Mengelola rahasia di Azure Container Apps

Artikel
05/24/2023

Azure Container Apps memungkinkan aplikasi Anda untuk menyimpan nilai konfigurasi sensitif dengan aman. Setelah rahasia ditentukan di tingkat aplikasi, nilai aman tersedia untuk revisi di aplikasi kontainer Anda. Selain itu, Anda dapat mereferensikan nilai aman di dalam aturan skala. Untuk informasi tentang menggunakan rahasia dengan Dapr, lihat Integrasi Dapr.

Rahasia tercakup ke aplikasi, di luar revisi aplikasi tertentu.
Menambahkan, menghapus, atau mengubah rahasia tidak menghasilkan revisi baru.
Setiap revisi aplikasi dapat merujuk satu atau lebih rahasia.
Beberapa revisi dapat merujuk rahasia yang sama.

Rahasia yang diperbarui atau dihapus tidak secara otomatis memengaruhi revisi yang ada di aplikasi Anda. Ketika rahasia diperbarui atau dihapus, Anda dapat menanggapi perubahan dalam salah satu dari dua cara:

Menyebarkan revisi baru.
Menghidupkan ulang revisi yang sudah ada.

Sebelum Anda menghapus rahasia, gunakan revisi baru yang tidak lagi merujuk pada rahasia lama. Kemudian nonaktifkan semua revisi yang mereferensikan rahasia.

Mendefinisikan rahasia

Rahasia didefinisikan sebagai sekumpulan pasangan nama/nilai. Nilai setiap rahasia ditentukan secara langsung atau sebagai referensi ke rahasia yang disimpan di Azure Key Vault.

Simpan nilai rahasia di Aplikasi Kontainer

Saat Anda menentukan rahasia melalui portal, atau melalui opsi baris perintah yang berbeda.

Buka aplikasi kontainer Anda di portal Azure.
Di bawah bagian Pengaturan, pilih Rahasia.
Pilih Tambahkan.
Di panel Tambahkan konteks rahasia , masukkan informasi berikut ini:
- Nama: Nama rahasia.
- Jenis: Pilih Rahasia Aplikasi Kontainer.
- Nilai: Nilai rahasia.
Pilih Tambahkan.

Rahasia didefinisikan pada tingkat aplikasi di bagian resources.properties.configuration.secrets.

"resources": [
{
    ...
    "properties": {
        "configuration": {
            "secrets": [
            {
                "name": "queue-connection-string",
                "value": "<MY-CONNECTION-STRING-VALUE>"
            }],
        }
    }
}

Di sini, string koneksi ke akun penyimpanan antrean dinyatakan dalam array secrets. Dalam contoh ini, Anda akan mengganti <MY-CONNECTION-STRING-VALUE> dengan nilai string koneksi Anda.

Saat Anda membuat aplikasi kontainer, rahasia ditentukan menggunakan --secrets parameter .

Parameter menerima sekumpulan pasangan nama/nilai yang dibatasi spasi.
Setiap pasangan dibatasi oleh tanda yang sama (=).

az containerapp create \
  --resource-group "my-resource-group" \
  --name queuereader \
  --environment "my-environment-name" \
  --image demos/queuereader:v1 \
  --secrets "queue-connection-string=<CONNECTION_STRING>"

Di sini, string koneksi ke akun penyimpanan antrean dinyatakan dalam parameter --secrets. Ganti <CONNECTION_STRING> dengan nilai string koneksi Anda.

Saat Anda membuat aplikasi kontainer, rahasia didefinisikan sebagai satu atau beberapa objek Rahasia yang diteruskan melalui ConfigurationSecrets parameter .

$EnvId = (Get-AzContainerAppManagedEnv -ResourceGroupName my-resource-group -EnvName my-environment-name).Id
$TemplateObj = New-AzContainerAppTemplateObject -Name queuereader -Image demos/queuereader:v1
$SecretObj = New-AzContainerAppSecretObject -Name queue-connection-string -Value $QueueConnectionString

$ContainerAppArgs = @{
    Name = 'my-resource-group'
    Location = '<location>'
    ResourceGroupName = 'my-resource-group'
    ManagedEnvironmentId = $EnvId
    TemplateContainer = $TemplateObj
    ConfigurationSecret = $SecretObj
}

New-AzContainerApp @ContainerAppArgs

Di sini, string koneksi ke akun penyimpanan antrean dinyatakan. Nilai untuk queue-connection-string berasal dari variabel lingkungan bernama $QueueConnectionString.

