Szerkesztés

Központosított alkalmazáskonfiguráció és biztonság

Microsoft Entra ID
Azure App Configuration
Azure Key Vault

Megoldási ötletek

Ez a cikk egy megoldási ötlet. Ha azt szeretné, hogy további információkkal bővítsük a tartalmat, például a lehetséges használati eseteket, alternatív szolgáltatásokat, megvalósítási szempontokat vagy díjszabási útmutatást, a GitHub visszajelzésével tudassa velünk.

Ez a cikk egy robusztus és skálázható alkalmazás elosztott környezetben való létrehozására szolgáló megoldást mutat be. A megoldás a Azure-alkalmazás Konfiguráció és az Azure Key Vault használatával kezeli és tárolja az alkalmazáskonfigurációs beállításokat, a funkciójelzőket és a biztonságos hozzáférési beállításokat egy helyen.

Architektúra

Az alábbi ábrák azt mutatják be, hogyan működhet együtt az alkalmazáskonfiguráció és a Key Vault az alkalmazások fejlesztési és Azure-környezetekben való kezelése és védelme érdekében.

Fejlesztői környezet

A fejlesztői környezetben az alkalmazás a Visual Studióval vagy az Azure CLI 2.0-s verziójával használ egy identitást a bejelentkezéshez, és hitelesítési kérést küld a Microsoft Entra-azonosítónak.

Architektúradiagram, amely bemutatja, hogyan jelentkezik be és hitelesít egy alkalmazás fejlesztési környezetben.

Töltse le az architektúra Visio-fájlját .

Azure-előkészítési vagy éles környezet

Az Azure előkészítési és éles környezetei felügyelt identitást használnak a bejelentkezéshez és a hitelesítéshez.

Architektúradiagram, amely bemutatja, hogyan jelentkezik be és hitelesít egy alkalmazás átmeneti vagy éles környezetben.

Töltse le az architektúra Visio-fájlját .

Adatfolyam

  1. Az alkalmazás hitelesítési kérést küld a Visual Studióban végzett hibakeresés során, vagy hitelesíti az Azure-beli MSI-vel.
  2. Sikeres hitelesítés esetén a Microsoft Entra ID egy hozzáférési jogkivonatot ad vissza.
  3. Az Alkalmazáskonfigurációs SDK egy kérést küld a hozzáférési jogkivonattal az alkalmazás key vaultjának alkalmazáskonfigurációs kulcstartójának titkosURI-értékének olvasásához.
  4. Sikeres engedélyezés esetén az Alkalmazáskonfiguráció elküldi a konfigurációs értéket.
  5. A bejelentkezési identitás használatával az alkalmazás kérést küld a Key Vaultnak, hogy lekérje az alkalmazáskonfiguráció által küldött titkos URI-hoz tartozó alkalmazáskulcsot.
  6. Sikeres engedélyezés esetén a Key Vault visszaadja a titkos értéket.

Összetevők

  • A Microsoft Entra ID egy univerzális platform az identitások kezeléséhez és védelméhez.
  • Az Alkalmazáskonfiguráció lehetővé teszi az összes Azure-alkalmazás konfigurációinak tárolását egy univerzális, üzemeltetett helyen.
  • A felügyelt identitások olyan identitást biztosítanak az alkalmazások számára, amelyeket a Microsoft Entra-hitelesítést támogató erőforrásokhoz való csatlakozáskor használhatnak.
  • A Key Vault védi a felhőalkalmazások és -szolgáltatások által használt titkosítási kulcsokat és egyéb titkos kulcsokat.

Forgatókönyv részletei

A felhőalapú alkalmazások gyakran több virtuális gépen vagy tárolón futnak több régióban, és több külső szolgáltatást is használnak. Egy robusztus és méretezhető alkalmazás elosztott környezetben való létrehozása jelentős kihívást jelent.

Az Alkalmazáskonfiguráció használatával egyetlen helyen kezelheti és tárolhatja az alkalmazás konfigurációs beállításait, funkciójelzőit és biztonságos hozzáférési beállításait. Az alkalmazáskonfiguráció zökkenőmentesen működik a Key Vaulttal, amely jelszavakat, kulcsokat és titkos kulcsokat tárol a biztonságos hozzáférés érdekében.

Lehetséges használati esetek

Bármely alkalmazás használhatja az alkalmazáskonfigurációt, de az alábbi alkalmazástípusok élvezik a legtöbbet belőle:

  • Az Azure Kubernetes Service-en (AKS) vagy más, egy vagy több régióban üzembe helyezett tárolóalapú alkalmazásokon futó mikroszolgáltatások.
  • Kiszolgáló nélküli alkalmazások, amelyek magukban foglalják az Azure Functionst vagy más eseményvezérelt állapot nélküli számítási alkalmazásokat.
  • Folyamatos üzembe helyezési (CD) folyamatot használó alkalmazások.

Megfontolások

Ezek a szempontok implementálják az Azure Well-Architected Framework alappilléreit, amely a számítási feladatok minőségének javítására használható vezérelvek halmaza. További információ: Microsoft Azure Well-Architected Framework.

  • A legjobb, ha egy másik kulcstartót használ az egyes környezetekben lévő alkalmazásokhoz: fejlesztéshez, azure-beli előgyártáshoz és Azure-éles környezethez. A különböző tárolók használata megakadályozza a titkos kulcsok megosztását a környezetekben, és csökkenti a fenyegetéseket incidens esetén.

  • E forgatókönyvek használatához a bejelentkezési identitásnak rendelkeznie kell az alkalmazáskonfigurációs adatolvasó szerepkörével az alkalmazáskonfigurációs erőforrásban, és explicit hozzáférési szabályzatokkal kell rendelkeznie a Key Vault titkos kulcsainak lekéréséhez.

Közreműködők

Ezt a cikket a Microsoft tartja karban. Eredetileg a következő közreműködők írták.

Fő szerző:

Következő lépések

További információ az összetevők technológiáiról: