Bewerken

Delen via

Gecentraliseerde app-configuratie en -beveiliging

Microsoft Entra ID
Azure App Configuration
Azure Key Vault

Oplossingsideeën

In dit artikel wordt een oplossingsidee beschreven. Uw cloudarchitect kan deze richtlijnen gebruiken om de belangrijkste onderdelen te visualiseren voor een typische implementatie van deze architectuur. Gebruik dit artikel als uitgangspunt om een goed ontworpen oplossing te ontwerpen die overeenkomt met de specifieke vereisten van uw workload.

In dit artikel wordt een oplossing beschreven voor het maken van een robuuste en schaalbare toepassing in een gedistribueerde omgeving. De oplossing maakt gebruik van Azure-app Configuratie en Azure Key Vault om app-configuratie-instellingen, functievlagmen en beveiligde toegangsinstellingen op één plaats te beheren en op te slaan.

Architectuur

In de volgende diagrammen ziet u hoe App Configuration en Key Vault kunnen samenwerken om apps te beheren en te beveiligen in ontwikkel- en Azure-omgevingen.

Ontwikkelomgeving

In de ontwikkelomgeving gebruikt de app een identiteit via Visual Studio of versie 2.0 van de Azure CLI om u aan te melden en een verificatieaanvraag naar Microsoft Entra-id te verzenden.

Architectuurdiagram waarin wordt getoond hoe een app zich aanmeldt en verifieert in een ontwikkelomgeving.

Download een Visio-bestand van deze architectuur.

Faserings- of productieomgeving van Azure

De faserings- en productieomgevingen van Azure maken gebruik van een beheerde identiteit voor aanmelding en verificatie.

Architectuurdiagram waarin wordt getoond hoe een app zich aanmeldt en verifieert in een faserings- of productieomgeving.

Download een Visio-bestand van deze architectuur.

Gegevensstroom

  1. De toepassing verzendt een verificatieaanvraag tijdens foutopsporing in Visual Studio of verifieert via de MSI in Azure.
  2. Na een geslaagde verificatie retourneert Microsoft Entra ID een toegangstoken.
  3. De App Configuration SDK verzendt een aanvraag met het toegangstoken om de geheimeURI-waarde van de App Configuration Key Vault voor de sleutelkluis van de app te lezen.
  4. Na een geslaagde autorisatie verzendt App Configuration de configuratiewaarde.
  5. Door de aanmeldingsidentiteit te gebruiken, verzendt de app een aanvraag naar Key Vault om het toepassingsgeheim op te halen voor de geheimeURI die door App Configuration is verzonden.
  6. Na een geslaagde autorisatie retourneert Key Vault de geheime waarde.

Onderdelen

  • Microsoft Entra ID is een universeel platform voor het beheren en beveiligen van identiteiten.
  • App Configuration biedt een manier om configuraties op te slaan voor al uw Azure-apps op een universele, gehoste locatie.
  • Beheerde identiteiten bieden een identiteit die toepassingen kunnen gebruiken bij het maken van verbinding met resources die ondersteuning bieden voor Microsoft Entra-verificatie.
  • Key Vault beschermt cryptografische sleutels en andere geheimen die worden gebruikt door cloud-apps en -services.

Scenariodetails

Cloudtoepassingen worden vaak uitgevoerd op meerdere virtuele machines of containers in meerdere regio's en gebruiken meerdere externe services. Het is een flinke uitdaging om een robuuste en schaalbare toepassing te maken in een gedistribueerde omgeving.

Met Behulp van App Configuration kunt u alle configuratie-instellingen, functievlagmen en beveiligde toegangsinstellingen van uw app op één plaats beheren en opslaan. App Configuration werkt naadloos samen met Key Vault, waarin wachtwoorden, sleutels en geheimen worden opgeslagen voor beveiligde toegang.

Potentiële gebruikscases

Elke toepassing kan App Configuration gebruiken, maar de volgende typen toepassingen profiteren er het meest van:

  • Microservices die worden uitgevoerd in Azure Kubernetes Service (AKS) of andere apps in containers die zijn geïmplementeerd in een of meer regio's.
  • Serverloze apps, waaronder Azure Functions of andere gebeurtenisgestuurde stateless rekenapps.
  • Apps die gebruikmaken van een pijplijn voor continue implementatie (CD).

Overwegingen

Met deze overwegingen worden de pijlers van het Azure Well-Architected Framework geïmplementeerd. Dit is een set richtlijnen die kunnen worden gebruikt om de kwaliteit van een workload te verbeteren. Zie Microsoft Azure Well-Architected Framework voor meer informatie.

  • U kunt het beste een andere sleutelkluis gebruiken voor elke toepassing in elke omgeving: ontwikkeling, Azure-preproductie en Azure-productie. Het gebruik van verschillende kluizen helpt het delen van geheimen in omgevingen te voorkomen en vermindert bedreigingen in het geval van een inbreuk.

  • Als u deze scenario's wilt gebruiken, moet de aanmeldingsidentiteit de rol App Configuration-gegevenslezer hebben in de App Configuration-resource en expliciet toegangsbeleid hebben voor het ophalen van de geheimen in Key Vault.

Medewerkers

Dit artikel wordt onderhouden door Microsoft. De tekst is oorspronkelijk geschreven door de volgende Inzenders.

Hoofdauteur:

Volgende stappen

Meer informatie over de onderdeeltechnologieën: