Nápady na řešení
Tento článek je myšlenkou řešení. Pokud chcete, abychom obsah rozšířili o další informace, jako jsou potenciální případy použití, alternativní služby, aspekty implementace nebo pokyny k cenám, dejte nám vědět tím, že nám poskytnete zpětnou vazbu k GitHubu.
Tento článek popisuje řešení pro vytvoření robustní a škálovatelné aplikace v distribuovaném prostředí. Řešení používá Aplikace Azure Konfigurace a Azure Key Vault ke správě a ukládání nastavení konfigurace aplikací, příznaků funkcí a zabezpečeného přístupu na jednom místě.
Architektura
Následující diagramy ukazují, jak může služba App Configuration a Key Vault spolupracovat na správě a zabezpečení aplikací ve vývojových a prostředích Azure .
Vývojové prostředí
Ve vývojovém prostředí aplikace používá identitu prostřednictvím sady Visual Studio nebo verze 2.0 Azure CLI k přihlášení a odeslání žádosti o ověření na ID Microsoft Entra.
Stáhněte si soubor Visia této architektury.
Přípravné nebo produkční prostředí Azure
Pracovní a produkční prostředí Azure používají spravovanou identitu pro přihlášení a ověřování.
Stáhněte si soubor Visia této architektury.
Tok dat
- Aplikace odešle požadavek na ověření během ladění v sadě Visual Studio nebo se ověřuje prostřednictvím MSI v Azure.
- Po úspěšném ověření vrátí ID Microsoft Entra přístupový token.
- Sada App Configuration SDK odešle požadavek s přístupovým tokenem, který přečte hodnotu tajného klíče služby App Configuration Key Vault aplikace pro trezor klíčů aplikace.
- Po úspěšné autorizaci odešle Konfigurace aplikace hodnotu konfigurace.
- Při použití přihlašovací identity aplikace odešle do služby Key Vault požadavek na načtení tajného klíče aplikace pro identifikátor secretURI , který služba App Configuration odeslala.
- Po úspěšné autorizaci vrátí Key Vault hodnotu tajného kódu.
Komponenty
- Microsoft Entra ID je univerzální platforma pro správu a zabezpečení identit.
- App Configuration poskytuje způsob ukládání konfigurací pro všechny aplikace Azure v univerzálním hostovaném umístění.
- Spravované identity poskytují identitu pro aplikace, které se mají použít při připojování k prostředkům, které podporují ověřování Microsoft Entra.
- Key Vault chrání kryptografické klíče a další tajné kódy, které používají cloudové aplikace a služby.
Podrobnosti scénáře
Cloudové aplikace se často spouštějí na více virtuálních počítačích nebo kontejnerech ve více oblastech a používají více externích služeb. Vytvoření robustní a škálovatelné aplikace v distribuovaném prostředí představuje významnou výzvu.
Pomocí služby App Configuration můžete spravovat a ukládat všechna nastavení konfigurace, příznaky funkcí a nastavení zabezpečeného přístupu na jednom místě. Služba App Configuration bezproblémově funguje se službou Key Vault, která ukládá hesla, klíče a tajné kódy pro zabezpečený přístup.
Potenciální případy použití
Každá aplikace může používat Službu App Configuration, ale z ní těží následující typy aplikací:
- Mikroslužby spuštěné ve službě Azure Kubernetes Service (AKS) nebo jiných kontejnerizovaných aplikacích nasazených v jedné nebo více oblastech
- Bezserverové aplikace, které zahrnují Azure Functions nebo jiné bezstavové výpočetní aplikace řízené událostmi.
- Aplikace, které používají kanál průběžného nasazování (CD).
Důležité informace
Tyto aspekty implementují pilíře dobře architektuře Azure, což je sada hlavních principů, které je možné použít ke zlepšení kvality úlohy. Další informace naleznete v tématu Microsoft Azure Well-Architected Framework.
Nejlepší je použít jiný trezor klíčů pro každou aplikaci v každém prostředí: vývoj, předprodukční Azure a produkční prostředí Azure. Použití různých trezorů pomáhá zabránit sdílení tajných kódů napříč prostředími a snižuje hrozby v případě porušení zabezpečení.
Aby bylo možné tyto scénáře použít, musí mít přihlašovací identita roli Čtenář dat konfigurace aplikace v prostředku App Configuration a musí mít explicitní zásady přístupu pro načtení tajných kódů ve službě Key Vault.
Přispěvatelé
Tento článek spravuje Microsoft. Původně byla napsána následujícími přispěvateli.
Hlavní autor:
- Sowmyan Soman | Hlavní architekt cloudového řešení
Další kroky
Další informace o technologiích komponent:
- konfigurace Aplikace Azure
- Azure Key Vault
- Použití odkazů služby Key Vault pro App Service a Azure Functions
- Použití spravovaných identit pro přístup ke službě App Configuration
- Místní vývoj a zabezpečení