Руководство. Создание бессерверного подключения к службе базы данных с помощью службы Подключение or

Статья
11/08/2023

Для доступа к службам Azure используются управляемые удостоверения без пароля. С помощью этого подхода вам не нужно вручную отслеживать секреты для управляемых удостоверений и управлять ими. Эти задачи безопасно обрабатываются Azure.

Служба Подключение or включает управляемые удостоверения в службах размещения приложений, таких как Azure Spring Apps, служба приложение Azure и приложения контейнеров Azure. Служба Подключение or также настраивает службы баз данных, такие как База данных Azure для PostgreSQL, База данных Azure для MySQL и База данных SQL Azure для принятия управляемых удостоверений.

В этом учебнике используется Azure CLI для выполнения следующих задач:

Проверьте исходную среду с помощью Azure CLI.
Создайте подключение без пароля с помощью службы Подключение or.
Используйте переменные среды или конфигурации, созданные службой Подключение or, для доступа к службе базы данных.

Необходимые компоненты

Azure CLI версии 2.48.1 или более поздней.
Учетная запись Azure с активной подпиской. Создайте бесплатную учетную запись Azure.
Приложение, развернутое в службе приложение Azure в регионе, поддерживаемом службой Подключение or.

Настройка среды

Учетная запись

Войдите с помощью Azure CLI.az login Если вы используете Azure Cloud Shell или уже вошли в систему, подтвердите проверку подлинности учетной записи.az account show

Установка расширения без пароля службы Подключение or

Установите расширение service Подключение or без пароля для Azure CLI:

az extension add --name serviceconnector-passwordless --upgrade

Создание подключения без пароля

Далее мы используем службу приложение Azure в качестве примера для создания подключения с помощью управляемого удостоверения.

Если вы используете:

Azure Spring Apps: используйте az spring connection create вместо этого. Дополнительные примеры см. в статье Подключение Azure Spring Apps в базе данных Azure.
Приложения контейнеров Azure: используйте az containerapp connection create вместо него. Дополнительные примеры см. в статье "Создание и подключение базы данных PostgreSQL с подключением к удостоверениям".

Примечание.

Если вы используете портал Azure, перейдите в колонку "Служба Подключение" службы приложение Azure, Azure Spring Apps или "Приложения контейнеров Azure" и выберите "Создать", чтобы создать подключение. Портал Azure автоматически создадут команду и активируют выполнение команды в Cloud Shell.

Следующая команда Azure CLI использует --client-type параметр. az webapp connection create postgres-flexible -h Запустите файл, чтобы получить поддерживаемые типы клиентов и выберите тот, который соответствует приложению.

az webapp connection create postgres-flexible \
    --resource-group $RESOURCE_GROUP \
    --name $APPSERVICE_NAME \
    --target-resource-group $RESOURCE_GROUP \
    --server $POSTGRESQL_HOST \
    --database $DATABASE_NAME \
    --user-identity client-id=XX subs-id=XX \
    --client-type java

az webapp connection create postgres-flexible \
    --resource-group $RESOURCE_GROUP \
    --name $APPSERVICE_NAME \
    --target-resource-group $RESOURCE_GROUP \
    --server $POSTGRESQL_HOST \
    --database $DATABASE_NAME \
    --system-identity \
    --client-type java

az webapp connection create postgres-flexible \
    --resource-group $RESOURCE_GROUP \
    --name $APPSERVICE_NAME \
    --target-resource-group $RESOURCE_GROUP \
    --server $POSTGRESQL_HOST \
    --database $DATABASE_NAME \
    --service-principal client-id=XX secret=XX\
    --client-type java

База данных Azure для MySQL . Гибкий сервер требует управляемого удостоверения, назначаемого пользователем, для включения проверки подлинности Microsoft Entra. Дополнительные сведения см. в статье Настройка проверки подлинности Microsoft Entra для База данных Azure для MySQL — гибкий сервер. Для создания управляемого удостоверения, назначаемого пользователем, можно использовать следующую команду:

USER_IDENTITY_NAME=<YOUR_USER_ASSIGNED_MANAGEMED_IDENTITY_NAME>
IDENTITY_RESOURCE_ID=$(az identity create \
    --name $USER_IDENTITY_NAME \
    --resource-group $RESOURCE_GROUP \
    --query id \
    --output tsv)

Внимание

После создания управляемого удостоверения, назначаемого пользователем, попросите глобального Администратор istrator или привилегированного Администратор istrator предоставить следующие разрешения для этого удостоверения:

User.Read.All
GroupMember.Read.All
Application.Read.All

Дополнительные сведения см. в разделе "Разрешения" проверки подлинности Active Directory.

Затем подключите приложение к базе данных MySQL с управляемым удостоверением, назначаемое системой, с помощью службы Подключение or.

Следующая команда Azure CLI использует --client-type параметр. az webapp connection create mysql-flexible -h Запустите файл, чтобы получить поддерживаемые типы клиентов и выберите тот, который соответствует приложению.

az webapp connection create mysql-flexible \
    --resource-group $RESOURCE_GROUP \
    --name $APPSERVICE_NAME \
    --target-resource-group $RESOURCE_GROUP \
    --server $MYSQL_HOST \
    --database $DATABASE_NAME \
    --user-identity client-id=XX subs-id=XX mysql-identity-id=$IDENTITY_RESOURCE_ID \
    --client-type java

az webapp connection create mysql-flexible \
    --resource-group $RESOURCE_GROUP \
    --name $APPSERVICE_NAME \
    --target-resource-group $RESOURCE_GROUP \
    --server $MYSQL_HOST \
    --database $DATABASE_NAME \
    --system-identity mysql-identity-id=$IDENTITY_RESOURCE_ID \
    --client-type java

az webapp connection create mysql-flexible \
    --resource-group $RESOURCE_GROUP \
    --name $APPSERVICE_NAME \
    --target-resource-group $RESOURCE_GROUP \
    --server $MYSQL_HOST \
    --database $DATABASE_NAME \
    --service-principal client-id=XX secret=XX mysql-identity-id=$IDENTITY_RESOURCE_ID \
    --client-type java

Следующая команда Azure CLI использует --client-type параметр. az webapp connection create sql -h Запустите файл, чтобы получить поддерживаемые типы клиентов и выберите тот, который соответствует приложению.

az webapp connection create sql \
    --resource-group $RESOURCE_GROUP \
    --name $APPSERVICE_NAME \
    --target-resource-group $RESOURCE_GROUP \
    --server $SQL_HOST \
    --database $DATABASE_NAME \
    --user-identity client-id=XX subs-id=XX \
    --client-type dotnet

az webapp connection create sql \
    --resource-group $RESOURCE_GROUP \
    --name $APPSERVICE_NAME \
    --target-resource-group $RESOURCE_GROUP \
    --server $SQL_HOST \
    --database $DATABASE_NAME \
    --system-identity \
    --client-type dotnet

az webapp connection create sql \
    --resource-group $RESOURCE_GROUP \
    --name $APPSERVICE_NAME \
    --target-resource-group $RESOURCE_GROUP \
    --server $SQL_HOST \
    --database $DATABASE_NAME \
    --service-principal client-id=XX secret=XX \
    --client-type dotnet

Эта команда Подключение or службы выполняет следующие задачи в фоновом режиме:

Включите управляемое удостоверение, назначаемое системой, или назначьте удостоверение пользователя для приложения$APPSERVICE_NAME, размещенного приложение Azure Service/Azure Spring Apps/Azure Container Apps.
Задайте администратору Microsoft Entra текущий пользователь, выполнившего вход.
Добавьте пользователя базы данных для управляемого удостоверения, назначаемого системой, назначаемого пользователем управляемого удостоверения или субъекта-службы. Предоставьте этому пользователю все права доступа к базе данных $DATABASE_NAME . Имя пользователя можно найти в строка подключения в предыдущих выходных данных команды.
Задайте конфигурации с именем AZURE_MYSQL_CONNECTIONSTRINGили AZURE_POSTGRESQL_CONNECTIONSTRINGAZURE_SQL_CONNECTIONSTRING ресурсом Azure на основе типа базы данных.
- Для Служба приложений конфигурации задаются в колонке "Приложение Параметры".
- Для Spring Apps конфигурации задаются при запуске приложения.
- Для контейнерных приложений конфигурации задаются переменными среды. Все конфигурации и их значения можно получить в колонке Подключение службы в портал Azure.

Подключение в базу данных с проверкой подлинности Microsoft Entra

После создания подключения можно использовать строка подключения в приложении для подключения к базе данных с проверкой подлинности Microsoft Entra. Например, можно использовать следующие решения для подключения к базе данных с проверкой подлинности Microsoft Entra.

Для .NET нет подключаемого модуля или библиотеки для поддержки подключений без пароля. Маркер доступа для управляемого удостоверения или субъекта-службы можно получить с помощью клиентской библиотеки, такой как Azure.Identity. Затем вы можете использовать маркер доступа в качестве пароля для подключения к базе данных. При использовании приведенного ниже кода раскомментируйте часть фрагмента кода для используемого типа проверки подлинности.

using Azure.Identity;
using Azure.Core;
using Npgsql;

// Uncomment the following lines according to the authentication type.
// For system-assigned identity.
// var sqlServerTokenProvider = new DefaultAzureCredential();

// For user-assigned identity.
// var sqlServerTokenProvider = new DefaultAzureCredential(
//     new DefaultAzureCredentialOptions
//     {
//         ManagedIdentityClientId = Environment.GetEnvironmentVariable("AZURE_POSTGRESQL_CLIENTID");
//     }
// );

// For service principal.
// var tenantId = Environment.GetEnvironmentVariable("AZURE_POSTGRESQL_TENANTID");
// var clientId = Environment.GetEnvironmentVariable("AZURE_POSTGRESQL_CLIENTID");
// var clientSecret = Environment.GetEnvironmentVariable("AZURE_POSTGRESQL_CLIENTSECRET");
// var sqlServerTokenProvider = new ClientSecretCredential(tenantId, clientId, clientSecret);

// Acquire the access token. 
AccessToken accessToken = await sqlServerTokenProvider.GetTokenAsync(
    new TokenRequestContext(scopes: new string[]
    {
        "https://ossrdbms-aad.database.windows.net/.default"
    }));

// Combine the token with the connection string from the environment variables provided by Service Connector.
string connectionString =
    $"{Environment.GetEnvironmentVariable("AZURE_POSTGRESQL_CONNECTIONSTRING")};Password={accessToken.Token}";

// Establish the connection.
using (var connection = new NpgsqlConnection(connectionString))
{
    Console.WriteLine("Opening connection using access token...");
    connection.Open();
}

Добавьте следующие зависимости в файл pom.xml :

<dependency>
    <groupId>org.postgresql</groupId>
    <artifactId>postgresql</artifactId>
    <version>42.3.6</version>
</dependency>
<dependency>
    <groupId>com.azure</groupId>
    <artifactId>azure-identity-extensions</artifactId>
    <version>1.1.5</version>
</dependency>

Получите строка подключения из переменных среды и добавьте имя подключаемого модуля для подключения к базе данных:

import java.sql.*;

String url = System.getenv("AZURE_POSTGRESQL_CONNECTIONSTRING");
String pluginName = "com.Azure.identity.extensions.jdbc.postgresql.AzurePostgresqlAuthenticationPlugin";  
Connection connection = DriverManager.getConnection(url + "&authenticationPluginClassName=" + pluginName);

Дополнительные сведения см. на следующих ресурсах:

Для приложения Spring при создании подключения с параметром --client-type springbootservice Подключение or задает свойства spring.datasource.azure.passwordless-enabledspring.datasource.urlи spring.datasource.username Azure Spring Apps.

Обновите приложение после учебника Привязка База данных Azure для PostgreSQL к приложению в Azure Spring Apps. Не забудьте удалить spring.datasource.password свойство конфигурации, если оно было задано ранее и добавить правильные зависимости в приложение Spring.

Дополнительные руководства см. в статье Использование Spring Data JDBC с База данных Azure для PostgreSQL и учебниками. Развертывание приложения Spring в Azure Spring Apps с помощью без пароля подключения к базе данных Azure.

Установите зависимости.

pip install azure-identity
pip install psycopg2-binary

Получение маркера доступа с помощью azure-identity библиотеки и использование маркера в качестве пароля. Получение сведений о подключении из переменных среды, добавленных службой Подключение or. При использовании приведенного ниже кода раскомментируйте часть фрагмента кода для используемого типа проверки подлинности.

from azure.identity import DefaultAzureCredential
import psycopg2

# Uncomment the following lines according to the authentication type.
# For system-assigned identity.
# cred = DefaultAzureCredential()

# For user-assigned identity.
# managed_identity_client_id = os.getenv('AZURE_POSTGRESQL_CLIENTID')
# cred = ManagedIdentityCredential(client_id=managed_identity_client_id)   

# For service principal.
# tenant_id = os.getenv('AZURE_POSTGRESQL_TENANTID')
# client_id = os.getenv('AZURE_POSTGRESQL_CLIENTID')
# client_secret = os.getenv('AZURE_POSTGRESQL_CLIENTSECRET')
# cred = ClientSecretCredential(tenant_id=tenant_id, client_id=client_id, client_secret=client_secret)

# Acquire the access token
accessToken = cred.get_token('https://ossrdbms-aad.database.windows.net/.default')

# Combine the token with the connection string from the environment variables added by Service Connector to establish the connection.
conn_string = os.getenv('AZURE_POSTGRESQL_CONNECTIONSTRING')
conn = psycopg2.connect(conn_string + ' password=' + accessToken.token)

Установите зависимости.
```
pip install azure-identity
```

Получение маркера доступа с помощью библиотеки с помощью azure-identity переменных среды, добавленных службой Подключение or. При использовании приведенного ниже кода раскомментируйте часть фрагмента кода для используемого типа проверки подлинности.

from azure.identity import DefaultAzureCredential
import psycopg2

# Uncomment the following lines according to the authentication type.
# For system-assigned identity.
# credential = DefaultAzureCredential()

# For user-assigned identity.
# managed_identity_client_id = os.getenv('AZURE_POSTGRESQL_CLIENTID')
# cred = ManagedIdentityCredential(client_id=managed_identity_client_id)    

# For service principal.
# tenant_id = os.getenv('AZURE_POSTGRESQL_TENANTID')
# client_id = os.getenv('AZURE_POSTGRESQL_CLIENTID')
# client_secret = os.getenv('AZURE_POSTGRESQL_CLIENTSECRET')
# cred = ClientSecretCredential(tenant_id=tenant_id, client_id=client_id, client_secret=client_secret)

# Acquire the access token.
accessToken = cred.get_token('https://ossrdbms-aad.database.windows.net/.default')

В файле параметров получите сведения о базе данных Azure PostgreSQL из переменных среды, добавленных службой Подключение or service. Используйте accessToken полученный на предыдущем шаге для доступа к базе данных.

# In your setting file, eg. settings.py
host = os.getenv('AZURE_POSTGRESQL_HOST')
user = os.getenv('AZURE_POSTGRESQL_USER')
password = accessToken.token # this is accessToken acquired from above step.
database = os.getenv('AZURE_POSTGRESQL_NAME')

DATABASES = {
    'default': {
        'ENGINE': 'django.db.backends.postgresql_psycopg2',
        'NAME': database,
        'USER': user,
        'PASSWORD': password,
        'HOST': host,
        'PORT': '5432',  # Port is 5432 by default 
        'OPTIONS': {'sslmode': 'require'},
    }
}

Установите зависимости.

go get github.com/lib/pq
go get "github.com/Azure/azure-sdk-for-go/sdk/azidentity"
go get "github.com/Azure/azure-sdk-for-go/sdk/azcore"

В коде получите маркер доступа с помощьюazidentity, а затем используйте его в качестве пароля для подключения к Azure PostgreSQL, а также сведения о подключении, предоставляемые службой Подключение or. При использовании приведенного ниже кода раскомментируйте часть фрагмента кода для используемого типа проверки подлинности.

import (
"database/sql"
"fmt"
"os"

"context"

"github.com/Azure/azure-sdk-for-go/sdk/azcore/policy"
"github.com/Azure/azure-sdk-for-go/sdk/azidentity"

 _ "github.com/lib/pq"
)    

// Uncomment the following lines according to the authentication type.
// For system-assigned identity.
// cred, err := azidentity.NewDefaultAzureCredential(nil)

// For user-assigned identity.
// clientid := os.Getenv("AZURE_POSTGRESQL_CLIENTID")
// azidentity.ManagedIdentityCredentialOptions.ID := clientid
// options := &azidentity.ManagedIdentityCredentialOptions{ID: clientid}
// cred, err := azidentity.NewManagedIdentityCredential(options)

// For service principal.
// clientid := os.Getenv("AZURE_POSTGRESQL_CLIENTID")
// tenantid := os.Getenv("AZURE_POSTGRESQL_TENANTID")
// clientsecret := os.Getenv("AZURE_POSTGRESQL_CLIENTSECRET")
// cred, err := azidentity.NewClientSecretCredential(tenantid, clientid, clientsecret, &azidentity.ClientSecretCredentialOptions{})

if err != nil {
    // error handling
}

// Acquire the access token
ctx, cancel := context.WithTimeout(context.Background(), 30*time.Second)
token, err := cred.GetToken(ctx, policy.TokenRequestOptions{
    Scopes: []string("https://ossrdbms-aad.database.windows.net/.default"),
})

// Combine the token with the connection string from the environment variables added by Service Connector to establish the connection.
connectionString := os.Getenv("AZURE_POSTGRESQL_CONNECTIONSTRING") + " password=" + token.Token

conn, err := sql.Open("postgres", connectionString)
 if err != nil {
 	panic(err)
 }

 conn.Close()

Установите зависимости.

npm install --save @azure/identity
npm install --save pg

В коде получите маркер доступа с помощью @azure/identity и сведения о подключении PostgreSQL из переменных среды, добавленных службой Подключение or service. Объедините их для установления соединения. При использовании приведенного ниже кода раскомментируйте часть фрагмента кода для используемого типа проверки подлинности.

import { DefaultAzureCredential, ClientSecretCredential } from "@azure/identity";
const { Client } = require('pg');

// Uncomment the following lines according to the authentication type.  
// For system-assigned identity.
// const credential = new DefaultAzureCredential();

// For user-assigned identity.
// const clientId = process.env.AZURE_POSTGRESQL_CLIENTID;
// const credential = new DefaultAzureCredential({
//     managedIdentityClientId: clientId
// });

// For service principal.
// const tenantId = process.env.AZURE_POSTGRESQL_TENANTID;
// const clientId = process.env.AZURE_POSTGRESQL_CLIENTID;
// const clientSecret = process.env.AZURE_POSTGRESQL_CLIENTSECRET;

// Acquire the access token.
var accessToken = await credential.getToken('https://ossrdbms-aad.database.windows.net/.default');

// Use the token and the connection information from the environment variables added by Service Connector to establish the connection.
(async () => {
const client = new Client({
    host: process.env.AZURE_POSTGRESQL_HOST,
    user: process.env.AZURE_POSTGRESQL_USER,
    password: accesstoken.token,
    database: process.env.AZURE_POSTGRESQL_DATABASE,
    port: Number(process.env.AZURE_POSTGRESQL_PORT) ,
    ssl: process.env.AZURE_POSTGRESQL_SSL
});
await client.connect();

await client.end();
})();

Для PHP нет подключаемого модуля или библиотеки для подключений без пароля. Маркер доступа для управляемого удостоверения или субъекта-службы можно получить и использовать в качестве пароля для подключения к базе данных. Маркер доступа можно получить с помощью REST API Azure.

В коде получите маркер доступа с помощью REST API с любимой библиотекой.

Для назначаемых пользователем удостоверений и назначаемых системой удостоверений Служба приложений и контейнерных приложений предоставляет внутреннюю конечную точку REST для получения маркеров для управляемых удостоверений путем определения двух переменных среды: IDENTITY_ENDPOINT и IDENTITY_HEADER. Дополнительные сведения см . в справочнике по конечной точке REST. Получите маркер доступа, выполнив HTTP-запрос GET к конечной точке удостоверения и используя https://ossrdbms-aad.database.windows.net его как resource в запросе. Для удостоверения, назначаемого пользователем, добавьте идентификатор клиента из переменных среды, добавленных службой Подключение or в запросе.

Сведения о том, как получить маркер доступа, см. в запросе маркера доступа между службами Azure AD. Сделайте запрос POST область https://ossrdbms-aad.database.windows.net/.default и с идентификатором клиента, идентификатором клиента и секретом клиента субъекта-службы из переменных среды, добавленных службой Подключение or.
Объедините маркер доступа и sting подключения PostgreSQL из переменных среды, добавленных службой Подключение or службы для установления подключения.
```
<?php
$conn_string = sprintf("%s password=", getenv('AZURE_POSTGRESQL_CONNECTIONSTRING'), $access_token);
$dbconn = pg_connect($conn_string);
?>
```

Для Ruby нет подключаемого модуля или библиотеки для подключений без пароля. Маркер доступа для управляемого удостоверения или субъекта-службы можно получить и использовать в качестве пароля для подключения к базе данных. Маркер доступа можно получить с помощью REST API Azure.

Установите зависимости.
```
gem install pg
```

В коде получите маркер доступа с помощью REST API и сведений о подключении PostgreSQL из переменных среды, добавленных службой Подключение or service. Объедините их для установления соединения. При использовании приведенного ниже кода раскомментируйте часть фрагмента кода для используемого типа проверки подлинности.

Служба приложений и приложения-контейнеры предоставляют внутреннюю конечную точку REST для получения маркеров для управляемых удостоверений. Дополнительные сведения см . в справочнике по конечной точке REST.

require 'pg'
require 'dotenv/load'
require 'net/http'
require 'json'

# Uncomment the following lines according to the authentication type.
# For system-assigned identity.
# uri = URI(ENV['IDENTITY_ENDPOINT'] + '?resource=https://ossrdbms-aad.database.windows.net&api-version=2019-08-01')
# res = Net::HTTP.get_response(uri, {'X-IDENTITY-HEADER' => ENV['IDENTITY_HEADER'], 'Metadata' => 'true'})  

# For user-assigned identity.
# uri = URI(ENV[IDENTITY_ENDPOINT] + '?resource=https://ossrdbms-aad.database.windows.net&api-version=2019-08-01&client-id=' + ENV['AZURE_POSTGRESQL_CLIENTID'])
# res = Net::HTTP.get_response(uri, {'X-IDENTITY-HEADER' => ENV['IDENTITY_HEADER'], 'Metadata' => 'true'})  

# For service principal
# uri = URI('https://login.microsoftonline.com/' + ENV['AZURE_POSTGRESQL_TENANTID'] + '/oauth2/v2.0/token')
# params = {
#     :grant_type => 'client_credentials',
#     :client_id: => ENV['AZURE_POSTGRESQL_CLIENTID'],
#     :client_secret => ENV['AZURE_POSTGRESQL_CLIENTSECRET'],
#     :scope => 'https://ossrdbms-aad.database.windows.net/.default'
# }
# req = Net::HTTP::POST.new(uri)
# req.set_form_data(params)
# req['Content-Type'] = 'application/x-www-form-urlencoded'
# res = Net::HTTP.start(uri.hostname, uri.port, :use_ssl => true) do |http|
#   http.request(req)

parsed = JSON.parse(res.body)
access_token = parsed["access_token"]

# Use the token and the connection string from the environment variables added by Service Connector to establish the connection.
conn = PG::Connection.new(
    connection_string: ENV['AZURE_POSTGRESQL_CONNECTIONSTRING'] + " password="  + access_token,
)

Дополнительные сведения о получении маркера доступа для субъекта-службы см. в запросе маркера доступа к службе Azure AD.

Затем, если вы создали таблицы и последовательности в гибком сервере PostgreSQL перед использованием службы Подключение or, необходимо подключиться как владелец и предоставить разрешение, созданное <aad-username> службой Подключение or. Имя пользователя из строка подключения или конфигурации, заданное службой Подключение or, должно выглядеть следующим образомaad_<connection name>. Если вы используете портал Azure, нажмите кнопку развертывания рядом с столбцом Service Type и получите значение. Если вы используете Azure CLI, проверка configurations в выходных данных команды CLI.

Затем выполните запрос, чтобы предоставить разрешение

az extension add --name rdbms-connect

az postgres flexible-server execute -n <postgres-name> -u <owner-username> -p "<owner-password>" -d <database-name> --querytext "GRANT ALL PRIVILEGES ON ALL TABLES IN SCHEMA public TO \"<aad-username>\";GRANT ALL PRIVILEGES ON ALL SEQUENCES IN SCHEMA public TO \"<aad username>\";"

И <owner-username><owner-password> является владельцем существующей таблицы, которая может предоставлять разрешения другим пользователям. <aad-username>— это пользователь, созданный службой Подключение or. Замените их фактическим значением.

Проверьте результат с помощью команды:

az postgres flexible-server execute -n <postgres-name> -u <owner-username> -p "<owner-password>" -d <database-name> --querytext "SELECT distinct(table_name) FROM information_schema.table_privileges WHERE grantee='<aad-username>' AND table_schema='public';" --output table

using Azure.Core;
using Azure.Identity;
using MySqlConnector;

// Uncomment the following lines according to the authentication type.
// For system-assigned managed identity.
// var credential = new DefaultAzureCredential();

// For user-assigned managed identity.
// var credential = new DefaultAzureCredential(
//     new DefaultAzureCredentialOptions
//     {
//         ManagedIdentityClientId = Environment.GetEnvironmentVariable("AZURE_MYSQL_CLIENTID");
//     });

// For service principal.
// var tenantId = Environment.GetEnvironmentVariable("AZURE_MYSQL_TENANTID");
// var clientId = Environment.GetEnvironmentVariable("AZURE_MYSQL_CLIENTID");
// var clientSecret = Environment.GetEnvironmentVariable("AZURE_MYSQL_CLIENTSECRET");
// var credential = new ClientSecretCredential(tenantId, clientId, clientSecret);

var tokenRequestContext = new TokenRequestContext(
    new[] { "https://ossrdbms-aad.database.windows.net/.default" });
AccessToken accessToken = await credential.GetTokenAsync(tokenRequestContext);
// Open a connection to the MySQL server using the access token.
string connectionString =
    $"{Environment.GetEnvironmentVariable("AZURE_MYSQL_CONNECTIONSTRING")};Password={accessToken.Token}";

using var connection = new MySqlConnection(connectionString);
Console.WriteLine("Opening connection using access token...");
await connection.OpenAsync();

// do something

Добавьте следующие зависимости в файл pom.xml :

<dependency>
    <groupId>mysql</groupId>
    <artifactId>mysql-connector-java</artifactId>
    <version>8.0.30</version>
</dependency>
<dependency>
    <groupId>com.azure</groupId>
    <artifactId>azure-identity-extensions</artifactId>
    <version>1.1.5</version>
</dependency>

Получите строка подключения из переменной среды и добавьте имя подключаемого модуля для подключения к базе данных:

String url = System.getenv("AZURE_MYSQL_CONNECTIONSTRING");  
String pluginName = "com.azure.identity.extensions.jdbc.mysql.AzureMysqlAuthenticationPlugin";
Connection connection = DriverManager.getConnection(url + "&defaultAuthenticationPlugin=" +
    pluginName + "&authenticationPlugins=" + pluginName);

Дополнительные сведения см. в статье "Использование Java и JDBC с База данных Azure для MySQL — гибкий сервер".

Обновите приложение после руководства Подключение экземпляр База данных Azure для MySQL в приложение в Azure Spring Apps. Не забудьте удалить spring.datasource.password свойство конфигурации, если оно было задано ранее и добавить правильные зависимости в приложение Spring.

Дополнительные руководства см. в статье Use Spring Data JDBC with База данных Azure для MySQL

Установка зависимостей

pip install azure-identity
# install Connector/Python https://dev.mysql.com/doc/connector-python/en/connector-python-installation.html
pip install mysql-connector-python

Проверка подлинности с помощью azure-identity маркера доступа через библиотеку и получение сведений о подключении из переменной среды, добавленной службой Подключение or. При использовании приведенного ниже кода раскомментируйте часть фрагмента кода для используемого типа проверки подлинности.

from azure.identity import ManagedIdentityCredential, ClientSecretCredential
import mysql.connector
import os

# Uncomment the following lines according to the authentication type.
# For system-assigned managed identity.
# cred = ManagedIdentityCredential()    

# For user-assigned managed identity.
# managed_identity_client_id = os.getenv('AZURE_MYSQL_CLIENTID')
# cred = ManagedIdentityCredential(client_id=managed_identity_client_id)

# For service principal
# tenant_id = os.getenv('AZURE_MYSQL_TENANTID')
# client_id = os.getenv('AZURE_MYSQL_CLIENTID')
# client_secret = os.getenv('AZURE_MYSQL_CLIENTSECRET')
# cred = ClientSecretCredential(tenant_id=tenant_id, client_id=client_id, client_secret=client_secret)

# acquire token
accessToken = cred.get_token('https://ossrdbms-aad.database.windows.net/.default')

# open connect to Azure MySQL with the access token.
host = os.getenv('AZURE_MYSQL_HOST')
database = os.getenv('AZURE_MYSQL_NAME')
user = os.getenv('AZURE_MYSQL_USER')
password = accessToken.token

cnx = mysql.connector.connect(user=user,
                              password=password,
                              host=host,
                              database=database)
cnx.close()

Установите зависимости.
```
pip install azure-identity
```

Получение маркера доступа через azure-identity библиотеку с переменными среды, добавленными службой Подключение or. При использовании приведенного ниже кода раскомментируйте часть фрагмента кода для используемого типа проверки подлинности.

from azure.identity import ManagedIdentityCredential, ClientSecretCredential
import os

# Uncomment the following lines according to the authentication type.
# system-assigned managed identity
# cred = ManagedIdentityCredential()

# user-assigned managed identity
# managed_identity_client_id = os.getenv('AZURE_MYSQL_CLIENTID')
# cred = ManagedIdentityCredential(client_id=managed_identity_client_id)

# service principal
# tenant_id = os.getenv('AZURE_MYSQL_TENANTID')
# client_id = os.getenv('AZURE_MYSQL_CLIENTID')
# client_secret = os.getenv('AZURE_MYSQL_CLIENTSECRET')
# cred = ClientSecretCredential(tenant_id=tenant_id, client_id=client_id, client_secret=client_secret)

# acquire token
accessToken = cred.get_token('https://ossrdbms-aad.database.windows.net/.default')

В файле параметров получите сведения о базе данных Azure MySQL из переменных среды, добавленных службой Подключение or службы. Используйте accessToken полученный на предыдущем шаге для доступа к базе данных.

# in your setting file, eg. settings.py
host = os.getenv('AZURE_MYSQL_HOST')
database = os.getenv('AZURE_MYSQL_NAME')
user = os.getenv('AZURE_MYSQL_USER')
password = accessToken.token # this is accessToken acquired from above step.

DATABASES = {
    'default': {
        'ENGINE': 'django.db.backends.mysql',
        'NAME': database,
        'USER': user,
        'PASSWORD': password,
        'HOST': host
    }
}

Установите зависимости.

go get "github.com/go-sql-driver/mysql"
go get "github.com/Azure/azure-sdk-for-go/sdk/azidentity"
go get "github.com/Azure/azure-sdk-for-go/sdk/azcore"

В коде получите маркер доступа, azidentityа затем подключитесь к Azure MySQL с помощью маркера. При использовании приведенного ниже кода раскомментируйте часть фрагмента кода для используемого типа проверки подлинности.

import (
  "context"

  "github.com/Azure/azure-sdk-for-go/sdk/azcore/policy"
  "github.com/Azure/azure-sdk-for-go/sdk/azidentity"
  "github.com/go-sql-driver/mysql"
)


func main() {

  // Uncomment the following lines according to the authentication type.
  // for system-assigned managed identity
  // cred, err := azidentity.NewDefaultAzureCredential(nil)

  // for user-assigned managed identity
  // clientid := os.Getenv("AZURE_MYSQL_CLIENTID")
  // azidentity.ManagedIdentityCredentialOptions.ID := clientid
  // options := &azidentity.ManagedIdentityCredentialOptions{ID: clientid}
  // cred, err := azidentity.NewManagedIdentityCredential(options)

  // for service principal
  // clientid := os.Getenv("AZURE_MYSQL_CLIENTID")
  // tenantid := os.Getenv("AZURE_MYSQL_TENANTID")
  // clientsecret := os.Getenv("AZURE_MYSQL_CLIENTSECRET")
  // cred, err := azidentity.NewClientSecretCredential(tenantid, clientid, clientsecret, &azidentity.ClientSecretCredentialOptions{})

  if err != nil {
  }

  ctx, cancel := context.WithTimeout(context.Background(), 30*time.Second)
  token, err := cred.GetToken(ctx, policy.TokenRequestOptions{
    Scopes: []string("https://ossrdbms-aad.database.windows.net/.default"),
  })

  connectionString := os.Getenv("AZURE_MYSQL_CONNECTIONSTRING") + ";Password=" + token.Token
  db, err := sql.Open("mysql", connectionString)
}

Установка зависимостей

npm install --save @azure/identity
npm install --save mysql2

Получение маркера доступа с помощью @azure/identity и сведений о базе данных Azure MySQL из переменных среды, добавленных службой Подключение or службы. При использовании приведенного ниже кода раскомментируйте часть фрагмента кода для используемого типа проверки подлинности.

import { DefaultAzureCredential,ClientSecretCredential } from "@azure/identity";

const mysql = require('mysql2');

// Uncomment the following lines according to the authentication type.
// for system-assigned managed identity
// const credential = new DefaultAzureCredential();

// for user-assigned managed identity
// const clientId = process.env.AZURE_MYSQL_CLIENTID;
// const credential = new DefaultAzureCredential({
//    managedIdentityClientId: clientId
// });

// for service principal
// const tenantId = process.env.AZURE_MYSQL_TENANTID;
// const clientId = process.env.AZURE_MYSQL_CLIENTID;
// const clientSecret = process.env.AZURE_MYSQL_CLIENTSECRET;
// const credential = new ClientSecretCredential(tenantId, clientId, clientSecret);

// acquire token
var accessToken = await credential.getToken('https://ossrdbms-aad.database.windows.net/.default');

const connection = mysql.createConnection({
  host: process.env.AZURE_MYSQL_HOST,
  user: process.env.AZURE_MYSQL_USER,
  password: accessToken.token,
  database: process.env.AZURE_MYSQL_DATABASE,
  port: process.env.AZURE_MYSQL_PORT,
  ssl: process.env.AZURE_MYSQL_SSL
});

connection.connect((err) => {
  if (err) {
    console.error('Error connecting to MySQL database: ' + err.stack);
    return;
  }
  console.log('Connected to MySQL database');
});

Дополнительные примеры кода см. в Подключение базах данных Azure из Служба приложений без секретов с помощью управляемого удостоверения.