Rahasia referensi dari Key Vault

Saat menentukan rahasia, Anda membuat referensi ke rahasia yang disimpan di Azure Key Vault. Container Apps secara otomatis mengambil nilai rahasia dari Key Vault dan membuatnya tersedia sebagai rahasia di aplikasi kontainer Anda.

Untuk mereferensikan rahasia dari Key Vault, Anda harus terlebih dahulu mengaktifkan identitas terkelola di aplikasi kontainer Anda dan memberikan akses identitas ke rahasia Key Vault.

Untuk mengaktifkan identitas terkelola di aplikasi kontainer Anda, lihat Identitas terkelola.

Untuk memberikan akses ke rahasia Key Vault, buat kebijakan akses di Key Vault untuk identitas terkelola yang Anda buat. Aktifkan izin rahasia "Get" pada kebijakan ini.

Buka aplikasi kontainer Anda di portal Azure.
Di bawah bagian Pengaturan, pilih Identitas.
Di tab Sistem yang ditetapkan, pilih Aktif.
Pilih Simpan untuk mengaktifkan identitas terkelola yang ditetapkan sistem.
Di bawah bagian Pengaturan, pilih Rahasia.
Pilih Tambahkan.
Di panel Tambahkan konteks rahasia , masukkan informasi berikut ini:
- Nama: Nama rahasia.
- Jenis: Pilih referensi Key Vault.
- URL rahasia Key Vault: URI rahasia Anda di Key Vault.
- Identitas: Identitas yang digunakan untuk mengambil rahasia dari Key Vault.
Pilih Tambahkan.

Rahasia didefinisikan pada tingkat aplikasi di bagian resources.properties.configuration.secrets.

"resources": [
{
    ...
    "properties": {
        "configuration": {
            "secrets": [
            {
                "name": "queue-connection-string",
                "keyVaultUrl": "<KEY-VAULT-SECRET-URI>",
                "identity": "system"
            }],
        }
    }
}

Di sini, string koneksi ke akun penyimpanan antrean dinyatakan dalam array secrets. Nilainya secara otomatis diambil dari Key Vault menggunakan identitas yang ditentukan. Untuk menggunakan identitas terkelola pengguna, ganti system dengan ID sumber daya identitas.

Ganti <KEY-VAULT-SECRET-URI> dengan URI rahasia Anda di Key Vault.

Saat Anda membuat aplikasi kontainer, rahasia ditentukan menggunakan --secrets parameter .

Parameter menerima sekumpulan pasangan nama/nilai yang dibatasi spasi.
Setiap pasangan dibatasi oleh tanda yang sama (=).
Untuk menentukan referensi Key Vault, gunakan format <SECRET_NAME>=keyvaultref:<KEY_VAULT_SECRET_URI>,identityref:<MANAGED_IDENTITY_ID>. Contohnya, queue-connection-string=keyvaultref:https://mykeyvault.vault.azure.net/secrets/queuereader,identityref:/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/my-resource-group/providers/Microsoft.ManagedIdentity/userAssignedIdentities/my-identity.

az containerapp create \
  --resource-group "my-resource-group" \
  --name queuereader \
  --environment "my-environment-name" \
  --image demos/queuereader:v1 \
  --user-assigned "<USER_ASSIGNED_IDENTITY_ID>" \
  --secrets "queue-connection-string=keyvaultref:<KEY_VAULT_SECRET_URI>,identityref:<USER_ASSIGNED_IDENTITY_ID>"

Di sini, string koneksi ke akun penyimpanan antrean dinyatakan dalam parameter --secrets. Ganti <KEY_VAULT_SECRET_URI> dengan URI rahasia Anda di Key Vault. Ganti <USER_ASSIGNED_IDENTITY_ID> dengan ID sumber daya identitas yang ditetapkan pengguna. Untuk identitas yang ditetapkan sistem, gunakan system alih-alih ID sumber daya.

