Rychlý start: Načtení tajných kódů aplikací pomocí služby Key Vault

Poznámka:

Azure Spring Apps je nový název služby Azure Spring Cloud. Přestože má služba nový název, na některých místech uvidíte starý název, protože pracujeme na aktualizaci prostředků, jako jsou snímky obrazovky, videa a diagramy.

Tento článek se vztahuje na:❌ Basic/Standard ✔️ Enterprise

V tomto rychlém startu se dozvíte, jak bezpečně načíst tajné kódy pomocí služby Azure Key Vault pro aplikace s plánem Azure Spring Apps Enterprise.

Každá aplikace má vlastnosti, které ji propojují s jeho prostředím a podpůrnými službami. Mezi tyto služby patří prostředky, jako jsou databáze, nástroje pro protokolování a monitorování, platformy zasílání zpráv atd. Každý prostředek vyžaduje způsob, jak ho vyhledat a získat k němu přístup, často ve formě adres URL a přihlašovacích údajů. Tyto informace jsou často chráněny zákonem a musí být tajné, aby bylo možné chránit zákaznická data. V Azure Spring Apps můžete nakonfigurovat aplikace tak, aby tyto tajné kódy přímo načítá do paměti ze služby Key Vault pomocí spravovaných identit a řízení přístupu na základě role v Azure.

Požadavky

• Účet Azure s aktivním předplatným. Vytvoření účtu zdarma
• Vysvětlení a splnění části Požadavky plánu Enterprise na Azure Marketplace
• Azure CLI verze 2.45.0 nebo vyšší.
• Git
• jq
• Rozšíření plánu Azure Spring Apps Enterprise Pomocí následujícího příkazu odeberte předchozí verze a nainstalujte nejnovější rozšíření plánu Enterprise. Pokud jste rozšíření nainstalovali dříve spring-cloud , odinstalujte ho, abyste se vyhnuli neshodám konfigurace a verzí.

  az extension add --upgrade --name spring
  az extension remove --name spring-cloud
  

• Proveďte kroky v následujících rychlých startech:
  • Vytvářejte a nasazujte aplikace do Azure Spring Apps pomocí plánu Enterprise.
  • Integrace se službou Azure Database for PostgreSQL a Azure Cache for Redis

Zřízení služby Key Vault a ukládání tajných kódů

Následující pokyny popisují, jak vytvořit službu Key Vault a bezpečně uložit tajné kódy aplikací.

1. Pomocí následujících příkazů vytvořte proměnné, které budou obsahovat názvy prostředků. Zástupné symboly nezapomeňte nahradit vlastními hodnotami.

   export RESOURCE_GROUP=<resource-group-name>
   export KEY_VAULT_NAME=<key-vault-name>
   export POSTGRES_SERVER_NAME=<postgres-server-name>
   export POSTGRES_USERNAME=<postgres-username>
   export POSTGRES_PASSWORD=<postgres-password>
   export REDIS_CACHE_NAME=<redis-cache-name>
   export AZURE_SPRING_APPS_SERVICE_INSTANCE_NAME=<Azure-Spring-Apps-service-instance-name>
   

2. Pomocí následujícího příkazu vytvořte službu Key Vault pro ukládání tajných kódů aplikací:

   az keyvault create \
       --resource-group ${RESOURCE_GROUP} \
       --name ${KEY_VAULT_NAME}
   

3. Pomocí následujícího příkazu uložte úplný název databázového serveru do služby Key Vault:

   az keyvault secret set \
       --vault-name ${KEY_VAULT_NAME} \
       --name "POSTGRES-SERVER-NAME" \
       --value "${POSTGRES_SERVER_NAME}.postgres.database.azure.com"
   

4. Pomocí následujícího příkazu uložte název databáze ve službě Key Vault pro aplikaci Katalogová služba:

   az keyvault secret set \
       --vault-name ${KEY_VAULT_NAME} \
       --name "CATALOG-DATABASE-NAME" \
       --value "acmefit_catalog"
   

