Kurz: Připojení k databázi PostgreSQL z Java Tomcat App Service bez tajných kódů pomocí spravované identity

  • Článek

služba Aplikace Azure service poskytuje vysoce škálovatelnou službu pro samoobslužné opravy webů v Azure. Poskytuje také spravovanou identitu pro vaši aplikaci, což je řešení pro zabezpečení přístupu ke službě Azure Database for PostgreSQL a dalším službám Azure. Spravované identity ve službě App Service usnadňují zabezpečení vaší aplikace odstraněním tajných kódů z vaší aplikace, jako jsou přihlašovací údaje v proměnných prostředí. V tomto kurzu se naučíte:

  • Vytvořte databázi PostgreSQL.
  • Nasaďte ukázkovou aplikaci do služby Aplikace Azure Service ve službě Tomcat pomocí balíčku WAR.
  • Nakonfigurujte webovou aplikaci Tomcat tak, aby používala ověřování Microsoft Entra s databází PostgreSQL.
  • Připojte se k databázi PostgreSQL pomocí spravované identity pomocí konektoru služby.

Pokud ještě nemáte předplatné Azure, vytvořte si bezplatný účet Azure před tím, než začnete.

Požadavky

Naklonujte ukázkovou aplikaci a připravte úložiště.

Spuštěním následujících příkazů v terminálu naklonujte ukázkové úložiště a nastavte prostředí ukázkové aplikace.

git clone https://github.com/Azure-Samples/Passwordless-Connections-for-Java-Apps
cd Passwordless-Connections-for-Java-Apps/Tomcat/

Vytvoření Azure Database for PostgreSQL

Podle těchto kroků vytvořte ve svém předplatném Službu Azure Database for Postgres. Aplikace Tomcat se připojí k této databázi a uloží její data při spuštění a zachová stav aplikace bez ohledu na to, kde aplikaci spouštíte.

  1. Přihlaste se k Azure CLI a volitelně nastavte své předplatné, pokud máte více než jedno připojené k přihlašovacím údajům.

    az login
az account set --subscription <subscription-ID>

  2. Vytvořte skupinu prostředků Azure, která označuje název skupiny prostředků.

    export RESOURCE_GROUP=<resource-group-name>
export LOCATION=eastus

az group create --name $RESOURCE_GROUP --location $LOCATION

  3. Vytvoření serveru Azure Database for PostgreSQL Server se vytvoří pomocí účtu správce, ale nepoužívá se, protože k provádění úloh správy použijeme účet správce Microsoft Entra.

    export POSTGRESQL_ADMIN_USER=azureuser
# PostgreSQL admin access rights won't be used because Azure AD authentication is leveraged to administer the database.
export POSTGRESQL_ADMIN_PASSWORD=<admin-password>
export POSTGRESQL_HOST=<postgresql-host-name>

# Create a PostgreSQL server.
az postgres flexible-server create \
    --resource-group $RESOURCE_GROUP \
    --name $POSTGRESQL_HOST \
    --location $LOCATION \
    --admin-user $POSTGRESQL_ADMIN_USER \
    --admin-password $POSTGRESQL_ADMIN_PASSWORD \
    --public-access 0.0.0.0 \
    --sku-name Standard_D2s_v3

  4. Vytvořte databázi pro aplikaci.

    export DATABASE_NAME=checklist

az postgres flexible-server db create \
    --resource-group $RESOURCE_GROUP \
    --server-name $POSTGRESQL_HOST \
    --database-name $DATABASE_NAME

Nasazení aplikace do služby App Service

Pomocí těchto kroků sestavte soubor WAR a nasaďte ho do služby Aplikace Azure Service v Tomcatu pomocí balíčku WAR.

