マネージド ID を使用して Azure SQL Database を Azure Spring Apps にデプロイされたアプリに接続する

[アーティクル]
10/03/2024

Note

Basic、Standard、および Enterprise プランは、2025 年 3 月中旬以降に非推奨になり、廃止期間は 3 年間になります。 Azure Container Apps に移行することをお勧めします。詳細については、「Azure Spring Apps の廃止のお知らせ」を参照してください。

Standard 従量課金と専用プランは、2024 年 9 月 30 日以降に非推奨になり、6 か月後に完全にシャットダウンされます。 Azure Container Apps に移行することをお勧めします。詳細については、「Azure Spring Apps の Standard 従量課金および専用プランを Azure Container Apps に移行する」を参照してください。

この記事の適用対象: ✔️ Java ✔️ C#

この記事の適用対象: ✔️ Basic または Standard ✔️ Enterprise

この記事では、Azure Spring Apps に展開されたアプリのマネージド ID を作成し、それを使用して Azure SQL Database にアクセスする方法について説明します。

Azure SQL Database は、クラウド向けに構築されたインテリジェントでスケーラブルなリレーショナルデータベースサービスです。パフォーマンスと持続性を最適化する、AI を活用した自動機能により、常に最新の状態に保たれます。サーバーレスコンピューティングと Hyperscale ストレージオプションを使用することで、リソースが必要に応じて自動的にスケーリングされるため、ストレージサイズやリソースの管理に煩わされずに、新しいアプリケーションの構築に専念できます。

前提条件

アクティブなサブスクリプションが含まれる Azure アカウント。無料でアカウントを作成できます。
Azure CLI バージョン 2.45.0 以上。
Spring Data JPA のチュートリアルに従って Azure SQL Database をプロビジョニングし、Java アプリでローカルで動作させること。
Azure Spring Apps のシステムで割り当てられたマネージド ID のチュートリアルに従って、マネージド ID を有効にして Azure Spring Apps にアプリをプロビジョニングすること。

マネージド ID を使用して Azure SQL Database に接続する

手動の手順に従うか、サービスコネクタを使用することで、マネージド ID を使用してアプリケーションを Azure SQL Database に接続できます。

手動で構成
Service Connector

マネージド ID にアクセス許可を付与する

SQL サーバーに接続して、次の SQL クエリを実行します。

CREATE USER [<managed-identity-name>] FROM EXTERNAL PROVIDER;
ALTER ROLE db_datareader ADD MEMBER [<managed-identity-name>];
ALTER ROLE db_datawriter ADD MEMBER [<managed-identity-name>];
ALTER ROLE db_ddladmin ADD MEMBER [<managed-identity-name>];
GO

<managed-identity-name> プレースホルダーの値はルール <service-instance-name>/apps/<app-name> に従います (例: myspringcloud/apps/sqldemo)。 Azure CLI で次のコマンドを使用して、マネージド ID 名のクエリを実行することもできます。

az ad sp show --id <identity-object-ID> --query displayName

マネージド ID を使用するように Java アプリを構成する

次の例に示すように、src/main/resources/application.properties ファイルを開き、spring.datasource.url 行の末尾に Authentication=ActiveDirectoryMSI; を追加します。 $AZ _DATABASE_NAME 変数には、必ず正しい値を使用してください。

spring.datasource.url=jdbc:sqlserver://$AZ_DATABASE_NAME.database.windows.net:1433;database=demo;encrypt=true;trustServerCertificate=false;hostNameInCertificate=*.database.windows.net;loginTimeout=30;Authentication=ActiveDirectoryMSI;

Note

サービスコネクタは、デプロイレベルで作成されます。そのため、別のデプロイが作成された場合は、接続をもう一度作成する必要があります。

次の例に示すように az spring connection create コマンドを使用して、Azure Spring Apps に展開されたアプリを、システム割り当てマネージド ID を使用して Azure SQL Database に接続するように構成します。

次のコマンドを使用して、Azure CLIの Service Connector パスワードレス拡張機能をインストールします。
```
az extension add --name serviceconnector-passwordless --upgrade
```

次のコマンドを実行してテナントに接続します。

az spring connection create sql \
    --resource-group $SPRING_APP_RESOURCE_GROUP \
    --service $SPRING_APP_SERVICE_NAME \
    --app $APP_NAME \
    --deployment $DEPLOYMENT_NAME \
    --target-resource-group $SQL_RESOURCE_GROUP \
    --server $SQL_SERVER_NAME \
    --database $DATABASE_NAME \
    --system-identity

次のコマンドを使用して、作成結果を確認します。

export CONNECTION_NAME=$(az spring connection list \
   --resource-group $SPRING_APP_RESOURCE_GROUP \
   --service $SPRING_APP_SERVICE_NAME \
   --app $APP_NAME  \
   --query '[0].name' \
   --output tsv)

az spring connection list-configuration \
   --resource-group $SPRING_APP_RESOURCE_GROUP \
   --service $SPRING_APP_SERVICE_NAME \
   --app $APP_NAME  \
   --connection $CONNECTION_NAME

アプリを構築して Azure Spring Apps にデプロイする

アプリをリビルドし、「前提条件」の 2 番目の箇条書きでプロビジョニングした Azure Spring Apps にデプロイします。これで、Spring Boot アプリケーションがマネージド ID によって認証されました。これは、Azure Spring Apps で JPA を使用して、Azure SQL Database のデータの保存と取得を行います。

次の方法で共有

マネージド ID を使用して Azure SQL Database を Azure Spring Apps にデプロイされたアプリに接続する

前提条件

マネージド ID を使用して Azure SQL Database に接続する

マネージド ID にアクセス許可を付与する

マネージド ID を使用するように Java アプリを構成する

アプリを構築して Azure Spring Apps にデプロイする

次のステップ

フィードバック

その他のリソース