Kurz: Připojení webové aplikace ke konfiguraci Aplikace Azure pomocí konektoru Service Connector

Zjistěte, jak připojit aplikaci ASP.NET Core spuštěnou ve službě Aplikace Azure Service k Aplikace Azure Configuration pomocí jedné z následujících metod:

• Spravovaná identita přiřazená systémem (SMI)
• Spravovaná identita přiřazená uživatelem (UMI)
• Instanční objekt
• Connection string

V tomto kurzu pomocí Azure CLI proveďte následující úlohy:

• Nastavení prostředků Azure
• Vytvoření připojení mezi webovou aplikací a službou App Configuration
• Sestavení a nasazení aplikace do služby Aplikace Azure Service

Požadavky

• Účet Azure s aktivním předplatným. Vaše přístupová role v rámci předplatného musí být Přispěvatel nebo Vlastník. Vytvoření účtu zdarma
• Rozhraní příkazového řádku Azure. Můžete ho použít v Azure Cloud Shellu nebo ho nainstalovat místně.
• Git

Přihlášení k Azure

Spuštěním az login v Azure CLI se přihlaste k Azure.

Nastavení prostředků Azure

Začněte vytvořením prostředků Azure.

1. Naklonujte následující ukázkové úložiště:

   git clone https://github.com/Azure-Samples/serviceconnector-webapp-appconfig-dotnet.git
   

2. Nasazení webové aplikace do Azure

   Pomocí těchto kroků vytvořte službu App Service a nasaďte ukázkovou aplikaci. Ujistěte se, že máte roli Přispěvatel předplatného nebo Vlastník.

   Spravovaná identita přiřazená systémem (doporučeno)

   Vytvořte službu App Service a nasaďte ukázkovou aplikaci, která používá spravovanou identitu přiřazenou systémem k interakci s konfigurací aplikace.

   # Change directory to the SMI sample
   cd serviceconnector-webapp-appconfig-dotnet\system-managed-identity
   
   # Create a web app
   
   LOCATION='eastus'
   RESOURCE_GROUP_NAME='service-connector-tutorial-rg'
   APP_SERVICE_NAME='webapp-appconfig-smi'
   
   az webapp up --location $LOCATION --resource-group $RESOURCE_GROUP_NAME --name $APP_SERVICE_NAME
   

   Parametr	Popis	Příklad
   Umístění	Zvolte umístění blízko vás. Slouží az account list-locations --output table k výpisu umístění.	eastus
   Název skupiny prostředků	Tuto skupinu prostředků použijete k uspořádání všech prostředků Azure potřebných k dokončení tohoto kurzu.	service-connector-tutorial-rg
   Název služby App Service	Název služby App Service se používá jako název prostředku v Azure a k vytvoření plně kvalifikovaného názvu domény pro vaši aplikaci ve formě koncového bodu https://<app-service-name>.azurewebsites.comserveru. Tento název musí být jedinečný ve všech Azure a jediné povolené znaky jsou A-Z,-09 a .-	webapp-appconfig-smi

   Spravovaná identita přiřazená uživatelem

   Vytvořte službu App Service a nasaďte ukázkovou aplikaci, která používá spravovanou identitu přiřazenou uživatelem k interakci s konfigurací aplikace.

   # Change directory to the UMI sample
   cd serviceconnector-webapp-appconfig-dotnet\user-assigned-managed-identity
   
   # Create a web app
   
   LOCATION='eastus'
   RESOURCE_GROUP_NAME='service-connector-tutorial-rg'
   APP_SERVICE_NAME='webapp-appconfig-umi'
   
   az webapp up --location $LOCATION --resource-group $RESOURCE_GROUP_NAME --name $APP_SERVICE_NAME
   

   Parametr	Popis	Příklad
   Umístění	Zvolte umístění blízko vás. Slouží az account list-locations --output table k výpisu umístění.	eastus
   Název skupiny prostředků	Tuto skupinu prostředků použijete k uspořádání všech prostředků Azure potřebných k dokončení tohoto kurzu.	service-connector-tutorial-rg
   Název služby App Service	Název služby App Service se používá jako název prostředku v Azure a k vytvoření plně kvalifikovaného názvu domény pro vaši aplikaci ve formě koncového bodu https://<app-service-name>.azurewebsites.comserveru. Tento název musí být jedinečný ve všech Azure a jediné povolené znaky jsou A-Z,-09 a .-	webapp-appconfig-umi

   Vytvořte spravovanou identitu přiřazenou uživatelem. Uložte výstup do dočasného poznámkového bloku.

   az identity create --resource-group $RESOURCE_GROUP_NAME -n "myIdentity"
   

   Instanční objekt

   Vytvořte aplikační službu a nasaďte ukázkovou aplikaci, která používá instanční objekt pro interakci s konfigurací aplikace.

   # Change directory to the service principal sample
   cd serviceconnector-webapp-appconfig-dotnet\service-principal
   
   # Create a web app
   
   LOCATION='eastus'
   RESOURCE_GROUP_NAME='service-connector-tutorial-rg'
   APP_SERVICE_NAME='webapp-appconfig-sp'
   
   az webapp up --location $LOCATION --resource-group $RESOURCE_GROUP_NAME --name $APP_SERVICE_NAME
   

   Parametr	Popis	Příklad
   Umístění	Zvolte umístění blízko vás. Slouží az account list-locations --output table k výpisu umístění.	eastus
   Název skupiny prostředků	Tuto skupinu prostředků použijete k uspořádání všech prostředků Azure potřebných k dokončení tohoto kurzu.	service-connector-tutorial-rg
   Název služby App Service	Název služby App Service se používá jako název prostředku v Azure a k vytvoření plně kvalifikovaného názvu domény pro vaši aplikaci ve formě koncového bodu https://<app-service-name>.azurewebsites.comserveru. Tento název musí být jedinečný ve všech Azure a jediné povolené znaky jsou A-Z,-09 a .-	webapp-appconfig-sp

   Vytvořte instanční objekt, nezapomeňte nahradit yourSubscriptionID skutečným ID předplatného. Uložte výstup do dočasného poznámkového bloku.

   az ad sp create-for-rbac --name myServicePrincipal --role Contributor --scopes /subscriptions/{yourSubscriptionID}/resourceGroups/$RESOURCE_GROUP_NAME
   

   Připojovací řetězec

   Upozorňující

   Microsoft doporučuje používat nejbezpečnější dostupný tok ověřování. Ověřovací tok popsaný v tomto postupu vyžaduje velmi vysoký stupeň důvěryhodnosti v aplikaci a nese rizika, která nejsou přítomna v jiných tocích. Tento tok byste měli použít jenom v případě, že jiné bezpečnější toky, jako jsou spravované identity, nejsou přijatelné.

   Vytvořte službu App Service a nasaďte ukázkovou aplikaci, která používá připojovací řetězec pro interakci s konfigurací aplikace.

   # Change directory to the service principal sample
   cd serviceconnector-webapp-appconfig-dotnet\connection-string
   
   # Create a web app
   
   LOCATION='eastus'
   RESOURCE_GROUP_NAME='service-connector-tutorial-rg'
   APP_SERVICE_NAME='webapp-appconfig-cs'
   
   az webapp up --location $LOCATION --resource-group $RESOURCE_GROUP_NAME --name $APP_SERVICE_NAME
   

   Parametr	Popis	Příklad
   Umístění	Zvolte umístění blízko vás. Slouží az account list-locations --output table k výpisu umístění.	eastus
   Název skupiny prostředků	Tuto skupinu prostředků použijete k uspořádání všech prostředků Azure potřebných k dokončení tohoto kurzu.	service-connector-tutorial-rg
   Název služby App Service	Název služby App Service se používá jako název prostředku v Azure a k vytvoření plně kvalifikovaného názvu domény pro vaši aplikaci ve formě koncového bodu https://<app-service-name>.azurewebsites.comserveru. Tento název musí být jedinečný ve všech Azure a jediné povolené znaky jsou A-Z,-09 a .-	webapp-appconfig-cs

3. Vytvoření úložiště konfigurace Aplikace Azure

   APP_CONFIG_NAME='my-app-config'
   
   az appconfig create -g $RESOURCE_GROUP_NAME -n $APP_CONFIG_NAME --sku Free -l eastus
   

4. Importujte konfigurační soubor testu do Aplikace Azure Konfigurace.

   SMI

   Importujte konfigurační soubor testu do Aplikace Azure Konfigurace pomocí spravované identity přiřazené systémem.

   1. Cd do složky ServiceConnectorSample

   2. Importujte konfigurační soubor ./sampleconfigs.json testovacího konfiguračního souboru do App Configuration Storu. Pokud používáte Cloud Shell, nahrajte sampleconfigs.json před spuštěním příkazu.

      az appconfig kv import -n $APP_CONFIG_NAME --source file --format json --path ./sampleconfigs.json --separator : --yes
      

   UMI

   Importujte konfigurační soubor testu do Aplikace Azure Konfigurace pomocí spravované identity přiřazené uživatelem.

   1. Cd do složky ServiceConnectorSample

   2. Importujte konfigurační soubor ./sampleconfigs.json testovacího konfiguračního souboru do App Configuration Storu. Pokud používáte Cloud Shell, nahrajte sampleconfigs.json před spuštěním příkazu.

      az appconfig kv import -n $APP_CONFIG_NAME --source file --format json --path ./sampleconfigs.json --separator : --yes
      

   Instanční objekt

   Importujte konfigurační soubor testu do Aplikace Azure Konfigurace pomocí instančního objektu.

   1. Cd do složky ServiceConnectorSample

   2. Importujte konfigurační soubor ./sampleconfigs.json testovacího konfiguračního souboru do App Configuration Storu. Pokud používáte Cloud Shell, nahrajte sampleconfigs.json před spuštěním příkazu.

      az appconfig kv import -n $APP_CONFIG_NAME --source file --format json --path ./sampleconfigs.json --separator : --yes
      

   Připojovací řetězec

   Upozorňující

   Microsoft doporučuje používat nejbezpečnější dostupný tok ověřování. Ověřovací tok popsaný v tomto postupu vyžaduje velmi vysoký stupeň důvěryhodnosti v aplikaci a nese rizika, která nejsou přítomna v jiných tocích. Tento tok byste měli použít jenom v případě, že jiné bezpečnější toky, jako jsou spravované identity, nejsou přijatelné.

   Importujte konfigurační soubor testu do Aplikace Azure Konfigurace pomocí připojovací řetězec.

   1. Cd do složky ServiceConnectorSample

   2. Importujte konfigurační soubor ./sampleconfigs.json testovacího konfiguračního souboru do App Configuration Storu. Pokud používáte Cloud Shell, nahrajte sampleconfigs.json před spuštěním příkazu.

      az appconfig kv import -n $APP_CONFIG_NAME --source file --format json --path ./sampleconfigs.json --separator : --yes
      

      ---

Připojení webové aplikace ke konfiguraci aplikace

Vytvořte propojení mezi webovou aplikací a app Configuration Storem.

SMI

Pomocí ověřování spravované identity přiřazené systémem vytvořte připojení mezi webovou aplikací a úložištěm app Configuration Store. Toto připojení se provádí prostřednictvím konektoru Service Connector.

az webapp connection create appconfig -g $RESOURCE_GROUP_NAME -n $APP_SERVICE_NAME --app-config $APP_CONFIG_NAME --tg $RESOURCE_GROUP_NAME --connection "app_config_smi" --system-identity

system-identity odkazuje na typ ověřování spravované identity přiřazené systémem (SMI). Service Connector také podporuje následující ověřování: spravovaná identita přiřazená uživatelem, připojovací řetězec (tajný klíč) a instanční objekt.

UMI

Pomocí ověřování spravované identity přiřazené uživatelem vytvořte připojení mezi vaší webovou aplikací a službou App Configuration Store. Toto připojení se provádí prostřednictvím konektoru Service Connector.

az webapp connection create appconfig -g $RESOURCE_GROUP_NAME -n $APP_SERVICE_NAME --app-config $APP_CONFIG_NAME --tg $RESOURCE_GROUP_NAME --connection "app_config_umi" --user-identity client-id=<myIdentityClientId> subs-id=<myTestSubsId>

user-identity odkazuje na typ ověřování spravované identity přiřazené uživatelem. Service Connector také podporuje následující ověřování: spravovanou identitu přiřazenou systémem, připojovací řetězec (tajný klíč) a instanční objekt.

Existují dva způsoby, jak najít client-id:

• V Azure CLI zadejte az identity show -n "myIdentity" -g $RESOURCE_GROUP_NAME --query 'clientId'.
• Na webu Azure Portal otevřete spravovanou identitu vytvořenou dříve a v části Přehled získejte hodnotu v části ID klienta.

Instanční objekt

Pomocí instančního objektu vytvořte připojení mezi webovou aplikací a úložištěm App Configuration Store. To se provádí prostřednictvím konektoru Service Connector.

az webapp connection create appconfig -g $RESOURCE_GROUP_NAME -n $APP_SERVICE_NAME --app-config $APP_CONFIG_NAME --tg $RESOURCE_GROUP_NAME --connection "app_config_sp" --service-principal client-id=<mySPClientId>  secret=<mySPSecret>

service-principal odkazuje na typ ověřování instančního objektu. Konektor služby podporuje také následující ověřování: spravovaná identita přiřazená systémem (UMI), spravovaná identita přiřazená uživatelem (UMI) a připojovací řetězec (tajný kód).

Připojovací řetězec

Pomocí připojovací řetězec vytvořte připojení mezi webovou aplikací a obchodem App Configuration Store. Toto připojení se provádí prostřednictvím konektoru Service Connector.

az webapp connection create appconfig -g $RESOURCE_GROUP_NAME -n $APP_SERVICE_NAME --app-config $APP_CONFIG_NAME --tg $RESOURCE_GROUP_NAME --connection "app_config_cs" --secret

secret odkazuje na typ ověřování připojovacího řetězce. Service Connector také podporuje následující ověřování: spravovanou identitu přiřazenou systémem, spravovanou identitu přiřazenou uživatelem a instanční objekt.

Ověření připojení

1. Pokud chcete zkontrolovat, jestli připojení funguje, přejděte z prohlížeče na webovou aplikaci https://<myWebAppName>.azurewebsites.net/ . Jakmile je web vzhůru, zobrazí se zpráva "Hello" (Dobrý den). Vaše webová aplikace Azure je teď připojená ke službě App Configuration nástrojem ServiceConnector.

Jak to funguje

Níže najdete, co Service Connector spravuje na pozadí pro každý typ ověřování.

SMI

Service Connector spravuje konfiguraci připojení za vás:

• Nastavte webovou aplikaci AZURE_APPCONFIGURATION_ENDPOINT tak, aby k ní přistupovala a získala koncový bod Konfigurace aplikace. Přístup k ukázkovém kódu
• Aktivujte spravované ověřování přiřazené systémem webové aplikace a udělte službě App Configuration roli Čtenář dat, aby se aplikace ověřila ve službě App Configuration pomocí defaultAzureCredential z Azure.Identity. Přístup k ukázkovém kódu

UMI

Service Connector spravuje konfiguraci připojení za vás:

• Nastavte webovou aplikaci AZURE_APPCONFIGURATION_ENDPOINTtak, AZURE_APPCONFIGURATION_CLIENTID aby k ní získala přístup a získala koncový bod konfigurace aplikace v kódu;
• Aktivujte spravované ověřování přiřazené uživatelem webové aplikace a udělte službě App Configuration roli Čtenář dat, aby se aplikace ověřila ve službě App Configuration pomocí defaultAzureCredential z Azure.Identity. Přístup k ukázkovém kódu

Instanční objekt

Service Connector spravuje konfiguraci připojení za vás:

• Nastavte webovou aplikaci AZURE_APPCONFIGURATION_ENDPOINT tak, aby k ní přistupovala a získala koncový bod Konfigurace aplikace. Přístup k ukázkovém kódu
• uložte přihlašovací údaje instančního objektu do WebApp AppSettings AZURE_APPCONFIGURATION_CLIENTID. AZURE_APPCONFIGURATION_TENANTIDAZURE_APPCONFIGURATION_CLIENTSECRET a udělte instančnímu objektu roli Čtenář dat app Configuration, aby se aplikace mohla ověřit v konfiguraci aplikace v kódu pomocí ClientSecretCredential Azure.Identity.

Připojovací řetězec

Service Connector spravuje konfiguraci připojení za vás:

• Nastavte webovou aplikaci AZURE_APPCONFIGURATION_CONNECTIONSTRING tak, aby k ní přistupovala a získala připojovací řetězec App Configuration. Přístup k ukázkovém kódu
• Aktivujte spravované ověřování přiřazené systémem webové aplikace a udělte službě App Configuration roli Čtenář dat, aby se aplikace ověřila ve službě App Configuration pomocí defaultAzureCredential z Azure.Identity. Přístup k ukázkovém kódu

Další informace najdete v interních informacích o konektoru Service Connector.

Test (volitelné)

Volitelně můžete provést následující testy:

1. Aktualizujte hodnotu klíče SampleApplication:Settings:Messages v App Configuration Storu.

   az appconfig kv set -n <myAppConfigStoreName> --key SampleApplication:Settings:Messages --value hello --yes
   

2. Přejděte do webové aplikace Azure tak, že přejdete na https://<myWebAppName>.azurewebsites.net/ stránku a aktualizujete ji. Uvidíte, že se zpráva aktualizuje na "hello".

Vyčištění prostředků

Jakmile budete hotovi, už tyto prostředky Azure nebudete používat, odstraňte je spuštěním az group delete příkazu. Tento příkaz odstraní vaši skupinu prostředků a všechny prostředky v ní.

az group delete -n <myResourceGroupName> --yes

Další kroky

Další informace o konektoru Service Connector najdete v následujících kurzech.

Další informace o konceptech konektoru Service Connector