  1. Ukázková aplikace obsahuje pom.xml soubor, který může vygenerovat soubor WAR. Spuštěním následujícího příkazu sestavte aplikaci.

    mvn clean package -f pom.xml

  2. Vytvořte prostředek služby Aplikace Azure v Linuxu pomocí Tomcat 9.0.

    export APPSERVICE_PLAN=<app-service-plan>
export APPSERVICE_NAME=<app-service-name>
# Create an App Service plan
az appservice plan create \
    --resource-group $RESOURCE_GROUP \
    --name $APPSERVICE_PLAN \
    --location $LOCATION \
    --sku B1 \
    --is-linux

# Create an App Service resource.
az webapp create \
    --resource-group $RESOURCE_GROUP \
    --name $APPSERVICE_NAME \
    --plan $APPSERVICE_PLAN \
    --runtime "TOMCAT:10.0-java11"

  3. Nasaďte balíček WAR do služby App Service.

    az webapp deploy \
    --resource-group $RESOURCE_GROUP \
    --name $APPSERVICE_NAME \
    --src-path target/app.war \
    --type war

Připojení databáze Postgres k připojení identit

Dále připojte databázi pomocí konektoru služby.

Nainstalujte rozšíření bez hesla konektoru služby pro Azure CLI:

az extension add --name serviceconnector-passwordless --upgrade

Pak připojte aplikaci k databázi Postgres pomocí spravované identity přiřazené systémem pomocí konektoru služby.

Pokud chcete toto připojení vytvořit, spusťte příkaz az webapp connection create .

az webapp connection create postgres-flexible \
    --resource-group $RESOURCE_GROUP \
    --name $APPSERVICE_NAME \
    --target-resource-group $RESOURCE_GROUP \
    --server $POSTGRESQL_HOST \
    --database $DATABASE_NAME \
    --system-identity \
    --client-type java

Tento příkaz vytvoří připojení mezi vaší webovou aplikací a serverem PostgreSQL a spravuje ověřování prostřednictvím spravované identity přiřazené systémem.

Dále aktualizujte nastavení aplikace a přidejte modul plug-in v připojovací řetězec

export AZURE_POSTGRESQL_CONNECTIONSTRING=$(\
    az webapp config appsettings list \
        --resource-group $RESOURCE_GROUP \
        --name $APPSERVICE_NAME \
    | jq -c -r '.[] \
    | select ( .name == "AZURE_POSTGRESQL_CONNECTIONSTRING" ) \
    | .value')

az webapp config appsettings set \
    --resource-group $RESOURCE_GROUP \
    --name $APPSERVICE_NAME \
    --settings 'CATALINA_OPTS=-DdbUrl="'"${AZURE_POSTGRESQL_CONNECTIONSTRING}"'&authenticationPluginClassName=com.azure.identity.extensions.jdbc.postgresql.AzurePostgresqlAuthenticationPlugin"'

Otestování ukázkové webové aplikace

Spuštěním následujícího příkazu otestujte aplikaci.

export WEBAPP_URL=$(az webapp show \
    --resource-group $RESOURCE_GROUP \
    --name $APPSERVICE_NAME \
    --query defaultHostName \
    --output tsv)

# Create a list
curl -X POST -H "Content-Type: application/json" -d '{"name": "list1","date": "2022-03-21T00:00:00","description": "Sample checklist"}' https://${WEBAPP_URL}/checklist

# Create few items on the list 1
curl -X POST -H "Content-Type: application/json" -d '{"description": "item 1"}' https://${WEBAPP_URL}/checklist/1/item
curl -X POST -H "Content-Type: application/json" -d '{"description": "item 2"}' https://${WEBAPP_URL}/checklist/1/item
curl -X POST -H "Content-Type: application/json" -d '{"description": "item 3"}' https://${WEBAPP_URL}/checklist/1/item

# Get all lists
curl https://${WEBAPP_URL}/checklist

# Get list 1
curl https://${WEBAPP_URL}/checklist/1

Vyčištění prostředků

V předchozích krocích jste vytvořili prostředky Azure ve skupině prostředků. Pokud předpokládáte, že už tyto prostředky nebudete potřebovat, odstraňte skupinu prostředků spuštěním následujícího příkazu ve službě Cloud Shell:

az group delete --name myResourceGroup

Spuštění tohoto příkazu může trvat přibližně minut.

Další kroky

Přečtěte si další informace o spouštění aplikací v Javě na App Service v Linuxu v příručce pro vývojáře.

Příručka pro vývojáře v Javě v App Service Linux

Zjistěte, jak zabezpečit aplikaci pomocí vlastní domény a certifikátu.

 Zabezpečení s využitím vlastní domény a certifikátu