Перенос приложения на использование бессерверных подключений с Центры событий Azure

Статья
10/18/2023

Запросы приложений к службам Azure должны проходить проверку подлинности с помощью таких конфигураций, как ключи доступа к учетной записи или подключения без пароля. Тем не менее, по возможности следует приоритизировать подключения без пароля в приложениях. Традиционные методы проверки подлинности, использующие пароли или секретные ключи, создают риски безопасности и осложнения. Ознакомьтесь с бессерверными подключениями для центра служб Azure, чтобы узнать больше о преимуществах перехода на бессерверные подключения.

В следующем руководстве объясняется, как перенести существующее приложение для подключения с помощью бессерверных подключений. Эти же шаги миграции должны применяться к использованию ключей доступа, строка подключения или другого подхода на основе секретов.

Настройка локальной среды разработки.

Бессерверные подключения можно настроить для работы как для локальных, так и для размещенных в Azure сред. В этом разделе описано, как применить конфигурации, чтобы разрешить отдельным пользователям проходить проверку подлинности в Центры событий Azure для локальной разработки.

Назначение ролей пользователей

При локальной разработке убедитесь, что учетная запись пользователя, доступ к Центры событий Azure имеет правильные разрешения. Вам потребуется Центры событий Azure приемник данных и роли отправителя данных Центры событий Azure для чтения и записи данных. Чтобы назначить себе эту роль, вам потребуется назначить роль Администратор istrator для доступа пользователей или другую роль, включающую действие Microsoft.Authorization/roleAssignments/write. Роли Azure RBAC можно назначить пользователю с помощью портала Azure, Azure CLI или Azure PowerShell. Узнайте больше о доступных область для назначений ролей на странице обзора область.

В следующем примере назначаются роли отправителя данных Центры событий Azure и роли приемника данных Центры событий Azure учетной записи пользователя. Эта роль предоставляет доступ на чтение и запись к сообщениям концентратора событий.

В портал Azure найдите центр событий с помощью главной панели поиска или навигации слева.
На странице обзора концентратора событий выберите элемент управления доступом (IAM) в меню слева.
На странице Контроль доступа (IAM) откройте вкладку Назначения ролей.
Выберите + Добавить в верхнем меню, а затем выберите Добавить назначение роли в появившемся раскрывающемся меню.
Используйте поле поиска, чтобы отфильтровать результаты для отображения нужной роли. В этом примере выполните поиск Центры событий Azure отправителя данных и выберите соответствующий результат, а затем нажмите кнопку "Далее".
В разделе Назначение доступа для выберите Пользователь, группа или субъект-служба и + Выбрать членов.
В диалоговом окне найдите имя пользователя Microsoft Entra (обычно ваш user@domain адрес электронной почты), а затем выберите в нижней части диалогового окна.
Нажмите кнопку Проверить и назначить, чтобы перейти на последнюю страницу, а затем еще раз Проверить и назначить, чтобы завершить процесс.
Повторите эти действия для роли приемника данных Центры событий Azure, чтобы разрешить учетной записи отправлять и получать сообщения.

Чтобы назначить роль на уровне ресурса с помощью Azure CLI, сначала необходимо получить идентификатор ресурса с помощью az eventhubs eventhub show команды. Вы можете отфильтровать выходные свойства с помощью параметра --query.

az eventhubs eventhub show \
    --resource-group '<your-resource-group-name>' \
    --namespace-name '<your-event-hubs-namespace>' \
    --name '<your-event-hub-name>' \
    --query id

Скопируйте выходной Id из предыдущей команды. Затем можно назначить роли с помощью команды az role в Azure CLI.

az role assignment create --assignee "<user@domain>" \
    --role "Azure Event Hubs Data Receiver" \
    --scope "<your-resource-id>"

az role assignment create --assignee "<user@domain>" \
    --role "Azure Event Hubs Data Sender" \
    --scope "<your-resource-id>"

Чтобы назначить роль на уровне ресурсов с помощью Azure PowerShell, сначала необходимо получить идентификатор ресурса с помощью Get-AzResource команды.

Get-AzResource -ResourceGroupName "<yourResourceGroupname>" -Name "<yourEventHubsNamespace>"

Скопируйте значение Id из выходных данных предыдущей команды. После этого можно назначить роли с помощью команды New-AzRoleAssignment в PowerShell.

New-AzRoleAssignment -SignInName <user@domain> `
    -RoleDefinitionName "Azure Event Hubs Data Receiver" `
    -Scope <yourEventHubsId>

New-AzRoleAssignment -SignInName <user@domain> `
    -RoleDefinitionName "Azure Event Hubs Data Sender" `
    -Scope <yourEventHubsId>

Внимание

В большинстве случаев для распространения назначения ролей в Azure потребуется несколько минут, но в редких случаях может потребоваться до восьми минут. Если при первом запуске кода возникают ошибки аутентификации, подождите несколько минут и повторите попытку.

Для локальной разработки убедитесь, что вы прошли проверку подлинности с той же учетной записью Microsoft Entra, которую вы назначили роли. Вы можете пройти проверку подлинности с помощью популярных средств разработки, таких как Azure CLI или Azure PowerShell. Средства разработки, с помощью которых можно пройти проверку подлинности на разных языках.

Войдите в Azure с помощью Azure CLI, выполнив следующую команду:

az login

Для работы с DefaultAzureCredential Visual Studio Code необходимо установить Azure CLI.

В главном меню Visual Studio Code выберите Терминал > Создать терминал.

Войдите в Azure с помощью Azure CLI, выполнив следующую команду:

az login

Войдите в Azure через PowerShell с помощью следующей команды:

Connect-AzAccount

Обновление кода приложения для использования бессерверных подключений

Клиентская библиотека удостоверений Azure для каждой из следующих экосистем предоставляет DefaultAzureCredential класс, который обрабатывает проверку подлинности без пароля в Azure:

DefaultAzureCredential поддерживает несколько методов проверки подлинности. Метод, используемый, определяется во время выполнения. Такой подход позволяет приложению использовать различные способы проверки подлинности в разных средах (локальной и рабочей) без реализации кода для конкретной среды. См. приведенные выше ссылки на порядок и расположения, в которых DefaultAzureCredential будут искать учетные данные.

Чтобы использовать DefaultAzureCredential в приложении .NET, установите Azure.Identity пакет:
```
dotnet add package Azure.Identity
```
В верхней части файла добавьте следующий код:
```
using Azure.Identity;
```

Определите расположения в коде, создающие EventHubProducerClient или EventProcessorClient объект для подключения к Центры событий Azure. Обновите свой код, чтобы он соответствовал следующему примеру:

DefaultAzureCredential credential = new();
var eventHubNamespace = $"https://{namespace}.servicebus.windows.net";

// Event Hubs producer
EventHubProducerClient producerClient = new(
    eventHubNamespace,
    eventHubName,
    credential);

// Event Hubs processor
EventProcessorClient processorClient = new(
    storageClient,
    EventHubConsumerClient.DefaultConsumerGroupName,
    eventHubNamespace,
    eventHubName,
    credential);

Чтобы использовать DefaultAzureCredential в приложении Go, установите azidentity модуль:
```
go get -u github.com/Azure/azure-sdk-for-go/sdk/azidentity
```
В верхней части файла добавьте следующий код:
```
import (
    "github.com/Azure/azure-sdk-for-go/sdk/azidentity"
)
```

Определите расположения в коде, создающие ProducerClient или ConsumerClient экземпляр для подключения к Центры событий Azure. Обновите свой код, чтобы он соответствовал следующему примеру:

credential, err := azidentity.NewDefaultAzureCredential(nil)
eventHubNamespace := fmt.Sprintf(
    "https://%s.servicebus.windows.net",
    namespace)

if err != nil {
    // handle error
}

// Event Hubs producer
producerClient, err = azeventhubs.NewProducerClient(
    eventHubNamespace,
    eventHubName,
    credential,
    nil)

if err != nil {
    // handle error
}

// Event Hubs processor
processorClient, err = azeventhubs.NewConsumerClient(
    eventHubNamespace,
    eventHubName,
    azeventhubs.DefaultConsumerGroup,
    credential,
    nil)

if err != nil {
    // handle error
}

Чтобы использовать DefaultAzureCredential в приложении Java, установите azure-identity пакет с помощью одного из следующих подходов:
1. Включите BOM-файл.
2. Включите прямую зависимость.
В верхней части файла добавьте следующий код:
```
import com.azure.identity.DefaultAzureCredentialBuilder;
```

DefaultAzureCredential credential = new DefaultAzureCredentialBuilder()
    .build();
String eventHubNamespace = "https://" + namespace + ".servicebus.windows.net";

// Event Hubs producer
EventHubProducerClient producerClient = new EventHubClientBuilder()
    .credential(eventHubNamespace, eventHubName, credential)
    .buildProducerClient();

// Event Hubs processor
EventProcessorClient processorClient = new EventProcessorClientBuilder()
    .consumerGroup(consumerGroupName)
    .credential(eventHubNamespace, eventHubName, credential)
    .checkpointStore(new SampleCheckpointStore())
    .processEvent(eventContext -> {
        System.out.println(
            "Partition ID = " +
            eventContext.getPartitionContext().getPartitionId() +
            " and sequence number of event = " +
            eventContext.getEventData().getSequenceNumber());
    })
    .processError(errorContext -> {
        System.out.println(
            "Error occurred while processing events " +
            errorContext.getThrowable().getMessage());
    })
    .buildEventProcessorClient();

Чтобы использовать DefaultAzureCredential в приложении Node.js, установите @azure/identity пакет:
```
npm install --save @azure/identity
```
В верхней части файла добавьте следующий код:
```
import { DefaultAzureCredential } from "@azure/identity";
```

Определите расположения в коде, создающие EventHubProducerClient или EventHubConsumerClient объект для подключения к Центры событий Azure. Обновите свой код, чтобы он соответствовал следующему примеру:

const credential = new DefaultAzureCredential();
const eventHubNamespace = `https://${namespace}.servicebus.windows.net`;

// Event Hubs producer    
const producerClient = new EventHubProducerClient(
    eventHubNamespace,
    eventHubName,
    credential);

// Event Hubs processor
const processorClient = new EventHubConsumerClient(
    consumerGroupName,
    eventHubNamespace,
    eventHubName,
    credential
);

Чтобы использовать DefaultAzureCredential в приложении Python, установите azure-identity пакет:
```
pip install azure-identity
```
В верхней части файла добавьте следующий код:
```
from azure.identity import DefaultAzureCredential
```

credential = DefaultAzureCredential()
event_hub_namespace = "https://%s.servicebus.windows.net" % namespace

# Event Hubs producer
producer_client = EventHubProducerClient(
    fully_qualified_namespace = event_hub_namespace,
    eventhub_name = event_hub_name,
    credential = credential
)

# Event Hubs processor
processor_client = EventHubConsumerClient(
    fully_qualified_namespace = event_hub_namespace,
    eventhub_name = event_hub_name,
    consumer_group = "$Default",
    checkpoint_store = checkpoint_store,
    credential = credential
)

Обязательно обновите пространство имен центров событий в URI ваших EventHubProducerClient или EventProcessorClient объектов. Имя пространства имен можно найти на странице обзора портал Azure.

Локальный запуск приложения

После внесения этих изменений кода запустите приложение локально. Новая конфигурация должна получить локальные учетные данные, например из Azure CLI, Visual Studio или IntelliJ. Роли, назначенные пользователю в Azure, позволяют приложению подключаться к службе Azure локально.

Настройка среды размещения Azure

После настройки приложения для использования без пароля подключений и локального запуска один и тот же код может пройти проверку подлинности в службах Azure после его развертывания в Azure. В следующих разделах объясняется, как настроить развернутое приложение для подключения к Центры событий Azure с помощью управляемого удостоверения. Управляемое удостоверение предоставляет для приложений автоматически управляемое удостоверение в идентификаторе Microsoft Entra, которое используется для подключения к ресурсам, поддерживающим проверку подлинности Microsoft Entra. Дополнительные сведения об управляемых удостоверениях:

Создание управляемого удостоверения

Управляемое удостоверение, назначаемое пользователем, можно создать с помощью портал Azure или Azure CLI. Приложение использует удостоверение для проверки подлинности в других службах.

Портал Azure
Azure CLI

В верхней части портал Azure найдите управляемые удостоверения. Выберите результат управляемых удостоверений.
Нажмите кнопку " + Создать " в верхней части страницы обзора управляемых удостоверений.
На вкладке "Основные сведения" введите следующие значения:
- Подписка: выберите нужную подписку.
- Группа ресурсов: выберите нужную группу ресурсов.
- Регион: выберите ближайший регион.
- Имя: введите распознаваемое имя удостоверения, например MigrationIdentity.
В нижней части страницы выберите Review + create (Проверить и создать).
После завершения проверки проверка нажмите кнопку "Создать". Azure создает новое удостоверение, назначаемое пользователем.

После создания ресурса выберите "Перейти к ресурсу ", чтобы просмотреть сведения об управляемом удостоверении.

Используйте команду az identity create для создания управляемого удостоверения, назначаемого пользователем:

az identity create --name MigrationIdentity --resource-group <your-resource-group>

Связывание управляемого удостоверения с веб-приложением

Необходимо настроить веб-приложение для использования созданного управляемого удостоверения. Назначьте удостоверение приложению с помощью портал Azure или Azure CLI.

Выполните следующие действия в портал Azure, чтобы связать удостоверение с приложением. Эти же действия применяются к следующим службам Azure:

Azure Spring Apps
Приложения-контейнеры Azure
Виртуальные машины Azure
Служба Azure Kubernetes

Перейдите на страницу обзора веб-приложения.
Выберите удостоверение в области навигации слева.
На странице "Удостоверение" перейдите на вкладку "Назначаемый пользователем".
Нажмите кнопку +Добавить, чтобы открыть всплывающее окно добавления управляемого удостоверения, назначаемого пользователем.
Выберите подписку, используемую ранее для создания удостоверения.
Найдите идентификатор migrationIdentity по имени и выберите его из результатов поиска.
Нажмите кнопку "Добавить ", чтобы связать удостоверение с приложением.

Используйте следующие команды Azure CLI, чтобы связать удостоверение с приложением:

Получите идентификатор управляемого удостоверения, созданного с помощью команды az identity show . Скопируйте выходное значение, которое будет использоваться на следующем шаге.

az identity show --name MigrationIdentity -g <your-identity-resource-group-name> --query id

Управляемое удостоверение можно назначить экземпляру службы приложение Azure с помощью команды az webapp identity assign.

az webapp identity assign \
    --resource-group <resource-group-name> \
    --name <webapp-name>
    --identities <managed-identity-id>

Управляемое удостоверение можно назначить экземпляру Azure Spring Apps с помощью команды az spring app identity assign .

az spring app identity assign \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --service <service-name>
    --user-assigned <managed-identity-id>

Вы можете назначить управляемое удостоверение виртуальной машине с помощью команды az containerapp identity assign .

az containerapp identity assign \
    --resource-group <resource-group-name> \
    --name <app-name>
    --user-assigned <managed-identity-id>

Вы можете назначить управляемое удостоверение виртуальной машине с помощью команды az vm identity assign .

az vm identity assign \
    --resource-group <resource-group-name> \
    --name <virtual-machine-name>
    --identities <managed-identity-id>

Управляемое удостоверение можно назначить экземпляру Служба Azure Kubernetes (AKS) с помощью команды az aks update.

az aks update \
    --resource-group <resource-group-name> \
    --name <cluster-name> \
    --enable-managed-identity \
    --assign-identity <managed-identity-id> \
    --assign-kubelet-identity <managed-identity-id>

Вы можете использовать службу Подключение or для создания подключения между средой размещения вычислений Azure и целевой службой с помощью Azure CLI. Команды CLI службы Подключение or автоматически назначают соответствующую роль вашему удостоверению. Дополнительные сведения о соединителе сервисов и поддерживаемых сценариях см. на странице обзора.

Получите идентификатор клиента управляемого удостоверения, созданного с помощью az identity show команды. Скопируйте значения для использования в дальнейшем.
```
az identity show \
    --name MigrationIdentity \
    --resource-group <your-resource-group> \
    --query clientId
```

Используйте соответствующую команду CLI, чтобы установить подключение к службе:

Если вы используете службу приложение Azure, используйте команду az webapp connection:

az webapp connection create eventhub \
    --resource-group <resource-group-name> \
    --name <webapp-name> \
    --target-resource-group <target-resource-group-name> \
    --account <target-event-hub-namespace> \
    --user-identity "client-id=<your-identity-client-id>" "subs-id=<your-subscription-id>"

Если вы используете Azure Spring Apps, используйте команду az spring-cloud connection :

az spring-cloud connection create eventhub \
    --resource-group <resource-group-name> \
    --service <service-instance-name> \
    --app <app-name> \
    --deployment <deployment-name> \
    --target-resource-group <target-resource-group> \
    --account <target-event-hub-namespace> \
    --user-identity "client-id=<your-identity-client-id>" "subs-id=<your-subscription-id>"

Если вы используете приложения контейнеров Azure, используйте команду az containerapp connection :

az containerapp connection create eventhub \
    --resource-group <resource-group-name> \
    --name <containerapp-name> \
    --target-resource-group <target-resource-group> \
    --account <target-event-hub-namespace> \
    --user-identity "client-id=<your-identity-client-id>" "subs-id=<your-subscription-id>"

Назначение роли управляемому удостоверению

Затем необходимо предоставить разрешения управляемому удостоверению, созданному для доступа к концентратору событий. Предоставьте разрешения, назначив роль управляемому удостоверению, как и у локального пользователя разработки.