5. K uložení přihlašovacích údajů k databázi ve službě Key Vault použijte následující příkazy:

   az keyvault secret set \
       --vault-name ${KEY_VAULT_NAME} \
       --name "POSTGRES-LOGIN-NAME" \
       --value "${POSTGRES_USERNAME}"
   
   az keyvault secret set \
       --vault-name ${KEY_VAULT_NAME} \
       --name "POSTGRES-LOGIN-PASSWORD" \
       --value "${POSTGRES_PASSWORD}"
   

6. Pomocí následujícího příkazu uložte databázi připojovací řetězec ve službě Key Vault pro aplikaci Order Service:

   az keyvault secret set \
       --vault-name ${KEY_VAULT_NAME} \
       --name "ConnectionStrings--OrderContext" \
       --value "Server=${POSTGRES_SERVER_NAME};Database=acmefit_order;Port=5432;Ssl Mode=Require;User Id=${POSTGRES_USERNAME};Password=${POSTGRES_PASSWORD};"
   

7. Pomocí následujících příkazů načtěte vlastnosti připojení Redis a uložte je ve službě Key Vault:

   export REDIS_HOST=$(az redis show \
       --resource-group ${RESOURCE_GROUP} \
       --name ${REDIS_CACHE_NAME} | jq -r '.hostName')
   
   export REDIS_PORT=$(az redis show \
       --resource-group ${RESOURCE_GROUP} \
       --name ${REDIS_CACHE_NAME} | jq -r '.sslPort')
   
   export REDIS_PRIMARY_KEY=$(az redis list-keys \
       --resource-group ${RESOURCE_GROUP} \
       --name ${REDIS_CACHE_NAME} | jq -r '.primaryKey')
   
   az keyvault secret set \
       --vault-name ${KEY_VAULT_NAME} \
       --name "CART-REDIS-CONNECTION-STRING" \
       --value "rediss://:${REDIS_PRIMARY_KEY}@${REDIS_HOST}:${REDIS_PORT}/0"
   

8. Pokud jste nakonfigurovali jednotné přihlašování, pomocí následujícího příkazu uložte identifikátor URI webového klíče JSON (JWK) ve službě Key Vault:

   az keyvault secret set \
       --vault-name ${KEY_VAULT_NAME} \
       --name "SSO-PROVIDER-JWK-URI" \
       --value <jwk-uri>
   

Udělení přístupu aplikacím k tajným kódům ve službě Key Vault

Následující pokyny popisují, jak udělit přístup k tajným kódům služby Key Vault aplikacím nasazených v plánu Azure Spring Apps Enterprise.

1. Pomocí následujícího příkazu povolte identitu přiřazenou systémem pro aplikaci Služby košíku:

   az spring app identity assign \
       --resource-group ${RESOURCE_GROUP} \
       --name cart-service \
       --service ${AZURE_SPRING_APPS_SERVICE_INSTANCE_NAME}
   

2. Pomocí následujících příkazů nastavte zásady přístupu ve službě get list Key Vault pro aplikaci Služby košíku:

   export CART_SERVICE_APP_IDENTITY=$(az spring app show \
       --resource-group ${RESOURCE_GROUP} \
       --name cart-service \
       --service ${AZURE_SPRING_APPS_SERVICE_INSTANCE_NAME} | jq -r '.identity.principalId')
   
   az keyvault set-policy \
       --name ${KEY_VAULT_NAME} \
       --object-id ${CART_SERVICE_APP_IDENTITY} \
       --resource-group ${RESOURCE_GROUP} \
       --secret-permissions get list
   

3. Pomocí následujícího příkazu povolte identitu přiřazenou systémem pro aplikaci Služby objednávek:

   az spring app identity assign \
       --resource-group ${RESOURCE_GROUP} \
       --name order-service \
       --service ${AZURE_SPRING_APPS_SERVICE_INSTANCE_NAME}
   

4. Pomocí následujících příkazů nastavte zásady přístupu ve get list službě Key Vault pro aplikaci Order Service:

   export ORDER_SERVICE_APP_IDENTITY=$(az spring app show \
       --resource-group ${RESOURCE_GROUP} \
       --name order-service \
       --service ${AZURE_SPRING_APPS_SERVICE_INSTANCE_NAME} | jq -r '.identity.principalId')
   
   az keyvault set-policy \
       --name ${KEY_VAULT_NAME} \
       --object-id ${ORDER_SERVICE_APP_IDENTITY} \
       --resource-group ${RESOURCE_GROUP} \
       --secret-permissions get list
   

