Azure Container Apps'te gizli dizileri yönetme

Makale
10/26/2023

Azure Container Apps uygulamanızın hassas yapılandırma değerlerini güvenle depolamasına olanak tanır. Gizli diziler uygulama düzeyinde tanımlandıktan sonra güvenli değerler kapsayıcı uygulamalarınızdaki düzeltmeler için kullanılabilir. Ayrıca, ölçek kuralları içinde güvenli değerlere başvurabilirsiniz. Dapr ile gizli dizileri kullanma hakkında bilgi için bkz. Dapr tümleştirmesi.

Gizli dizilerin kapsamı, uygulamanın belirli herhangi bir düzeltmesi dışında, uygulama olarak belirlenir.
Gizli dizileri eklemek, kaldırmak veya değiştirmek yeni düzeltmeler oluşturmaz.
Her uygulama düzeltmesi bir veya birden fazla gizli diziye başvurabilir.
Birden çok düzeltme aynı gizli dizilere başvurabilir.

Güncelleştirilmiş veya silinmiş bir gizli dizi, uygulamanızdaki mevcut düzeltmeleri otomatik olarak etkilemez. Gizli dizi güncelleştirildiğinde veya silindiğinde, değişikliklere iki yoldan biriyle karşılık verebilirsiniz:

Yeni düzeltme dağıtma.
Mevcut düzeltmeyi yeniden başlatma.

Gizli diziyi silmeden önce, artık eski gizli diziye başvurmayan yeni bir düzeltme dağıtın. Ardından gizli diziye başvuran tüm düzeltmeleri devre dışı bırakın.

Gizli dizileri tanımlama

Gizli diziler bir dizi ad/değer çifti olarak tanımlanır. Her gizli anahtarın değeri doğrudan veya Azure Key Vault'ta depolanan bir gizli diziye başvuru olarak belirtilir.

Container Apps'te gizli dizi değerini depolama

Gizli dizileri portal aracılığıyla veya farklı komut satırı seçenekleriyle tanımladığınızda.

Azure portalında kapsayıcı uygulamanıza gidin.
Ayarlar bölümünde Gizli Diziler'i seçin.
Ekle'yi seçin.
Gizli dizi bağlamı ekle bölmesine aşağıdaki bilgileri girin:
- Ad: Gizli dizinin adı.
- Tür: Container Apps Gizli Dizisini seçin.
- Değer: Gizli anahtarın değeri.
Ekle'yi seçin.

Gizli diziler bölümünde uygulama düzeyinde resources.properties.configuration.secrets tanımlanır.

"resources": [
{
    ...
    "properties": {
        "configuration": {
            "secrets": [
            {
                "name": "queue-connection-string",
                "value": "<MY-CONNECTION-STRING-VALUE>"
            }],
        }
    }
}

Burada, dizide secrets kuyruk depolama hesabına bir bağlantı dizesi bildirilir. Bu örnekte değerini bağlantı dizesi değeriyle değiştirebilirsiniz<MY-CONNECTION-STRING-VALUE>.

Kapsayıcı uygulaması oluşturduğunuzda, gizli diziler parametresi kullanılarak --secrets tanımlanır.

parametresi, boşlukla ayrılmış bir ad/değer çifti kümesini kabul eder.
Her çift bir eşittir işaretiyle (= ) sınırlandırılır.

az containerapp create \
  --resource-group "my-resource-group" \
  --name queuereader \
  --environment "my-environment-name" \
  --image demos/queuereader:v1 \
  --secrets "queue-connection-string=<CONNECTION_STRING>"

Burada, bir kuyruk depolama hesabına bağlantı dizesi parametresinde --secrets bildirilir. değerini bağlantı dizesi değeriyle değiştirin<CONNECTION_STRING>.

Kapsayıcı uygulaması oluşturduğunuzda, gizli diziler parametresinden ConfigurationSecrets geçirilen bir veya daha fazla Gizli dizi nesnesi olarak tanımlanır.

$EnvId = (Get-AzContainerAppManagedEnv -ResourceGroupName my-resource-group -EnvName my-environment-name).Id
$TemplateObj = New-AzContainerAppTemplateObject -Name queuereader -Image demos/queuereader:v1
$SecretObj = New-AzContainerAppSecretObject -Name queue-connection-string -Value $QueueConnectionString

$ContainerAppArgs = @{
    Name = 'my-resource-group'
    Location = '<location>'
    ResourceGroupName = 'my-resource-group'
    ManagedEnvironmentId = $EnvId
    TemplateContainer = $TemplateObj
    ConfigurationSecret = $SecretObj
}

New-AzContainerApp @ContainerAppArgs

Burada, kuyruk depolama hesabına bir bağlantı dizesi bildirilir. değeri queue-connection-string adlı $QueueConnectionStringbir ortam değişkeninden gelir.

Key Vault'tan başvuru gizli dizisi

Gizli dizi tanımladığınızda, Azure Key Vault'ta depolanan bir gizli diziye başvuru oluşturursunuz. Container Apps, Key Vault'tan gizli dizi değerini otomatik olarak alır ve kapsayıcı uygulamanızda gizli dizi olarak kullanılabilir hale getirir.

Key Vault'tan bir gizli diziye başvurmak için önce kapsayıcı uygulamanızda yönetilen kimliği etkinleştirmeniz ve anahtar kasası gizli dizilerine kimlik erişimi vermeniz gerekir.

Kapsayıcı uygulamanızda yönetilen kimliği etkinleştirmek için bkz . Yönetilen kimlikler.

Key Vault gizli dizilerine erişim vermek için, oluşturduğunuz yönetilen kimlik için Key Vault'ta bir erişim ilkesi oluşturun. Bu ilkede "Get" gizli dizi iznini etkinleştirin.

Azure portalında kapsayıcı uygulamanıza gidin.
Ayarlar bölümünde Kimlik'i seçin.
Sistem tarafından atanan sekmesinde Açık'ı seçin.
Sistem tarafından atanan yönetilen kimliği etkinleştirmek için Kaydet'i seçin.
Ayarlar bölümünde Gizli Diziler'i seçin.
Ekle'yi seçin.
Gizli dizi bağlamı ekle bölmesine aşağıdaki bilgileri girin:
- Ad: Gizli dizinin adı.
- Tür: Key Vault başvurusu'na tıklayın.
- Key Vault gizli dizi URL'si: Key Vault'taki gizli dizinizin URI'si.
- Kimlik: Key Vault'tan gizli diziyi almak için kullanılacak kimlik.
Ekle'yi seçin.

Gizli diziler bölümünde uygulama düzeyinde resources.properties.configuration.secrets tanımlanır.

"resources": [
{
    ...
    "properties": {
        "configuration": {
            "secrets": [
            {
                "name": "queue-connection-string",
                "keyVaultUrl": "<KEY-VAULT-SECRET-URI>",
                "identity": "system"
            }],
        }
    }
}

Burada, dizide secrets kuyruk depolama hesabına bir bağlantı dizesi bildirilir. Değeri, belirtilen kimlik kullanılarak Key Vault'tan otomatik olarak alınır. Kullanıcı tarafından yönetilen kimlik kullanmak için değerini kimliğin kaynak kimliğiyle değiştirin system .

değerini Key Vault'taki gizli dizinizin URI'siyle değiştirin <KEY-VAULT-SECRET-URI> .

Kapsayıcı uygulaması oluşturduğunuzda, gizli diziler parametresi kullanılarak --secrets tanımlanır.

parametresi, boşlukla ayrılmış bir ad/değer çifti kümesini kabul eder.
Her çift bir eşittir işaretiyle (= ) sınırlandırılır.
Key Vault başvurusu belirtmek için biçimini <SECRET_NAME>=keyvaultref:<KEY_VAULT_SECRET_URI>,identityref:<MANAGED_IDENTITY_ID>kullanın. Örneğin, queue-connection-string=keyvaultref:https://mykeyvault.vault.azure.net/secrets/queuereader,identityref:/subscriptions/ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0/resourcegroups/my-resource-group/providers/Microsoft.ManagedIdentity/userAssignedIdentities/my-identity.

az containerapp create \
  --resource-group "my-resource-group" \
  --name queuereader \
  --environment "my-environment-name" \
  --image demos/queuereader:v1 \
  --user-assigned "<USER_ASSIGNED_IDENTITY_ID>" \
  --secrets "queue-connection-string=keyvaultref:<KEY_VAULT_SECRET_URI>,identityref:<USER_ASSIGNED_IDENTITY_ID>"

Burada, bir kuyruk depolama hesabına bağlantı dizesi parametresinde --secrets bildirilir. değerini Key Vault'taki gizli dizinizin URI'siyle değiştirin <KEY_VAULT_SECRET_URI> . değerini, kullanıcı tarafından atanan kimliğin kaynak kimliğiyle değiştirin <USER_ASSIGNED_IDENTITY_ID> . Sistem tarafından atanan kimlik için kaynak kimliği yerine kullanın system .

Not

Kullanıcı tarafından atanan kimliğin Key Vault'ta gizli diziyi okuma erişimi olmalıdır. Sistem tarafından atanan kimlik, kapsayıcı uygulaması oluşturulana kadar kullanılamadığından create komutuyla kullanılamaz.

Not

Azure Güvenlik Duvarı ile UDR kullanıyorsanız, güvenlik duvarınızın izin verme listesine hizmet etiketini ve login.microsoft.com FQDN'sini eklemeniz AzureKeyVault gerekir. Hangi ek hizmet etiketlerine ihtiyacınız olduğunu belirlemek için Azure Güvenlik Duvarı ile UDR yapılandırma bölümüne bakın.

Key Vault gizli dizi URI'si ve gizli dizi döndürme

Key Vault gizli dizi URI'sinin aşağıdaki biçimlerden birinde olması gerekir:

https://myvault.vault.azure.net/secrets/mysecret/ec96f02080254f109c51a1f14cdb1931: Gizli dizinin belirli bir sürümüne başvurun.
https://myvault.vault.azure.net/secrets/mysecret: Gizli dizinin en son sürümüne başvurun.

URI'de bir sürüm belirtilmezse, uygulama anahtar kasasında bulunan en son sürümü kullanır. Daha yeni sürümler kullanıma sunulduğunda, uygulama 30 dakika içinde en son sürümü otomatik olarak alır. Ortam değişkenindeki gizli diziye başvuran tüm etkin düzeltmeler, yeni değeri almak için otomatik olarak yeniden başlatılır.

Gizli dizinin hangi sürümünün kullanıldığına ilişkin tam denetim için URI'deki sürümü belirtin.

Ortam değişkenlerinde gizli dizilere başvurma

Gizli dizileri tanımlama bölümünde açıklandığı gibi uygulama düzeyinde gizli dizileri bildirdikten sonra, kapsayıcı uygulamanızda yeni bir düzeltme oluşturduğunuzda bunlara ortam değişkenlerinde başvurabilirsiniz. Ortam değişkeni bir gizli diziye başvurduğunda, değeri gizli dizide tanımlanan değerle doldurulur.

Örnek

Aşağıdaki örnekte, uygulama düzeyinde bir bağlantı dizesi bildiren bir uygulama gösterilmektedir. Bu bağlantıya kapsayıcı ortam değişkeninde ve ölçek kuralında başvurulur.

Kapsayıcı uygulamanızda bir gizli dizi tanımladıktan sonra, yeni bir düzeltme oluşturduğunuzda bir ortam değişkeninde bu gizli diziye başvurabilirsiniz.

Azure portalında kapsayıcı uygulamanıza gidin.
Düzeltme yönetimi sayfasını açın.
Yeni düzeltme oluştur'u seçin.
Yeni düzeltme oluştur ve dağıt sayfasında bir kapsayıcı seçin.
Ortam değişkenleri bölümünde Ekle'yi seçin.
Aşağıdaki bilgileri girin:
- Ad: Ortam değişkeninin adı.
- Kaynak: Gizli diziye başvur'a tıklayın.
- Değer: Başvurmak istediğiniz gizli diziyi seçin.
Kaydet'i seçin.
Yeni düzeltmeyi oluşturmak için Oluştur'u seçin.

Bu örnekte, uygulama bağlantı dizesi olarak queue-connection-string bildirilir ve yapılandırma bölümlerinde başka bir yerde kullanılabilir duruma gelir.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-08-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "location": {
            "type": "String"
        },
        "environment_id": {
            "type": "String"
        },
        "queue-connection-string": {
            "type": "String"
        }
    },
    "variables": {},
    "resources": [
    {
        "name": "queuereader",
        "type": "Microsoft.App/containerApps",
        "apiVersion": "2022-03-01",
        "kind": "containerapp",
        "location": "[parameters('location')]",
        "properties": {
            "managedEnvironmentId": "[parameters('environment_id')]",
            "configuration": {
                "activeRevisionsMode": "single",
                "secrets": [
                {
                    "name": "queue-connection-string",
                    "value": "[parameters('queue-connection-string')]"
                }]
            },
            "template": {
                "containers": [
                    {
                        "image": "myregistry/myQueueApp:v1",
                        "name": "myQueueApp",
                        "env": [
                            {
                                "name": "QueueName",
                                "value": "myqueue"
                            },
                            {
                                "name": "ConnectionString",
                                "secretRef": "queue-connection-string"
                            }
                        ]
                    }
                ],
                "scale": {
                    "minReplicas": 0,
                    "maxReplicas": 10,
                    "rules": [
                        {
                            "name": "myqueuerule",
                            "azureQueue": {
                                "queueName": "demoqueue",
                                "queueLength": 100,
                                "auth": [
                                    {
                                        "secretRef": "queue-connection-string",
                                        "triggerParameter": "connection"
                                    }
                                ]
                            }
                        }
                    ]
                }
            }
        }
    }]
}

Burada adlı connection-string ortam değişkeni değerini uygulama düzeyi queue-connection-string gizli dizisinden alır. Ayrıca Azure Kuyruk Depolama ölçek kuralının kimlik doğrulama yapılandırması, bağlantısını tanımlamak için gizli diziyi kullanır queue-connection-string .

ARM şablonunuzla gizli dizi değerlerinin kaynak denetimine işlenmesini önlemek için gizli dizi değerlerini ARM şablonu parametreleri olarak geçirin.

Bu örnekte, Azure CLI kullanarak bir ortam değişkeninde başvuruda bulunan bir gizli dizi ile bir kapsayıcı uygulaması oluşturacaksınız. Azure CLI'daki bir ortam değişkenindeki bir gizli diziye başvurmak için değerini secretref:olarak ayarlayın ve ardından gizli dizinin adını yazın.

az containerapp create \
  --resource-group "my-resource-group" \
  --name myQueueApp \
  --environment "my-environment-name" \
  --image demos/myQueueApp:v1 \
  --secrets "queue-connection-string=$CONNECTIONSTRING" \
  --env-vars "QueueName=myqueue" "ConnectionString=secretref:queue-connection-string"

Burada adlı connection-string ortam değişkeni değerini uygulama düzeyi queue-connection-string gizli dizisinden alır.

Bu örnekte, Azure PowerShell kullanarak bir ortam değişkeninde başvuruda bulunan bir gizli dizi ile bir kapsayıcı oluşturursunuz. PowerShell'deki bir ortam değişkenindeki gizli diziye başvurmak için değerini secretref:olarak ayarlayın ve ardından gizli dizinin adını yazın.

$EnvId = (Get-AzContainerAppManagedEnv -ResourceGroupName my-resource-group -EnvName my-environment-name).Id

$SecretObj = New-AzContainerAppSecretObject -Name queue-connection-string -Value $QueueConnectionString
$EnvVarObjQueue = New-AzContainerAppEnvironmentVarObject -Name QueueName -Value myqueue
$EnvVarObjConn = New-AzContainerAppEnvironmentVarObject -Name ConnectionString -SecretRef queue-connection-string -Value secretref
$TemplateObj = New-AzContainerAppTemplateObject -Name myQueueApp -Image demos/myQueueApp:v1 -Env $EnvVarObjQueue, $EnvVarObjConn

$ContainerAppArgs = @{
    Name = 'myQueueApp'
    Location = '<location>'
    ResourceGroupName = 'my-resource-group'
    ManagedEnvironmentId = $EnvId
    TemplateContainer = $TemplateObj
    ConfigurationSecret = $SecretObj
}

New-AzContainerApp @ContainerAppArgs

Burada adlı ConnectionString ortam değişkeni değerini uygulama düzeyi $QueueConnectionString gizli dizisinden alır.

Bir birime gizli dizileri bağlama

Gizli dizileri tanımlama bölümünde açıklandığı gibi uygulama düzeyinde gizli dizileri bildirdikten sonra, kapsayıcı uygulamanızda yeni bir düzeltme oluşturduğunuzda bunlara birim bağlamalarında başvurabilirsiniz. Gizli dizileri bir birime bağladığınızda, her gizli dizi birime bir dosya olarak bağlanır. Dosya adı gizli dizinin adıdır ve dosya içeriği de gizli dizinin değeridir. Birim bağlamasında tüm gizli dizileri veya belirli gizli dizileri yükleyebilirsiniz.

Örnek

Kapsayıcı uygulamanızda bir gizli dizi tanımladıktan sonra, yeni bir düzeltme oluşturduğunuzda bir birim bağlamasında bu gizli diziye başvurabilirsiniz.

Azure portalında kapsayıcı uygulamanıza gidin.
Düzeltme yönetimi sayfasını açın.
Yeni düzeltme oluştur'u seçin.
Yeni düzeltme oluştur ve dağıt sayfasında.
Bir kapsayıcı seçin ve Düzenle'yi seçin.
Birim bağlamaları bölümünde Gizli Diziler bölümünü genişletin.
Yeni birim oluştur'u seçin.
Aşağıdaki bilgileri girin:
- Ad: mysecrets
- Tüm gizli dizileri bağlama: etkin
Not

Belirli gizli dizileri yüklemek istiyorsanız, Tüm gizli dizileri bağla'yı devre dışı bırakın ve yüklemek istediğiniz gizli dizileri seçin.
Ekle'yi seçin.
Birim adı'nın altında mysecrets öğesini seçin.
Bağlama yolu'na /mnt/secrets girin.
Kaydet'i seçin.
Birim bağlamasıyla yeni düzeltmeyi oluşturmak için Oluştur'u seçin.

Bu örnekte, uygulama düzeyinde iki gizli dizi bildirilir. Bu gizli diziler türünde Secretadlı mysecrets bir birime bağlanır. Birim yoluna /mnt/secretsbağlanır. Uygulama daha sonra birim bağlamadaki gizli dizilere başvurabilir.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-08-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "location": {
            "type": "String"
        },
        "environment_id": {
            "type": "String"
        },
        "queue-connection-string": {
            "type": "Securestring"
        },
        "api-key": {
            "type": "Securestring"
        }
    },
    "variables": {},
    "resources": [
    {
        "name": "queuereader",
        "type": "Microsoft.App/containerApps",
        "apiVersion": "2022-11-01-preview",
        "kind": "containerapp",
        "location": "[parameters('location')]",
        "properties": {
            "managedEnvironmentId": "[parameters('environment_id')]",
            "configuration": {
                "activeRevisionsMode": "single",
                "secrets": [
                    {
                        "name": "queue-connection-string",
                        "value": "[parameters('queue-connection-string')]"
                    },
                    {
                        "name": "api-key",
                        "value": "[parameters('api-key')]"
                    }
                ]
            },
            "template": {
                "containers": [
                    {
                        "image": "myregistry/myQueueApp:v1",
                        "name": "myQueueApp",
                        "volumeMounts": [
                            {
                                "name": "mysecrets",
                                "mountPath": "/mnt/secrets"
                            }
                        ]
                    }
                ],
                "volumes": [
                    {
                        "name": "mysecrets",
                        "storageType": "Secret"
                    }
                ]
            }
        }
    }]
}

Belirli gizli dizileri yüklemek ve bunların yollarını bağlı birim içinde belirtmek için, gizli dizileri birim nesnesinin secrets dizisinde tanımlarsınız. Aşağıdaki örnekte, dosya adıyla birim bağlamasında mysecrets yalnızca queue-connection-string gizli dizinin nasıl yüklenecekleri gösterilmektedirconnection-string.txt.

{
    "properties": {
        ...
        "configuration": {
            ...
            "secrets": [
                {
                    "name": "queue-connection-string",
                    "value": "[parameters('queue-connection-string')]"
                },
                {
                    "name": "api-key",
                    "value": "[parameters('api-key')]"
                }
            ]
        },
        "template": {
            "containers": [
                {
                    "image": "myregistry/myQueueApp:v1",
                    "name": "myQueueApp",
                    "volumeMounts": [
                        {
                            "name": "mysecrets",
                            "mountPath": "/mnt/secrets"
                        }
                    ]
                }
            ],
            "volumes": [
                {
                    "name": "mysecrets",
                    "storageType": "Secret",
                    "secrets": [
                        {
                            "secretRef": "queue-connection-string",
                            "path": "connection-string.txt"
                        }
                    ]
                }
            ]
        }
        ...
    }
    ...
}

Uygulamanızda, konumundaki /mnt/secrets/connection-string.txtbir dosyadan gizli diziyi okuyabilirsiniz.

az containerapp create \
  --resource-group "my-resource-group" \
  --name myQueueApp \
  --environment "my-environment-name" \
  --image demos/myQueueApp:v1 \
  --secrets "queue-connection-string=$CONNECTIONSTRING" "api-key=$API_KEY" \
  --secret-volume-mount "/mnt/secrets"

Belirli gizli dizileri yüklemek ve bunların yollarını bağlı birim içinde belirtmek için YAML kullanarak uygulamanızı tanımlayın.

Sonraki adımlar

Konteynerler

Aracılığıyla paylaş

Azure Container Apps'te gizli dizileri yönetme

Gizli dizileri tanımlama

Container Apps'te gizli dizi değerini depolama

Key Vault'tan başvuru gizli dizisi

Key Vault gizli dizi URI'si ve gizli dizi döndürme

Ortam değişkenlerinde gizli dizilere başvurma

Örnek

Bir birime gizli dizileri bağlama

Örnek

Sonraki adımlar

Geri Bildirim

Ek kaynaklar