" "k8s" {
name                = var.cluster_name
location            = azurerm_resource_group.k8s.location
resource_group_name = azurerm_resource_group.k8s.name
dns_prefix          = var.dns_prefix

linux_profile {
    admin_username = "ubuntu"

    ssh_key {
        key_data = file(var.ssh_public_key)
    }
  }
# lots of other configuration
}

我想使用由 keyvault 管理的 key ，因此我不必在本地管理任何 secret 。为此，我使用此代码创建了一个 key 保管库(为了清楚起见，我删除了有关“access_policies”的部分)

resource "azurerm_key_vault" "example-keyvault" {
    name                        ="example-keyvault"
    location                    =       data.azurerm_resource_group.rg.location
    resource_group_name         = data.azurerm_resource_group.rg.name

    enabled_for_disk_encryption = true
    tenant_id                   = data.azurerm_client_config.current.tenant_id
    soft_delete_enabled         = true
    purge_protection_enabled    = false
    sku_name                    = "standard"

    tags                        = merge(var.tags, {environment = terraform.workspace})
  }

我使用以下代码在此 keystore 中创建了一个 key :

resource "azurerm_key_vault_key" "ssh_key_linux_profile" 
 {
    name         = "ssh_key_linux_profile"
    key_vault_id = azurerm_key_vault.example-keyvault.id
    key_type     = "RSA"
    key_size     = 2048

    key_opts = [
      "decrypt",
      "encrypt",
      "sign",
      "unwrapKey",
      "verify",
      "wrapKey",
    ]

  }

我正在尝试找到一种方法来告诉 terraform 使用该 key 的公共(public)组件作为“ssh_key”的“key_data”。我尝试了以下方法: 将“azurerm_key_vault_key”导入到我当前的范围中:

data "azurerm_key_vault_key" "ssh_key_linux_profile" {
  name         = "ssh_key_linux_profile"
  key_vault_id = azurerm_key_vault.example-keyvault.id
}

然后访问 key 的公共(public)部分:

...
ssh_key {
        key_data = data.azurerm_key_vault_key.ssh-key-linux-profile.e
    }
...

我现在已经弄清楚“e”只是“公共(public)指数”，因此只是公钥的一小部分。对应terraform documentation没有给我任何提示:-/

我可以使用 azure cli 实际下载该 key

az keyvault key download --vault-name "example-keyvault" -n ssh-key-linux-profile -e PEM -f mykey.pem

有什么方法可以告诉 terraform 使用这个 key 吗？

更新: 我找到了这个reddit threat遇到了同样的问题，但也无法解决。

Answer 1

也许您可以在本地创建 SSH 公钥，然后将它们存储在 Azure Key Vault key 中。然后您可以使用数据源获取 secret 值作为 ssh key :

data "azurerm_key_vault_secret" "example" {
  name         = "ssh-key-linux-profile"
  key_vault_id = data.azurerm_key_vault.existing.id
}

...
ssh_key {
        key_data = data.azurerm_key_vault_secret.example.value
    }
...

这是在 Azure Key Vault 中存储 SSH 公钥的正确且简单的方法。