5. Pomocí následujícího příkazu povolte identitu přiřazenou systémem pro aplikaci Služby katalogu:

   az spring app identity assign \
       --resource-group ${RESOURCE_GROUP} \
       --name catalog-service \
       --service ${AZURE_SPRING_APPS_SERVICE_INSTANCE_NAME}
   

6. Pomocí následujících příkazů nastavte zásady přístupu ve službě get list Key Vault pro aplikaci Služby katalogu:

   export CATALOG_SERVICE_APP_IDENTITY=$(az spring app show \
       --resource-group ${RESOURCE_GROUP} \
       --name catalog-service \
       --service ${AZURE_SPRING_APPS_SERVICE_INSTANCE_NAME} | jq -r '.identity.principalId')
   
   az keyvault set-policy \
       --name ${KEY_VAULT_NAME} \
       --object-id ${CATALOG_SERVICE_APP_IDENTITY} \
       --resource-group ${RESOURCE_GROUP} \
       --secret-permissions get list
   

7. Pokud jste nakonfigurovali jednotné přihlašování, pomocí následujícího příkazu povolte identitu přiřazenou systémem pro aplikaci Služby identit:

   az spring app identity assign \
       --resource-group ${RESOURCE_GROUP} \
       --name identity-service \
       --service ${AZURE_SPRING_APPS_SERVICE_INSTANCE_NAME}
   

8. Pokud jste nakonfigurovali jednotné přihlašování, pomocí následujících příkazů nastavte zásady get list přístupu ve službě Key Vault pro aplikaci Služby identit:

   export IDENTITY_SERVICE_APP_IDENTITY=$(az spring app show \
       --resource-group ${RESOURCE_GROUP} \
       --name identity-service \
       --service ${AZURE_SPRING_APPS_SERVICE_INSTANCE_NAME} | jq -r '.identity.principalId')
   
   az keyvault set-policy \
       --name ${KEY_VAULT_NAME} \
       --object-id ${IDENTITY_SERVICE_APP_IDENTITY} \
       --resource-group ${RESOURCE_GROUP} \
       --secret-permissions get list
   

Aktualizace aplikací pro načtení tajných kódů služby Key Vault

Po udělení přístupu ke čtení tajných kódů ze služby Key Vault pomocí následujícího postupu aktualizujte aplikace tak, aby používaly nové hodnoty tajných kódů v jejich konfiguracích.

1. Pomocí následujícího příkazu načtěte identifikátor URI pro službu Key Vault, který se má použít při aktualizaci aplikací:

   export KEYVAULT_URI=$(az keyvault show --name ${KEY_VAULT_NAME} --resource-group ${RESOURCE_GROUP} | jq -r '.properties.vaultUri')
   

2. Pomocí následujícího příkazu načtěte adresu URL brány Spring Cloud, která se má použít při aktualizaci aplikací:

   export GATEWAY_URL=$(az spring gateway show \
       --resource-group ${RESOURCE_GROUP} \
       --service ${AZURE_SPRING_APPS_SERVICE_INSTANCE_NAME} | jq -r '.properties.url')
   

3. Pomocí následujícího příkazu odeberte service Připojení or vazby aplikace Order Service a flexibilního serveru Azure Database for PostgreSQL:

   az spring connection delete \
       --resource-group ${RESOURCE_GROUP} \
       --app order-service \
       --connection order_service_db \
       --service ${AZURE_SPRING_APPS_SERVICE_INSTANCE_NAME} \
       --deployment default \
       --yes
   

4. Pomocí následujícího příkazu aktualizujte prostředí služby Order Service pomocí identifikátoru URI pro přístup ke službě Key Vault:

   az spring app update \
       --resource-group ${RESOURCE_GROUP} \
       --name order-service \
       --service ${AZURE_SPRING_APPS_SERVICE_INSTANCE_NAME} \
       --env "ConnectionStrings__KeyVaultUri=${KEYVAULT_URI}" "AcmeServiceSettings__AuthUrl=https://${GATEWAY_URL}" "DatabaseProvider=Postgres"
   

5. Pomocí následujícího příkazu odeberte službu Připojení or vazby aplikace Služby katalogu a flexibilního serveru Azure Database for PostgreSQL:

   az spring connection delete \
       --resource-group ${RESOURCE_GROUP} \
       --app catalog-service \
       --connection catalog_service_db \
       --service ${AZURE_SPRING_APPS_SERVICE_INSTANCE_NAME} \
       --deployment default \
       --yes
   

6. Pomocí následujícího příkazu aktualizujte prostředí služby Katalogu a vzor konfigurace pro přístup ke službě Key Vault:

   az spring app update \
       --resource-group ${RESOURCE_GROUP} \
       --name catalog-service \
       --service ${AZURE_SPRING_APPS_SERVICE_INSTANCE_NAME} \
       --config-file-pattern catalog/default,catalog/key-vault \
       --env "SPRING_CLOUD_AZURE_KEYVAULT_SECRET_PROPERTY_SOURCES_0_ENDPOINT=${KEYVAULT_URI}" "SPRING_CLOUD_AZURE_KEYVAULT_SECRET_PROPERTY_SOURCES_0_NAME='acme-fitness-store-vault'" "SPRING_PROFILES_ACTIVE=default,key-vault"
   

7. Pomocí následujícího příkazu odeberte service Připojení or vazby aplikace Cart Service a Azure Cache for Redis:

   az spring connection delete \
       --resource-group ${RESOURCE_GROUP} \
       --app cart-service \
       --connection cart_service_cache \
       --service ${AZURE_SPRING_APPS_SERVICE_INSTANCE_NAME} \
       --deployment default \
       --yes
   

8. Pomocí následujícího příkazu aktualizujte prostředí služby Cart Service pro přístup ke službě Key Vault:

   az spring app update \
       --resource-group ${RESOURCE_GROUP} \
       --name cart-service \
       --service ${AZURE_SPRING_APPS_SERVICE_INSTANCE_NAME} \
       --env "CART_PORT=8080" "KEYVAULT_URI=${KEYVAULT_URI}" "AUTH_URL=https://${GATEWAY_URL}"
   

9. Pokud jste nakonfigurovali jednotné přihlašování, pomocí následujícího příkazu aktualizujte prostředí služby Identity Service a vzor konfigurace pro přístup ke službě Key Vault:

   az spring app update \
       --resource-group ${RESOURCE_GROUP} \
       --name identity-service \
       --service ${AZURE_SPRING_APPS_SERVICE_INSTANCE_NAME} \
       --config-file-pattern identity/default,identity/key-vault \
       --env "SPRING_CLOUD_AZURE_KEYVAULT_SECRET_PROPERTY_SOURCES_0_ENDPOINT=${KEYVAULT_URI}" "SPRING_CLOUD_AZURE_KEYVAULT_SECRET_PROPERTY_SOURCES_0_NAME='acme-fitness-store-vault'" "SPRING_PROFILES_ACTIVE=default,key-vault"
   

10. K načtení adresy URL brány Spring Cloud použijte následující příkazy:

    export GATEWAY_URL=$(az spring gateway show \
        --resource-group ${RESOURCE_GROUP} \
        --service ${AZURE_SPRING_APPS_SERVICE_INSTANCE_NAME} | jq -r '.properties.url')
    
    echo "https://${GATEWAY_URL}"
    

    V prohlížeči můžete otevřít výstupní adresu URL a prozkoumat aktualizovanou aplikaci.

Vyčištění prostředků

Pokud chcete pokračovat v práci s dalšími rychlými starty a kurzy, můžete tyto prostředky ponechat na místě. Pokud už ji nepotřebujete, odstraňte skupinu prostředků, která odstraní prostředky ve skupině prostředků. Pokud chcete odstranit skupinu prostředků pomocí Azure CLI, použijte následující příkazy:

echo "Enter the Resource Group name:" &&
read resourceGroupName &&
az group delete --name $resourceGroupName &&
echo "Press [ENTER] to continue ..."

Další kroky

Pokračujte k některému z následujících volitelných rychlých startů:

• Konfigurace jednotného přihlašování
• Integrace Azure Database for PostgreSQL a Azure Cache for Redis
• Kompletní monitorování aplikací
• Nastavení limitů četnosti požadavků
• Automatizace nasazení
• Integrace Azure OpenAI