Idee per soluzioni
In questo articolo viene descritta un'idea di soluzione. Il cloud architect può usare queste linee guida per visualizzare i componenti principali di un'implementazione tipica di questa architettura. Usare questo articolo come punto di partenza per il design di una soluzione ben progettata che sia in linea con i requisiti specifici del carico di lavoro.
Questo articolo descrive una soluzione per la creazione di un'applicazione affidabile e scalabile in un ambiente distribuito. La soluzione usa app Azure Configurazione e Azure Key Vault per gestire e archiviare le impostazioni di configurazione delle app, i flag di funzionalità e le impostazioni di accesso sicuro in un'unica posizione.
Architettura
I diagrammi seguenti illustrano come Configurazione app e Key Vault possano collaborare per gestire e proteggere le app in ambienti di sviluppo e Azure.
Ambiente di sviluppo
Nell'ambiente di sviluppo l'app usa un'identità tramite Visual Studio o la versione 2.0 dell'interfaccia della riga di comando di Azure per accedere e inviare una richiesta di autenticazione all'ID Microsoft Entra.
Scaricare un file di Visio di questa architettura.
Ambiente di gestione temporanea o produzione di Azure
Gli ambienti di gestione temporanea e di produzione di Azure usano un'identità gestita per l'accesso e l'autenticazione.
Scaricare un file di Visio di questa architettura.
Flusso di dati
- L'applicazione invia una richiesta di autenticazione durante il debug in Visual Studio o esegue l'autenticazione tramite l'identità del servizio gestito in Azure.
- Al termine dell'autenticazione, Microsoft Entra ID restituisce un token di accesso.
- L'SDK di Configurazione app invia una richiesta con il token di accesso per leggere il valore dell'URI segreto dell'insieme di credenziali delle chiavi dell'app Configurazione app per l'insieme di credenziali delle chiavi dell'app.
- Al termine dell'autorizzazione, Configurazione app invia il valore di configurazione.
- Usando l'identità di accesso, l'app invia una richiesta a Key Vault per recuperare il segreto dell'applicazione per l'URI segreto che Configurazione app inviato.
- Al termine dell'autorizzazione, Key Vault restituisce il valore del segreto.
Componenti
- Microsoft Entra ID è una piattaforma universale per la gestione e la protezione delle identità.
- Configurazione app consente di archiviare le configurazioni per tutte le app di Azure in una posizione universale ospitata.
- Le identità gestite forniscono un'identità per le applicazioni da usare per la connessione alle risorse che supportano l'autenticazione di Microsoft Entra.
- Key Vault protegge le chiavi crittografiche e altri segreti usati da app e servizi cloud.
Dettagli dello scenario
Le applicazioni basate sul cloud vengono spesso eseguite in più macchine virtuali o contenitori in più aree e usano più servizi esterni. La creazione di un'applicazione affidabile e scalabile in un ambiente distribuito presenta una sfida significativa.
Usando Configurazione app, puoi gestire e archiviare tutte le impostazioni di configurazione dell'app, i flag di funzionalità e le impostazioni di accesso sicuro in un'unica posizione. Configurazione app funziona perfettamente con Key Vault, che archivia password, chiavi e segreti per l'accesso sicuro.
Potenziali casi d'uso
Qualsiasi applicazione può usare Configurazione app, ma i tipi di applicazioni seguenti traggono vantaggio dalla maggior parte:
- Microservizi in esecuzione in servizio Azure Kubernetes (servizio Azure Kubernetes) o altre app in contenitori distribuite in una o più aree.
- App serverless, che includono Funzioni di Azure o altre app di calcolo senza stato basate su eventi.
- App che usano una pipeline di distribuzione continua (CD).
Considerazioni
Queste considerazioni implementano i pilastri di Azure Well-Architected Framework, che è un set di principi guida che possono essere usati per migliorare la qualità di un carico di lavoro. Per altre informazioni, vedere Microsoft Azure Well-Architected Framework.
È consigliabile usare un insieme di credenziali delle chiavi diverso per ogni applicazione in ogni ambiente: sviluppo, pre-produzione di Azure e produzione di Azure. L'uso di insiemi di credenziali diversi consente di impedire la condivisione dei segreti tra ambienti e riduce le minacce in caso di violazione.
Per usare questi scenari, l'identità di accesso deve avere il ruolo lettore dati Configurazione app nella risorsa Configurazione app e disporre di criteri di accesso espliciti per il recupero dei segreti in Key Vault.
Collaboratori
Questo articolo viene gestito da Microsoft. Originariamente è stato scritto dai seguenti contributori.
Autore principale:
- Soman soman sowmyan | Principal Cloud Solution Architect
Passaggi successivi
Altre informazioni sulle tecnologie dei componenti:
- Configurazione app di Azure
- Azure Key Vault
- Usare i riferimenti di Key Vault per Servizio app e Funzioni di Azure
- Usare le identità gestite per accedere alle Configurazione app
- Sviluppo e sicurezza locali