Azure 中如何安全上传和管理 Linux 虚拟机 PEM 文件？

在 Azure 中安全地上传和管理 Linux 虚拟机 PEM 文件

引言

在 Azure 中创建 Linux 虚拟机时，上传 PEM 格式的 SSH 密钥至关重要，以便通过 SSH 连接到虚拟机。本文将深入探讨 PEM 文件在 Azure 中的安全上传路径，并介绍使用资源管理器部署模型将 PEM 文件上传到密钥保管库的最佳做法。

PEM 文件上传路径

经典部署模型：

• 上传 PEM 文件到存储帐户
• 创建虚拟机时，提供存储帐户和密钥文件的名称

资源管理器部署模型：

• 上传 PEM 文件到密钥保管库
• 创建虚拟机时，提供密钥保管库和密钥的名称

推荐的方法：资源管理器部署模型 + 密钥保管库

强烈推荐使用资源管理器部署模型并将其上传到密钥保管库。与经典部署模型相比，这种方法更加安全、方便，并且不会产生额外的存储成本。

上传 PEM 文件到密钥保管库的步骤

1. 创建一个密钥保管库
2. 创建一个 RSA 密钥
3. 导入 PEM 文件的内容到密钥中
4. 在创建虚拟机时，提供密钥保管库和密钥的名称

示例：使用 PowerShell 导入 PEM 文件

$pemFilePath = "path/to/pem/file.pem"
$keyVaultName = "myKeyVault"
$keyName = "myKey"

New-AzureKeyVault -Name $keyVaultName -ResourceGroupName "myResourceGroup" -Location "East US"
New-AzureKey -VaultName $keyVaultName -KeyName $keyName -KeyType "RSA"
Import-AzureKey -VaultName $keyVaultName -KeyName $keyName -FilePath $pemFilePath

好处

使用密钥保管库上传 PEM 文件的好处包括：

• 安全性增强： 密钥保管库提供强大的加密和访问控制机制，确保密钥安全。
• 便利性： 可以轻松地管理和轮换密钥，而无需重新上传 PEM 文件。
• 成本效益： 与经典部署模型中使用的存储帐户相比，密钥保管库不会产生额外的存储成本。

常见问题解答

1. 为什么需要上传 PEM 文件？
PEM 文件包含用于通过 SSH 连接到 Linux 虚拟机的 SSH 密钥。

2. 我可以使用相同的密钥文件为多个虚拟机配置 SSH 访问吗？
可以，可以在多个虚拟机上使用相同的 PEM 文件。

3. 如何查看密钥保管库中的 PEM 文件？
PEM 文件的内容被加密并存储在密钥保管库中，因此无法直接查看。

4. 如何撤销对 SSH 密钥的访问权限？
可以通过禁用或删除密钥来撤销对 SSH 密钥的访问权限。

5. 如何从密钥保管库中删除 PEM 文件？
删除密钥将永久删除 PEM 文件。建议在删除密钥之前创建密钥的备份。

结论

将 PEM 文件上传到密钥保管库是管理 Linux 虚拟机 SSH 密钥的最佳实践，它提供了更高的安全性、便利性和成本效益。通过遵循本文概述的步骤，你可以确保安全地连接到你的 Azure 虚拟机。