Megoldási ötletek
Ez a cikk egy megoldási ötlet. Ha azt szeretné, hogy további információkkal bővítsük a tartalmat, például a lehetséges használati eseteket, alternatív szolgáltatásokat, megvalósítási szempontokat vagy díjszabási útmutatást, a GitHub visszajelzésével tudassa velünk.
Ez a cikk egy robusztus és skálázható alkalmazás elosztott környezetben való létrehozására szolgáló megoldást mutat be. A megoldás a Azure-alkalmazás Konfiguráció és az Azure Key Vault használatával kezeli és tárolja az alkalmazáskonfigurációs beállításokat, a funkciójelzőket és a biztonságos hozzáférési beállításokat egy helyen.
Architektúra
Az alábbi ábrák azt mutatják be, hogyan működhet együtt az alkalmazáskonfiguráció és a Key Vault az alkalmazások fejlesztési és Azure-környezetekben való kezelése és védelme érdekében.
Fejlesztői környezet
A fejlesztői környezetben az alkalmazás a Visual Studióval vagy az Azure CLI 2.0-s verziójával használ egy identitást a bejelentkezéshez, és hitelesítési kérést küld a Microsoft Entra-azonosítónak.
Töltse le az architektúra Visio-fájlját .
Azure-előkészítési vagy éles környezet
Az Azure előkészítési és éles környezetei felügyelt identitást használnak a bejelentkezéshez és a hitelesítéshez.
Töltse le az architektúra Visio-fájlját .
Adatfolyam
- Az alkalmazás hitelesítési kérést küld a Visual Studióban végzett hibakeresés során, vagy hitelesíti az Azure-beli MSI-vel.
- Sikeres hitelesítés esetén a Microsoft Entra ID egy hozzáférési jogkivonatot ad vissza.
- Az Alkalmazáskonfigurációs SDK egy kérést küld a hozzáférési jogkivonattal az alkalmazás key vaultjának alkalmazáskonfigurációs kulcstartójának titkosURI-értékének olvasásához.
- Sikeres engedélyezés esetén az Alkalmazáskonfiguráció elküldi a konfigurációs értéket.
- A bejelentkezési identitás használatával az alkalmazás kérést küld a Key Vaultnak, hogy lekérje az alkalmazáskonfiguráció által küldött titkos URI-hoz tartozó alkalmazáskulcsot.
- Sikeres engedélyezés esetén a Key Vault visszaadja a titkos értéket.
Összetevők
- A Microsoft Entra ID egy univerzális platform az identitások kezeléséhez és védelméhez.
- Az Alkalmazáskonfiguráció lehetővé teszi az összes Azure-alkalmazás konfigurációinak tárolását egy univerzális, üzemeltetett helyen.
- A felügyelt identitások olyan identitást biztosítanak az alkalmazások számára, amelyeket a Microsoft Entra-hitelesítést támogató erőforrásokhoz való csatlakozáskor használhatnak.
- A Key Vault védi a felhőalkalmazások és -szolgáltatások által használt titkosítási kulcsokat és egyéb titkos kulcsokat.
Forgatókönyv részletei
A felhőalapú alkalmazások gyakran több virtuális gépen vagy tárolón futnak több régióban, és több külső szolgáltatást is használnak. Egy robusztus és méretezhető alkalmazás elosztott környezetben való létrehozása jelentős kihívást jelent.
Az Alkalmazáskonfiguráció használatával egyetlen helyen kezelheti és tárolhatja az alkalmazás konfigurációs beállításait, funkciójelzőit és biztonságos hozzáférési beállításait. Az alkalmazáskonfiguráció zökkenőmentesen működik a Key Vaulttal, amely jelszavakat, kulcsokat és titkos kulcsokat tárol a biztonságos hozzáférés érdekében.
Lehetséges használati esetek
Bármely alkalmazás használhatja az alkalmazáskonfigurációt, de az alábbi alkalmazástípusok élvezik a legtöbbet belőle:
- Az Azure Kubernetes Service-en (AKS) vagy más, egy vagy több régióban üzembe helyezett tárolóalapú alkalmazásokon futó mikroszolgáltatások.
- Kiszolgáló nélküli alkalmazások, amelyek magukban foglalják az Azure Functionst vagy más eseményvezérelt állapot nélküli számítási alkalmazásokat.
- Folyamatos üzembe helyezési (CD) folyamatot használó alkalmazások.
Megfontolások
Ezek a szempontok implementálják az Azure Well-Architected Framework alappilléreit, amely a számítási feladatok minőségének javítására használható vezérelvek halmaza. További információ: Microsoft Azure Well-Architected Framework.
A legjobb, ha egy másik kulcstartót használ az egyes környezetekben lévő alkalmazásokhoz: fejlesztéshez, azure-beli előgyártáshoz és Azure-éles környezethez. A különböző tárolók használata megakadályozza a titkos kulcsok megosztását a környezetekben, és csökkenti a fenyegetéseket incidens esetén.
E forgatókönyvek használatához a bejelentkezési identitásnak rendelkeznie kell az alkalmazáskonfigurációs adatolvasó szerepkörével az alkalmazáskonfigurációs erőforrásban, és explicit hozzáférési szabályzatokkal kell rendelkeznie a Key Vault titkos kulcsainak lekéréséhez.
Közreműködők
Ezt a cikket a Microsoft tartja karban. Eredetileg a következő közreműködők írták.
Fő szerző:
- Sowmyan Soman | Fő felhőmegoldás-tervező
Következő lépések
További információ az összetevők technológiáiról:
- Azure-alkalmazás konfigurációja
- Azure Key Vault
- Key Vault-referenciák használata az App Service-hez és az Azure Functionshez
- Felügyelt identitások használata az alkalmazáskonfiguráció eléréséhez
- Helyi fejlesztés és biztonság