可以为 Azure Stack Hub 的用户提供 CA 根证书,以便他们可以在其开发计算机上启用 Azure CLI。 用户需要证书才能通过 CLI 管理资源。
如果用户从 Azure Stack 开发工具包(ASDK)外部的工作站使用 CLI,则需要 Azure Stack Hub CA 根证书。
虚拟机(VM)别名终结点 提供别名,例如“UbuntuLTS”或“Win2012Datacenter”,该别名在部署 VM 时将映像发布者、产品/服务、SKU 和版本引用为单个参数。
以下部分介绍如何获取这些值。
导出 Azure Stack Hub CA 根证书
如果使用集成系统,则无需导出 CA 根证书。 需要在 ASDK 上导出 CA 根证书。
若要以 PEM 格式导出 ASDK 根证书,请登录并运行以下脚本:
$label = "AzureStackSelfSignedRootCert"
Write-Host "Getting certificate from the current user trusted store with subject CN=$label"
$root = Get-ChildItem Cert:\CurrentUser\Root | Where-Object Subject -eq "CN=$label" | select -First 1
if (-not $root)
{
Write-Error "Certificate with subject CN=$label not found"
return
}
Write-Host "Exporting certificate"
Export-Certificate -Type CERT -FilePath root.cer -Cert $root
Write-Host "Converting certificate to PEM format"
certutil -encode root.cer root.pem
设置 VM 别名终结点
Azure Stack Hub 操作员应设置可公开访问的终结点来托管 VM 别名文件。 VM 别名文件是一个 JSON 文件,它为映像提供公用名。 在使用 Azure CLI 部署虚拟机时,请使用该名称作为参数。
在将条目添加到别名文件之前,请确保 从 Azure 市场下载映像 或 已发布自己的自定义映像。 如果发布自定义映像,请记下发布期间指定的发布者、产品/服务、SKU 和版本信息。 如果映像来自市场,可以使用 Get-AzureVMImage cmdlet 查看信息。
提供了具有许多常见映像别名 的示例别名文件 。 你可以将其用作起点。 将此文件托管在 CLI 客户端可以访问的空间中。 一种方法是将文件托管在 Blob 存储帐户中,并与用户共享 URL:
- 从 GitHub 下载 示例文件。
- 在 Azure Stack Hub 中创建存储帐户。 完成后,创建 Blob 容器。 将访问策略设置为“public”。
- 将 JSON 文件上传到新容器。 完成后,可以查看 Blob 的 URL。 选择 Blob 名称,然后从 Blob 属性中选择 URL。