Краткое руководство. Загрузка секретов приложений с помощью Key Vault

Эта статья относится к:❌ Basic/Standard ✔️ Enterprise

В этом кратком руководстве показано, как безопасно загрузить секреты с помощью Azure Key Vault для приложений, использующих план Azure Spring Apps Enterprise.

Каждое приложение имеет свойства, которые подключают его к своей среде и вспомогательным службам. К этим службам относятся такие ресурсы, как базы данных, средства ведения журнала и мониторинга, платформы обмена сообщениями и т. д. Для каждого ресурса требуется способ поиска и доступа к нему, часто в виде URL-адресов и учетных данных. Эта информация часто защищена законом и должна храниться в секрете для защиты данных клиентов. В Azure Spring Apps можно настроить приложения для непосредственной загрузки этих секретов в память из Key Vault с помощью управляемых удостоверений и управления доступом на основе ролей Azure.

Необходимые компоненты

• Учетная запись Azure с активной подпиской. Создайте учетную запись бесплатно .
• Изучите и выполните раздел "Требования" плана Enterprise в Azure Marketplace.
• Azure CLI версии 2.45.0 или более поздней.
• Git.
• jq
• Расширение плана Azure Spring Apps Enterprise. Используйте следующую команду, чтобы удалить предыдущие версии и установить последнее расширение плана Enterprise. Если вы ранее установили spring-cloud расширение, удалите его, чтобы избежать несоответствий конфигурации и версий.

  az extension add --upgrade --name spring
  az extension remove --name spring-cloud
  

• Выполните действия, описанные в следующих кратких руководствах.
  • Создание и развертывание приложений в Azure Spring Apps с помощью плана Enterprise.
  • Интеграция с База данных Azure для PostgreSQL и Кэш Azure для Redis

Подготовка Key Vault и хранение секретов

В следующих инструкциях описано, как создать Key Vault и безопасно сохранить секреты приложения.

1. Создайте переменные для хранения имен ресурсов с помощью следующих команд. Обязательно замените заполнители своими значениями.

   export RESOURCE_GROUP=<resource-group-name>
   export KEY_VAULT_NAME=<key-vault-name>
   export POSTGRES_SERVER_NAME=<postgres-server-name>
   export POSTGRES_USERNAME=<postgres-username>
   export POSTGRES_PASSWORD=<postgres-password>
   export REDIS_CACHE_NAME=<redis-cache-name>
   export AZURE_SPRING_APPS_SERVICE_INSTANCE_NAME=<Azure-Spring-Apps-service-instance-name>
   

2. Используйте следующую команду, чтобы создать Key Vault для хранения секретов приложения:

   az keyvault create \
       --resource-group ${RESOURCE_GROUP} \
       --name ${KEY_VAULT_NAME}
   

3. Используйте следующую команду, чтобы сохранить полное имя сервера базы данных в Key Vault:

   az keyvault secret set \
       --vault-name ${KEY_VAULT_NAME} \
       --name "POSTGRES-SERVER-NAME" \
       --value "${POSTGRES_SERVER_NAME}.postgres.database.azure.com"
   

4. Используйте следующую команду, чтобы сохранить имя базы данных в Key Vault для приложения службы каталогов:

   az keyvault secret set \
       --vault-name ${KEY_VAULT_NAME} \
       --name "CATALOG-DATABASE-NAME" \
       --value "acmefit_catalog"
   

5. Используйте следующие команды для хранения учетных данных для входа в базу данных в Key Vault:

   az keyvault secret set \
       --vault-name ${KEY_VAULT_NAME} \
       --name "POSTGRES-LOGIN-NAME" \
       --value "${POSTGRES_USERNAME}"
   
   az keyvault secret set \
       --vault-name ${KEY_VAULT_NAME} \
       --name "POSTGRES-LOGIN-PASSWORD" \
       --value "${POSTGRES_PASSWORD}"
   

6. Используйте следующую команду, чтобы сохранить базу данных строка подключения в Key Vault для приложения службы заказов:

   az keyvault secret set \
       --vault-name ${KEY_VAULT_NAME} \
       --name "ConnectionStrings--OrderContext" \
       --value "Server=${POSTGRES_SERVER_NAME};Database=acmefit_order;Port=5432;Ssl Mode=Require;User Id=${POSTGRES_USERNAME};Password=${POSTGRES_PASSWORD};"
   

7. Используйте следующие команды, чтобы получить свойства подключения Redis и сохранить их в Key Vault:

   export REDIS_HOST=$(az redis show \
       --resource-group ${RESOURCE_GROUP} \
       --name ${REDIS_CACHE_NAME} | jq -r '.hostName')
   
   export REDIS_PORT=$(az redis show \
       --resource-group ${RESOURCE_GROUP} \
       --name ${REDIS_CACHE_NAME} | jq -r '.sslPort')
   
   export REDIS_PRIMARY_KEY=$(az redis list-keys \
       --resource-group ${RESOURCE_GROUP} \
       --name ${REDIS_CACHE_NAME} | jq -r '.primaryKey')
   
   az keyvault secret set \
       --vault-name ${KEY_VAULT_NAME} \
       --name "CART-REDIS-CONNECTION-STRING" \
       --value "rediss://:${REDIS_PRIMARY_KEY}@${REDIS_HOST}:${REDIS_PORT}/0"
   

8. Если вы настроили единый вход, используйте следующую команду, чтобы сохранить универсальный код ресурса (JWK) JSON Web Key (JWK) в Key Vault:

   az keyvault secret set \
       --vault-name ${KEY_VAULT_NAME} \
       --name "SSO-PROVIDER-JWK-URI" \
       --value <jwk-uri>
   

Предоставление приложениям доступа к секретам в Key Vault

В следующих инструкциях описывается предоставление доступа к секретам Key Vault для приложений, развернутых в плане Azure Spring Apps Enterprise.

1. Используйте следующую команду, чтобы включить назначенное системой удостоверение для приложения службы корзины:

   az spring app identity assign \
       --resource-group ${RESOURCE_GROUP} \
       --name cart-service \
       --service ${AZURE_SPRING_APPS_SERVICE_INSTANCE_NAME}
   

2. Используйте следующие команды, чтобы задать политику get list доступа в Key Vault для приложения службы корзины:

   export CART_SERVICE_APP_IDENTITY=$(az spring app show \
       --resource-group ${RESOURCE_GROUP} \
       --name cart-service \
       --service ${AZURE_SPRING_APPS_SERVICE_INSTANCE_NAME} | jq -r '.identity.principalId')
   
   az keyvault set-policy \
       --name ${KEY_VAULT_NAME} \
       --object-id ${CART_SERVICE_APP_IDENTITY} \
       --resource-group ${RESOURCE_GROUP} \
       --secret-permissions get list
   

3. Используйте следующую команду, чтобы включить назначенное системой удостоверение для приложения службы заказов:

   az spring app identity assign \
       --resource-group ${RESOURCE_GROUP} \
       --name order-service \
       --service ${AZURE_SPRING_APPS_SERVICE_INSTANCE_NAME}
   

4. Используйте следующие команды, чтобы задать политику get list доступа в Key Vault для приложения службы заказов:

   export ORDER_SERVICE_APP_IDENTITY=$(az spring app show \
       --resource-group ${RESOURCE_GROUP} \
       --name order-service \
       --service ${AZURE_SPRING_APPS_SERVICE_INSTANCE_NAME} | jq -r '.identity.principalId')
   
   az keyvault set-policy \
       --name ${KEY_VAULT_NAME} \
       --object-id ${ORDER_SERVICE_APP_IDENTITY} \
       --resource-group ${RESOURCE_GROUP} \
       --secret-permissions get list
   

5. Используйте следующую команду, чтобы включить удостоверение, назначенное системой для приложения службы каталогов:

   az spring app identity assign \
       --resource-group ${RESOURCE_GROUP} \
       --name catalog-service \
       --service ${AZURE_SPRING_APPS_SERVICE_INSTANCE_NAME}
   

6. Используйте следующие команды, чтобы задать политику get list доступа в Key Vault для приложения службы каталогов:

   export CATALOG_SERVICE_APP_IDENTITY=$(az spring app show \
       --resource-group ${RESOURCE_GROUP} \
       --name catalog-service \
       --service ${AZURE_SPRING_APPS_SERVICE_INSTANCE_NAME} | jq -r '.identity.principalId')
   
   az keyvault set-policy \
       --name ${KEY_VAULT_NAME} \
       --object-id ${CATALOG_SERVICE_APP_IDENTITY} \
       --resource-group ${RESOURCE_GROUP} \
       --secret-permissions get list
   

7. Если вы настроили единый вход, используйте следующую команду, чтобы включить удостоверение, назначенное системой для приложения службы удостоверений:

   az spring app identity assign \
       --resource-group ${RESOURCE_GROUP} \
       --name identity-service \
       --service ${AZURE_SPRING_APPS_SERVICE_INSTANCE_NAME}
   

8. Если вы настроили единый вход, используйте следующие команды, чтобы задать политику get list доступа в Key Vault для приложения службы удостоверений:

   export IDENTITY_SERVICE_APP_IDENTITY=$(az spring app show \
       --resource-group ${RESOURCE_GROUP} \
       --name identity-service \
       --service ${AZURE_SPRING_APPS_SERVICE_INSTANCE_NAME} | jq -r '.identity.principalId')
   
   az keyvault set-policy \
       --name ${KEY_VAULT_NAME} \
       --object-id ${IDENTITY_SERVICE_APP_IDENTITY} \
       --resource-group ${RESOURCE_GROUP} \
       --secret-permissions get list
   

Обновление приложений для загрузки секретов Key Vault

После предоставления доступа к секретам из Key Vault выполните следующие действия, чтобы обновить приложения для использования новых значений секретов в их конфигурациях.

1. Используйте следующую команду, чтобы получить универсальный код ресурса (URI) для Key Vault, который будет использоваться в обновлениях приложений:

   export KEYVAULT_URI=$(az keyvault show --name ${KEY_VAULT_NAME} --resource-group ${RESOURCE_GROUP} | jq -r '.properties.vaultUri')
   

2. Используйте следующую команду, чтобы получить URL-адрес для Spring Cloud Gateway, который будет использоваться в обновлениях приложений:

   export GATEWAY_URL=$(az spring gateway show \
       --resource-group ${RESOURCE_GROUP} \
       --service ${AZURE_SPRING_APPS_SERVICE_INSTANCE_NAME} | jq -r '.properties.url')
   

3. Используйте следующую команду, чтобы удалить привязку соединителя службы к приложению службы заказов и гибкому серверу База данных Azure для PostgreSQL:

   az spring connection delete \
       --resource-group ${RESOURCE_GROUP} \
       --app order-service \
       --connection order_service_db \
       --service ${AZURE_SPRING_APPS_SERVICE_INSTANCE_NAME} \
       --deployment default \
       --yes
   

4. Используйте следующую команду, чтобы обновить среду службы заказов с помощью URI для доступа к Key Vault:

   az spring app update \
       --resource-group ${RESOURCE_GROUP} \
       --name order-service \
       --service ${AZURE_SPRING_APPS_SERVICE_INSTANCE_NAME} \
       --env "ConnectionStrings__KeyVaultUri=${KEYVAULT_URI}" "AcmeServiceSettings__AuthUrl=https://${GATEWAY_URL}" "DatabaseProvider=Postgres"
   

5. Используйте следующую команду, чтобы удалить привязку соединителя службы к приложению службы каталогов и гибкому серверу База данных Azure для PostgreSQL:

   az spring connection delete \
       --resource-group ${RESOURCE_GROUP} \
       --app catalog-service \
       --connection catalog_service_db \
       --service ${AZURE_SPRING_APPS_SERVICE_INSTANCE_NAME} \
       --deployment default \
       --yes
   

6. Используйте следующую команду, чтобы обновить среду службы каталогов и шаблон конфигурации для доступа к Key Vault:

   az spring app update \
       --resource-group ${RESOURCE_GROUP} \
       --name catalog-service \
       --service ${AZURE_SPRING_APPS_SERVICE_INSTANCE_NAME} \
       --config-file-pattern catalog/default,catalog/key-vault \
       --env "SPRING_CLOUD_AZURE_KEYVAULT_SECRET_PROPERTY_SOURCES_0_ENDPOINT=${KEYVAULT_URI}" "SPRING_CLOUD_AZURE_KEYVAULT_SECRET_PROPERTY_SOURCES_0_NAME='acme-fitness-store-vault'" "SPRING_PROFILES_ACTIVE=default,key-vault"
   

7. Используйте следующую команду, чтобы удалить привязку соединителя службы к приложению службы корзины и Кэш Azure для Redis:

   az spring connection delete \
       --resource-group ${RESOURCE_GROUP} \
       --app cart-service \
       --connection cart_service_cache \
       --service ${AZURE_SPRING_APPS_SERVICE_INSTANCE_NAME} \
       --deployment default \
       --yes
   

8. Чтобы обновить среду службы корзины, используйте следующую команду, чтобы получить доступ к Key Vault:

   az spring app update \
       --resource-group ${RESOURCE_GROUP} \
       --name cart-service \
       --service ${AZURE_SPRING_APPS_SERVICE_INSTANCE_NAME} \
       --env "CART_PORT=8080" "KEYVAULT_URI=${KEYVAULT_URI}" "AUTH_URL=https://${GATEWAY_URL}"
   

9. Если вы настроили единый вход, используйте следующую команду, чтобы обновить среду службы удостоверений и шаблон конфигурации для доступа к Key Vault:

   az spring app update \
       --resource-group ${RESOURCE_GROUP} \
       --name identity-service \
       --service ${AZURE_SPRING_APPS_SERVICE_INSTANCE_NAME} \
       --config-file-pattern identity/default,identity/key-vault \
       --env "SPRING_CLOUD_AZURE_KEYVAULT_SECRET_PROPERTY_SOURCES_0_ENDPOINT=${KEYVAULT_URI}" "SPRING_CLOUD_AZURE_KEYVAULT_SECRET_PROPERTY_SOURCES_0_NAME='acme-fitness-store-vault'" "SPRING_PROFILES_ACTIVE=default,key-vault"
   

10. Чтобы получить URL-адрес Шлюза Spring Cloud, используйте следующие команды:

    export GATEWAY_URL=$(az spring gateway show \
        --resource-group ${RESOURCE_GROUP} \
        --service ${AZURE_SPRING_APPS_SERVICE_INSTANCE_NAME} | jq -r '.properties.url')
    
    echo "https://${GATEWAY_URL}"
    

    Вы можете открыть выходной URL-адрес в браузере, чтобы изучить обновленное приложение.

Очистка ресурсов

Если вы планируете продолжить работу с последующими краткими руководствами и статьями, эти ресурсы можно не удалять. Удалите ненужную группу ресурсов. Ресурсы в ней будут также удалены. Чтобы удалить группу ресурсов с помощью Azure CLI, используйте следующие команды:

echo "Enter the Resource Group name:" &&
read resourceGroupName &&
az group delete --name $resourceGroupName &&
echo "Press [ENTER] to continue ..."

Следующие шаги

Перейдите к любому из следующих необязательных кратких руководств:

• Настройка единого входа
• Интеграция Базы данных Azure для PostgreSQL и Кэша Azure для Redis
• Комплексных мониторинг приложений
• Установка ограничений частоты запросов
• Автоматизация развертываний
• Интеграция Azure OpenAI