Установите зависимости.

dotnet add package Microsoft.Data.SqlClient

Получите База данных SQL Azure строка подключения из переменной среды, добавленной службой Подключение or.
```
using Microsoft.Data.SqlClient;

string connectionString = 
    Environment.GetEnvironmentVariable("AZURE_SQL_CONNECTIONSTRING")!;

using var connection = new SqlConnection(connectionString);
connection.Open();
```
Дополнительные сведения см. в разделе "Использование проверки подлинности управляемого удостоверения Active Directory".

Добавьте следующие зависимости в файл pom.xml :

<dependency>
    <groupId>com.microsoft.sqlserver</groupId>
    <artifactId>mssql-jdbc</artifactId>
    <version>10.2.0.jre11</version>
</dependency>
<dependency>
    <groupId>com.azure</groupId>
    <artifactId>azure-identity</artifactId>
    <version>1.7.0</version>
</dependency>

Получите База данных SQL Azure строка подключения из переменной среды, добавленной службой Подключение or.

import java.sql.Connection;
import java.sql.ResultSet;
import java.sql.Statement;

import com.microsoft.sqlserver.jdbc.SQLServerDataSource;

public class Main {
    public static void main(String[] args) {
        // AZURE_SQL_CONNECTIONSTRING should be one of the following:
        // For system-assigned managed identity: "jdbc:sqlserver://{SQLName}.database.windows.net:1433;databaseName={SQLDbName};authentication=ActiveDirectoryMSI;"
        // For user-assigned managed identity: "jdbc:sqlserver://{SQLName}.database.windows.net:1433;databaseName={SQLDbName};msiClientId={UserAssignedMiClientId};authentication=ActiveDirectoryMSI;"
        // For service principal: "jdbc:sqlserver://{SQLName}.database.windows.net:1433;databaseName={SQLDbName};user={ServicePrincipalClientId};password={spSecret};authentication=ActiveDirectoryServicePrincipal;"
        String connectionString = System.getenv("AZURE_SQL_CONNECTIONSTRING");
        SQLServerDataSource ds = new SQLServerDataSource();
        ds.setURL(connectionString);
        try (Connection connection = ds.getConnection()) {
            System.out.println("Connected successfully.");
        } catch (SQLException e) {
            e.printStackTrace();
        }
    }
}

Дополнительные сведения см. в статье Подключение базы данных Azure из Служба приложений без секретов с помощью управляемого удостоверения.

Если вы создаете подключение с параметром --client-type springbootSpring, служба Подключение or задает свойства spring.datasource.url с форматом jdbc:sqlserver://<sql-server>.database.windows.net:1433;databaseName=<sql-db>;authentication=ActiveDirectoryMSI; значений в Azure Spring Apps.

Обновите приложение после руководства по переносу приложения Java для использования бессерверных подключений с База данных SQL Azure. Не забудьте удалить spring.datasource.password свойство конфигурации, если оно было задано ранее и добавить правильные зависимости.

Установите зависимости.
```
python -m pip install pyodbc
```

Получите конфигурации подключения База данных SQL Azure из переменной среды, добавленной службой Подключение or. При использовании приведенного ниже кода раскомментируйте часть фрагмента кода для используемого типа проверки подлинности. Если вы используете приложения контейнеров Azure в качестве вычислительной службы или строка подключения в фрагменте кода не работает, см. статью "Миграция приложения Python для использования бессерверных подключений с База данных SQL Azure для подключения к База данных SQL Azure с помощью маркера доступа".

import os
import pyodbc

server = os.getenv('AZURE_SQL_SERVER')
port = os.getenv('AZURE_SQL_PORT')
database = os.getenv('AZURE_SQL_DATABASE')
authentication = os.getenv('AZURE_SQL_AUTHENTICATION')

# Uncomment the following lines according to the authentication type.
# For system-assigned managed identity.
# connString = f'Driver={{ODBC Driver 18 for SQL Server}};Server=tcp:{server},{port};Database={database};Authentication={authentication};Encrypt=yes;TrustServerCertificate=no;Connection Timeout=30'

# For user-assigned managed identity.
# clientID = os.getenv('AZURE_SQL_USER')
# connString = f'Driver={{ODBC Driver 18 for SQL Server}};Server=tcp:{server},{port};Database={database};UID={clientID};Authentication={authentication};Encrypt=yes;TrustServerCertificate=no;Connection Timeout=30'

# For service principal.
# user = os.getenv('AZURE_SQL_USER')
# password = os.getenv('AZURE_SQL_PASSWORD')
# connString = f'Driver={{ODBC Driver 18 for SQL Server}};Server=tcp:{server},{port};Database={database};UID={user};PWD={password};Authentication={authentication};Encrypt=yes;TrustServerCertificate=no;Connection Timeout=30'

conn = pyodbc.connect(connString)

Установите зависимости.
```
npm install mssql
```

Получите конфигурации подключения База данных SQL Azure из переменных среды, добавленных службой Подключение or. При использовании приведенного ниже кода раскомментируйте часть фрагмента кода для используемого типа проверки подлинности.

import sql from 'mssql';

const server = process.env.AZURE_SQL_SERVER;
const database = process.env.AZURE_SQL_DATABASE;
const port = parseInt(process.env.AZURE_SQL_PORT);
const authenticationType = process.env.AZURE_SQL_AUTHENTICATIONTYPE;

// Uncomment the following lines according to the authentication type.
// For system-assigned managed identity.
// const config = {
//     server,
//     port,
//     database,
//     authentication: {
//         type: authenticationType
//     },
//     options: {
//        encrypt: true
//     }
// };  

// For user-assigned managed identity.
// const clientId = process.env.AZURE_SQL_CLIENTID;
// const config = {
//     server,
//     port,
//     database,
//     authentication: {
//         type: authenticationType
//     },
//     options: {
//         encrypt: true,
//         clientId: clientId
//     }
// };  

// For service principal.
// const clientId = process.env.AZURE_SQL_CLIENTID;
// const clientSecret = process.env.AZURE_SQL_CLIENTSECRET;
// const tenantId = process.env.AZURE_SQL_TENANTID;
// const config = {
//     server,
//     port,
//     database,
//     authentication: {
//         type: authenticationType
//     },
//     options: {
//         encrypt: true,
//         clientId: clientId,
//         clientSecret: clientSecret,
//         tenantId: tenantId
//     }
// };  

this.poolconnection = await sql.connect(config);

Дополнительные сведения см . на домашней странице клиентского программирования в Microsoft SQL Server.