Catatan

Identitas yang ditetapkan pengguna harus memiliki akses untuk membaca rahasia di Key Vault. Identitas yang ditetapkan sistem tidak dapat digunakan dengan perintah buat karena tidak tersedia sampai setelah aplikasi kontainer dibuat.

Catatan

Jika Anda menggunakan UDR Dengan Azure Firewall, Anda harus menambahkan AzureKeyVault tag layanan dan login.microsoft.com FQDN ke daftar izinkan untuk firewall Anda. Lihat mengonfigurasi UDR dengan Azure Firewall untuk memutuskan tag layanan tambahan mana yang Anda butuhkan.

URI rahasia Key Vault dan rotasi rahasia

URI rahasia Key Vault harus dalam salah satu format berikut:

https://myvault.vault.azure.net/secrets/mysecret/ec96f02080254f109c51a1f14cdb1931: Mereferensikan versi rahasia tertentu.
https://myvault.vault.azure.net/secrets/mysecret: Referensikan versi terbaru rahasia.

Jika versi tidak ditentukan dalam URI, maka aplikasi menggunakan versi terbaru yang ada di brankas kunci. Saat versi yang lebih baru tersedia, aplikasi secara otomatis mengambil versi terbaru dalam waktu 30 menit. Setiap revisi aktif yang mereferensikan rahasia dalam variabel lingkungan secara otomatis dimulai ulang untuk mengambil nilai baru.

Untuk kontrol penuh dari versi rahasia mana yang digunakan, tentukan versi dalam URI.

Mereferensikan rahasia dalam variabel lingkungan

Setelah mendeklarasikan rahasia di tingkat aplikasi seperti yang dijelaskan di bagian menentukan rahasia , Anda dapat mereferensikannya dalam variabel lingkungan saat membuat revisi baru di aplikasi kontainer Anda. Ketika variabel lingkungan mereferensikan rahasia, nilainya diisi dengan nilai yang ditentukan dalam rahasia.

Contoh

Contoh berikut menunjukkan aplikasi yang mendeklarasikan string koneksi di tingkat aplikasi. Koneksi ini dirujuk dalam variabel lingkungan kontainer dan dalam aturan skala.

Setelah menentukan rahasia di aplikasi kontainer, Anda dapat mereferensikannya dalam variabel lingkungan saat membuat revisi baru.

Buka aplikasi kontainer Anda di portal Azure.
Buka halaman Manajemen revisi.
Pilih Buat revisi baru.
Di halaman Buat dan sebarkan revisi baru, pilih kontainer.
Di bagian Variabel lingkungan , pilih Tambahkan.
Masukkan informasi berikut:
- Nama: Nama variabel lingkungan.
- Sumber: Pilih Referensi rahasia.
- Nilai: Pilih rahasia yang ingin Anda referensikan.
Pilih Simpan.
Pilih Buat untuk membuat revisi baru.

Dalam contoh ini, string koneksi aplikasi dinyatakan sebagai queue-connection-string dan menjadi tersedia di tempat lain di bagian konfigurasi.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-08-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "location": {
            "type": "String"
        },
        "environment_id": {
            "type": "String"
        },
        "queue-connection-string": {
            "type": "String"
        }
    },
    "variables": {},
    "resources": [
    {
        "name": "queuereader",
        "type": "Microsoft.App/containerApps",
        "apiVersion": "2022-03-01",
        "kind": "containerapp",
        "location": "[parameters('location')]",
        "properties": {
            "managedEnvironmentId": "[parameters('environment_id')]",
            "configuration": {
                "activeRevisionsMode": "single",
                "secrets": [
                {
                    "name": "queue-connection-string",
                    "value": "[parameters('queue-connection-string')]"
                }]
            },
            "template": {
                "containers": [
                    {
                        "image": "myregistry/myQueueApp:v1",
                        "name": "myQueueApp",
                        "env": [
                            {
                                "name": "QueueName",
                                "value": "myqueue"
                            },
                            {
                                "name": "ConnectionString",
                                "secretRef": "queue-connection-string"
                            }
                        ]
                    }
                ],
                "scale": {
                    "minReplicas": 0,
                    "maxReplicas": 10,
                    "rules": [
                        {
                            "name": "myqueuerule",
                            "azureQueue": {
                                "queueName": "demoqueue",
                                "queueLength": 100,
                                "auth": [
                                    {
                                        "secretRef": "queue-connection-string",
                                        "triggerParameter": "connection"
                                    }
                                ]
                            }
                        }
                    ]
                }
            }
        }
    }]
}

Di sini, variabel lingkungan bernama connection-string mendapatkan nilainya dari rahasia queue-connection-string tingkat aplikasi. Selain itu, konfigurasi autentikasi aturan skala Azure Queue Storage menggunakan queue-connection-string rahasia untuk menentukan koneksinya.

Untuk menghindari penerapan nilai rahasia ke kontrol sumber dengan templat ARM Anda, teruskan nilai rahasia sebagai parameter templat ARM.

Dalam contoh ini, Anda membuat aplikasi kontainer menggunakan Azure CLI dengan rahasia yang direferensikan dalam variabel lingkungan. Untuk mereferensikan rahasia dalam variabel lingkungan di Azure CLI, atur nilainya ke secretref:, diikuti dengan nama rahasia.

az containerapp create \
  --resource-group "my-resource-group" \
  --name myQueueApp \
  --environment "my-environment-name" \
  --image demos/myQueueApp:v1 \
  --secrets "queue-connection-string=$CONNECTIONSTRING" \
  --env-vars "QueueName=myqueue" "ConnectionString=secretref:queue-connection-string"

Di sini, variabel lingkungan bernama connection-string mendapatkan nilainya dari rahasia queue-connection-string tingkat aplikasi.

Dalam contoh ini, Anda membuat kontainer menggunakan Azure PowerShell dengan rahasia yang direferensikan dalam variabel lingkungan. Untuk mereferensikan rahasia dalam variabel lingkungan di PowerShell, atur nilainya ke secretref:, diikuti dengan nama rahasia.

$EnvId = (Get-AzContainerAppManagedEnv -ResourceGroupName my-resource-group -EnvName my-environment-name).Id

$SecretObj = New-AzContainerAppSecretObject -Name queue-connection-string -Value $QueueConnectionString
$EnvVarObjQueue = New-AzContainerAppEnvironmentVarObject -Name QueueName -Value myqueue
$EnvVarObjConn = New-AzContainerAppEnvironmentVarObject -Name ConnectionString -SecretRef queue-connection-string -Value secretref
$TemplateObj = New-AzContainerAppTemplateObject -Name myQueueApp -Image demos/myQueueApp:v1 -Env $EnvVarObjQueue, $EnvVarObjConn

$ContainerAppArgs = @{
    Name = 'myQueueApp'
    Location = '<location>'
    ResourceGroupName = 'my-resource-group'
    ManagedEnvironmentId = $EnvId
    TemplateContainer = $TemplateObj
    ConfigurationSecret = $SecretObj
}

New-AzContainerApp @ContainerAppArgs

Di sini, variabel lingkungan bernama ConnectionString mendapatkan nilainya dari rahasia $QueueConnectionString tingkat aplikasi.

Memasang rahasia dalam volume

Setelah mendeklarasikan rahasia di tingkat aplikasi seperti yang dijelaskan di bagian menentukan rahasia , Anda dapat mereferensikannya dalam pemasangan volume saat membuat revisi baru di aplikasi kontainer Anda. Saat Anda memasang rahasia dalam volume, setiap rahasia dipasang sebagai file dalam volume. Nama file adalah nama rahasia, dan konten file adalah nilai rahasia. Anda dapat memuat semua rahasia dalam pemasangan volume, atau Anda dapat memuat rahasia tertentu.

Contoh

Setelah menentukan rahasia di aplikasi kontainer, Anda dapat mereferensikannya dalam pemasangan volume saat membuat revisi baru.

Buka aplikasi kontainer Anda di portal Azure.
Buka halaman Manajemen revisi.
Pilih Buat revisi baru.
Di halaman Buat dan sebarkan revisi baru.
Pilih kontainer dan pilih Edit.
Di bagian Pemasangan volume, perluas bagian Rahasia .
Pilih Buat volume baru.
Masukkan informasi berikut:
- Nama: mysecrets
- Pasang semua rahasia: diaktifkan
Catatan

Jika Anda ingin memuat rahasia tertentu, nonaktifkan Pasang semua rahasia dan pilih rahasia yang ingin Anda muat.
Pilih Tambahkan.
Di bawah Nama volume, pilih mysecrets.
Di bawah Jalur pemasangan, masukkan /mnt/secrets.
Pilih Simpan.
Pilih Buat untuk membuat revisi baru dengan pemasangan volume.

Dalam contoh ini, dua rahasia dideklarasikan di tingkat aplikasi. Rahasia ini dipasang dalam volume bernama mysecrets jenis Secret. Volume dipasang di jalur /mnt/secrets. Aplikasi kemudian dapat mereferensikan rahasia dalam pemasangan volume.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-08-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "location": {
            "type": "String"
        },
        "environment_id": {
            "type": "String"
        },
        "queue-connection-string": {
            "type": "Securestring"
        },
        "api-key": {
            "type": "Securestring"
        }
    },
    "variables": {},
    "resources": [
    {
        "name": "queuereader",
        "type": "Microsoft.App/containerApps",
        "apiVersion": "2022-11-01-preview",
        "kind": "containerapp",
        "location": "[parameters('location')]",
        "properties": {
            "managedEnvironmentId": "[parameters('environment_id')]",
            "configuration": {
                "activeRevisionsMode": "single",
                "secrets": [
                    {
                        "name": "queue-connection-string",
                        "value": "[parameters('queue-connection-string')]"
                    },
                    {
                        "name": "api-key",
                        "value": "[parameters('api-key')]"
                    }
                ]
            },
            "template": {
                "containers": [
                    {
                        "image": "myregistry/myQueueApp:v1",
                        "name": "myQueueApp",
                        "volumeMounts": [
                            {
                                "name": "mysecrets",
                                "mountPath": "/mnt/secrets"
                            }
                        ]
                    }
                ],
                "volumes": [
                    {
                        "name": "mysecrets",
                        "storageType": "Secret"
                    }
                ]
            }
        }
    }]
}

Untuk memuat rahasia tertentu dan menentukan jalurnya dalam volume yang dipasang, Anda menentukan rahasia dalam secrets array objek volume. Contoh berikut menunjukkan cara memuat hanya queue-connection-string rahasia dalam mysecrets pemasangan volume dengan nama connection-string.txtfile .

{
    "properties": {
        ...
        "configuration": {
            ...
            "secrets": [
                {
                    "name": "queue-connection-string",
                    "value": "[parameters('queue-connection-string')]"
                },
                {
                    "name": "api-key",
                    "value": "[parameters('api-key')]"
                }
            ]
        },
        "template": {
            "containers": [
                {
                    "image": "myregistry/myQueueApp:v1",
                    "name": "myQueueApp",
                    "volumeMounts": [
                        {
                            "name": "mysecrets",
                            "mountPath": "/mnt/secrets"
                        }
                    ]
                }
            ],
            "volumes": [
                {
                    "name": "mysecrets",
                    "storageType": "Secret",
                    "secrets": [
                        {
                            "secretRef": "queue-connection-string",
                            "path": "connection-string.txt"
                        }
                    ]
                }
            ]
        }
        ...
    }
    ...
}

Di aplikasi, Anda dapat membaca rahasia dari file yang terletak di /mnt/secrets/connection-string.txt.

az containerapp create \
  --resource-group "my-resource-group" \
  --name myQueueApp \
  --environment "my-environment-name" \
  --image demos/myQueueApp:v1 \
  --secrets "queue-connection-string=$CONNECTIONSTRING" "api-key=$API_KEY" \
  --secret-volume-mount "/mnt/secrets"

Untuk memuat rahasia tertentu dan menentukan jalurnya dalam volume yang dipasang, tentukan aplikasi Anda menggunakan YAML.

Langkah berikutnya

Kontainer

Mengelola rahasia di Azure Container Apps

Mendefinisikan rahasia

Simpan nilai rahasia di Aplikasi Kontainer

Rahasia referensi dari Key Vault

URI rahasia Key Vault dan rotasi rahasia

Mereferensikan rahasia dalam variabel lingkungan

Contoh

Memasang rahasia dalam volume

Contoh

Langkah berikutnya

Sumber Daya Tambahan: