Sdílet prostřednictvím


Správa tajných kódů v Azure Container Apps

Azure Container Apps umožňuje vaší aplikaci zabezpečeně ukládat citlivé hodnoty konfigurace. Jakmile jsou tajné kódy definované na úrovni aplikace, jsou zabezpečené hodnoty k dispozici pro revize v aplikacích kontejnerů. Kromě toho můžete odkazovat na zabezpečené hodnoty uvnitř pravidel škálování. Informace o používání tajných kódů s Dapr najdete v integraci Dapr.

  • Tajné klíče jsou omezené na aplikaci mimo konkrétní revizi aplikace.
  • Nové revize se negenerují přidáním, odebráním nebo změnou tajných kódů.
  • Každá revize aplikace může odkazovat na jeden nebo více tajných klíčů.
  • Na stejné tajné klíče může odkazovat více revizí.

Aktualizovaný nebo odstraněný tajný klíč nemá automaticky vliv na existující revize ve vaší aplikaci. Při aktualizaci nebo odstranění tajného klíče můžete na změny reagovat dvěma způsoby:

  1. Nasazení nové revize
  2. Restartování stávající revize

Před odstraněním tajného klíče nasaďte novou revizi, která již na starý tajný klíč neodkazuje. Pak deaktivujte všechny revize, které odkazují na tajný klíč.

Definování tajných kódů

Tajné kódy jsou definovány jako sada párů název/hodnota. Hodnota každého tajného kódu se zadává přímo nebo jako odkaz na tajný klíč uložený ve službě Azure Key Vault.

Poznámka:

Vyhněte se zadávání hodnoty tajného kódu přímo v produkčním prostředí. Místo toho použijte odkaz na tajný klíč uložený ve službě Azure Key Vault, jak je popsáno v části Úložiště tajných kódů v části Container Apps.

Uložení hodnoty tajného kódu v Container Apps

Když definujete tajné kódy prostřednictvím portálu nebo prostřednictvím různých možností příkazového řádku.

  1. Přejděte do aplikace kontejneru na webu Azure Portal.

  2. V části Nastavení vyberte Tajné kódy.

  3. Vyberte Přidat.

  4. V podokně Přidat kontext tajného kódu zadejte následující informace:

    • Název: Název tajného klíče.
    • Typ: Vyberte tajný klíč kontejnerových aplikací.
    • Hodnota: Hodnota tajného klíče.
  5. Vyberte Přidat.

Referenční tajný klíč ze služby Key Vault

Když definujete tajný klíč, vytvoříte odkaz na tajný klíč uložený ve službě Azure Key Vault. Container Apps automaticky načte hodnotu tajného kódu ze služby Key Vault a zpřístupní ji jako tajný klíč v aplikaci kontejneru.

Pokud chcete odkazovat na tajný klíč ze služby Key Vault, musíte nejprve ve své aplikaci kontejneru povolit spravovanou identitu a udělit jí přístup k tajným klíčům služby Key Vault.

Pokud chcete ve své aplikaci kontejneru povolit spravovanou identitu, přečtěte si téma Spravované identity.

Pokud chcete udělit přístup k tajným kódům služby Key Vault, vytvořte ve službě Key Vault zásadu přístupu pro spravovanou identitu, kterou jste vytvořili. U této zásady povolte oprávnění k získání tajného kódu.

  1. Přejděte do aplikace kontejneru na webu Azure Portal.

  2. V části Nastavení vyberte Identita.

  3. Na kartě Přiřazený systém vyberte Zapnuto.

  4. Výběrem možnosti Uložit povolíte spravovanou identitu přiřazenou systémem.

  5. V části Nastavení vyberte Tajné kódy.

  6. Vyberte Přidat.

  7. V podokně Přidat kontext tajného kódu zadejte následující informace:

    • Název: Název tajného klíče.
    • Typ: Vyberte referenční informace ke službě Key Vault.
    • Adresa URL tajného klíče služby Key Vault: Identifikátor URI vašeho tajného klíče ve službě Key Vault.
    • Identita: Identita, která se má použít k načtení tajného kódu ze služby Key Vault.
  8. Vyberte Přidat.

Poznámka:

Pokud používáte trasu AzureKeyVault definovanou uživatelem se službou Azure Firewall, budete muset přidat značku služby a plně kvalifikovaný název domény login.microsoft.com do seznamu povolených pro vaši bránu firewall. Informace o konfiguraci trasy definované uživatelem pomocí služby Azure Firewall vám umožní rozhodnout se, které další značky služeb potřebujete.

Identifikátor URI a obměně tajných kódů služby Key Vault

Tajný identifikátor URI služby Key Vault musí být v jednom z následujících formátů:

  • https://myvault.vault.azure.net/secrets/mysecret/ec96f02080254f109c51a1f14cdb1931: Odkazování na konkrétní verzi tajného kódu.
  • https://myvault.vault.azure.net/secrets/mysecret: Odkaz na nejnovější verzi tajného kódu.

Pokud v identifikátoru URI není zadaná verze, aplikace použije nejnovější verzi, která existuje v trezoru klíčů. Jakmile budou k dispozici novější verze, aplikace automaticky načte nejnovější verzi do 30 minut. Všechny aktivní revize, které odkazují na tajný klíč v proměnné prostředí, se automaticky restartují, aby se vybrala nová hodnota.

Pro úplnou kontrolu nad verzí tajného kódu zadejte verzi v identifikátoru URI.

Odkazování na tajné kódy v proměnných prostředí

Po deklarování tajných kódů na úrovni aplikace, jak je popsáno v části definování tajných kódů , můžete je při vytváření nové revize v aplikaci kontejneru odkazovat v proměnných prostředí. Když proměnná prostředí odkazuje na tajný klíč, jeho hodnota se naplní hodnotou definovanou v tajném kódu.

Příklad

Následující příklad ukazuje aplikaci, která deklaruje připojovací řetězec na úrovni aplikace. Toto připojení se odkazuje v proměnné prostředí kontejneru a v pravidle škálování.

Po definování tajného kódu v aplikaci kontejneru na něj můžete při vytváření nové revize odkazovat v proměnné prostředí.

  1. Přejděte do aplikace kontejneru na webu Azure Portal.

  2. Otevřete stránku Správy revizí.

  3. Vyberte Vytvořit novou revizi.

  4. Na stránce Vytvořit a nasadit novou revizi vyberte kontejner.

  5. V části Proměnné prostředí vyberte Přidat.

  6. Zadejte následující údaje:

    • Název: Název proměnné prostředí.
    • Zdroj: Vyberte odkaz na tajný klíč.
    • Hodnota: Vyberte tajný klíč, na který chcete odkazovat.
  7. Zvolte Uložit.

  8. Výběrem možnosti Vytvořit vytvořte novou revizi.

Připojení tajných kódů ve svazku

Po deklarování tajných kódů na úrovni aplikace, jak je popsáno v části definování tajných kódů , můžete na ně odkazovat při vytváření nové revize v aplikaci kontejneru. Při připojování tajných kódů ke svazku se každý tajný klíč připojí jako soubor ve svazku. Název souboru je název tajného kódu a obsah souboru je hodnota tajného kódu. Všechny tajné kódy můžete načíst do připojení svazku nebo můžete načíst konkrétní tajné kódy.

Příklad

Jakmile v aplikaci kontejneru definujete tajný klíč , můžete na něj při vytváření nové revize odkazovat na připojení svazku.

  1. Přejděte do aplikace kontejneru na webu Azure Portal.

  2. Otevřete stránku Správy revizí.

  3. Vyberte Vytvořit novou revizi.

  4. Na stránce Vytvořit a nasadit novou revizi

  5. Vyberte kontejner a vyberte Upravit.

  6. V části Připojení svazku rozbalte oddíl Tajné kódy.

  7. Vyberte Vytvořit nový svazek.

  8. Zadejte následující údaje:

    • Název: mysecrets
    • Připojení všech tajných kódů: povoleno

    Poznámka:

    Pokud chcete načíst konkrétní tajné kódy, zakažte připojení všech tajných kódů a vyberte tajné kódy, které chcete načíst.

  9. Vyberte Přidat.

  10. V části Název svazku vyberte mojesecrety.

  11. V části Cesta k připojení zadejte /mnt/secrets.

  12. Zvolte Uložit.

  13. Výběrem možnosti Vytvořit vytvořte novou revizi s připojením svazku.

Další kroky