Перейдите на страницу обзора концентратора событий и выберите контроль доступа (IAM) в области навигации слева.
Выберите Добавить назначение ролей.
В поле поиска ролей найдите Центры событий Azure отправителя данных, которая является общей ролью, используемой для управления операциями данных для очередей. Вы можете назначить любую роль, подходящую для вашего варианта использования. Выберите Центры событий Azure отправителя данных из списка и нажмите кнопку "Далее".
На экране Добавление назначения ролей для параметра Назначение доступа для выберите Управляемое удостоверение. Затем нажмите + Выбрать членов.
В всплывающем элементе найдите управляемое удостоверение, созданное по имени, и выберите его из результатов. Нажмите кнопку "Выбрать", чтобы закрыть всплывающее меню.
Нажмите кнопку Далее несколько раз, пока не сможете нажать кнопку Проверить и назначить, чтобы завершить назначение роли.
Повторите эти действия для роли приемника данных Концентратора событий Azure.

Чтобы назначить роль на уровне ресурса с помощью Azure CLI, сначала необходимо получить идентификатор ресурса с помощью az eventhubs eventhub show команды show. Вы можете отфильтровать выходные свойства с помощью параметра --query.

az eventhubs eventhub show \
    --resource-group '<your-resource-group-name>' \
    --namespace-name '<your-event-hubs-namespace>' \
    --name '<your-event-hub-name>' \
    --query id

Скопируйте выходной идентификатор из предыдущей команды. Затем можно назначить роли с помощью команды az role assignment в Azure CLI.

az role assignment create --assignee "<user@domain>" \
    --role "Azure Event Hubs Data Receiver" \
    --scope "<your-resource-id>"

az role assignment create --assignee "<user@domain>" \
    --role "Azure Event Hubs Data Sender" \
    --scope "<your-resource-id>"

Обновление кода приложения

Необходимо настроить код приложения для поиска определенного управляемого удостоверения, созданного при развертывании в Azure. В некоторых сценариях явное задание управляемого удостоверения для приложения также предотвращает случайное обнаружение и использование других удостоверений среды.

На странице обзора управляемого удостоверения скопируйте значение идентификатора клиента в буфер обмена.
Примените следующие изменения, относящиеся к языку:
- .NET
- GO
- Java
- Node.js
- Python
DefaultAzureCredentialOptions Создайте объект и передайте его DefaultAzureCredentialв . Задайте для свойства ManagedIdentityClientId идентификатор клиента.
```
DefaultAzureCredential credential = new(
    new DefaultAzureCredentialOptions
    {
        ManagedIdentityClientId = managedIdentityClientId
    });
```
Задайте для переменной AZURE_CLIENT_ID среды идентификатор клиента управляемого удостоверения. DefaultAzureCredential считывает эту переменную среды.
Вызовите метод managedIdentityClientId. Передайте идентификатор клиента в него.
```
DefaultAzureCredential credential = new DefaultAzureCredentialBuilder()
    .managedIdentityClientId(managedIdentityClientId)
    .build();
```
Создайте объект с его свойством DefaultAzureCredentialClientIdOptions managedIdentityClientId, заданным идентификатором клиента. Передайте этот объект конструктору DefaultAzureCredential .
```
const credential = new DefaultAzureCredential({
  managedIdentityClientId
});
```
DefaultAzureCredential Задайте для параметра managed_identity_client_id конструктора идентификатор клиента.
```
credential = DefaultAzureCredential(
    managed_identity_client_id = managed_identity_client_id
)
```
Повторно разверните код в Azure после внесения этого изменения в порядок применения обновлений конфигурации.

Тестирование приложения

После развертывания обновленного кода перейдите в размещенное приложение в браузере. Приложение должно успешно подключиться к концентратору событий. Помните, что для распространения назначений ролей через среду Azure может потребоваться несколько минут. Теперь приложение настроено для запуска в локальной и в рабочей средах без необходимости управлять секретами в самом приложении.

Следующие шаги

Из этого учебника вы узнали, как выполнить переход приложения на подключение без пароля.

Дополнительные сведения о понятиях, описанных в этой статье, см. в следующих ресурсах:

Бессерверные подключения для служб Azure
Дополнительные сведения о .NET см. в статье "Начало работы с .NET" за 10 минут.