Развертывание приложения в службе размещения Azure

Наконец, разверните приложение в службе размещения Azure. Эта исходная служба может использовать управляемое удостоверение для подключения к целевой базе данных в Azure.

Для службы приложение Azure можно развернуть код приложения с помощью az webapp deploy команды. Дополнительные сведения см. в разделе Краткое руководство. Развертывание веб-приложения ASP.NET.

Затем вы можете проверка журнал или вызвать приложение, чтобы узнать, может ли он подключиться к базе данных Azure успешно.

Устранение неполадок

Разрешение

Если возникают ошибки, связанные с разрешениями, убедитесь, что пользователь Azure CLI вошел в систему с помощью команды az account show. Убедитесь, что вы входите в систему с помощью правильной учетной записи. Затем убедитесь, что у вас есть следующие разрешения, которые могут потребоваться для создания бессерверного подключения к службе Подключение or.

Разрешение	Операция
`Microsoft.DBforPostgreSQL/flexibleServers/read`	Требуется для получения сведений о сервере базы данных
`Microsoft.DBforPostgreSQL/flexibleServers/write`	Требуется для включения проверки подлинности Microsoft Entra для сервера базы данных
`Microsoft.DBforPostgreSQL/flexibleServers/firewallRules/write`	Требуется для создания правила брандмауэра в случае блокировки локального IP-адреса
`Microsoft.DBforPostgreSQL/flexibleServers/firewallRules/delete`	Требуется для отменить изменения правила брандмауэра, созданного службой Подключение or, чтобы избежать проблем с безопасностью
`Microsoft.DBforPostgreSQL/flexibleServers/administrators/read`	Требуется проверка, если пользователь входа Azure CLI является администратором Microsoft Entra сервера базы данных
`Microsoft.DBforPostgreSQL/flexibleServers/administrators/write`	Требуется, чтобы добавить пользователя входа Azure CLI в качестве администратора сервера базы данных Microsoft Entra

Разрешение	Операция
`Microsoft.DBforMySQL/flexibleServers/read`	Требуется для получения сведений о сервере базы данных
`Microsoft.DBforMySQL/flexibleServers/write`	Требуется для добавления предоставленного управляемого удостоверения, назначаемого пользователем, на сервер базы данных
`Microsoft.DBforMySQL/flexibleServers/firewallRules/write`	Требуется для создания правила брандмауэра в случае блокировки локального IP-адреса
`Microsoft.DBforMySQL/flexibleServers/firewallRules/delete`	Требуется для отменить изменения правила брандмауэра, созданного службой Подключение or, чтобы избежать проблем с безопасностью
`Microsoft.DBforMySQL/flexibleServers/administrators/read`	Требуется проверка, если пользователь входа Azure CLI является администратором Microsoft Entra сервера базы данных
`Microsoft.DBforMySQL/flexibleServers/administrators/write`	Требуется, чтобы добавить пользователя входа Azure CLI в качестве администратора сервера базы данных Microsoft Entra

Разрешение	Операция
`Microsoft.Sql/servers/read`	Требуется для получения сведений о сервере базы данных
`Microsoft.Sql/servers/firewallRules/write`	Требуется для создания правила брандмауэра в случае блокировки локального IP-адреса
`Microsoft.Sql/servers/firewallRules/delete`	Требуется для отменить изменения правила брандмауэра, созданного службой Подключение or, чтобы избежать проблем с безопасностью
`Microsoft.Sql/servers/administrators/read`	Требуется проверка, если пользователь входа Azure CLI является администратором Microsoft Entra сервера базы данных
`Microsoft.Sql/servers/administrators/write`	Требуется, чтобы добавить пользователя входа Azure CLI в качестве администратора сервера базы данных Microsoft Entra

В некоторых случаях разрешения не требуются. Например, если пользователь, прошедший проверку подлинности Azure CLI, уже является Администратор istrator Active Directory на СЕРВЕРе SQL Server, у вас нет Microsoft.Sql/servers/administrators/write разрешения.

Microsoft Entra ID

Если возникает ошибка ERROR: AADSTS530003: Your device is required to be managed to access this resource., обратитесь к ИТ-отделу за помощью при присоединении этого устройства к идентификатору Microsoft Entra. Дополнительные сведения см. в разделе "Присоединенные к Microsoft Entra устройства".

Служба Подключение or должна получить доступ к идентификатору Microsoft Entra для получения сведений о вашей учетной записи и управляемом удостоверении службы размещения. Следующую команду можно использовать для проверка, если устройство может получить доступ к идентификатору Microsoft Entra:

az ad signed-in-user show

Если вы не входите в систему в интерактивном режиме, вы также можете получить ошибку и Interactive authentication is needed. Чтобы устранить ошибку, войдите в систему с помощью az login команды.

Сетевое соединение

Если сервер базы данных находится в виртуальная сеть, убедитесь, что среда, в которой выполняется команда Azure CLI, может получить доступ к серверу в виртуальная сеть.

Если сервер базы данных запрещает общедоступный доступ, убедитесь, что среда, которая выполняет команду Azure CLI, может получить доступ к серверу через частную конечную точку.

Следующие шаги

Дополнительные сведения о подключениях службы Подключение и без пароля см. в следующих ресурсах:

Документация по службам Подключение or

Бессерверные подключения для служб Azure

Руководство. Создание бессерверного подключения к службе базы данных с помощью службы Подключение or

Необходимые компоненты

Настройка среды

Учетная запись

Установка расширения без пароля службы Подключение or

Создание подключения без пароля

Подключение в базу данных с проверкой подлинности Microsoft Entra

Развертывание приложения в службе размещения Azure

Устранение неполадок

Разрешение

Microsoft Entra ID

Сетевое соединение

Следующие шаги

Дополнительные ресурсы