Pomysły dotyczące rozwiązań
W tym artykule opisano pomysł rozwiązania. Architekt chmury może użyć tych wskazówek, aby ułatwić wizualizowanie głównych składników dla typowej implementacji tej architektury. Skorzystaj z tego artykułu jako punktu wyjścia, aby zaprojektować dobrze zaprojektowane rozwiązanie zgodne z konkretnymi wymaganiami obciążenia.
W tym artykule opisano rozwiązanie do tworzenia niezawodnej i skalowalnej aplikacji w środowisku rozproszonym. Rozwiązanie używa aplikacja systemu Azure Configuration i Azure Key Vault do zarządzania ustawieniami konfiguracji aplikacji, flagami funkcji i ustawieniami bezpiecznego dostępu w jednym miejscu oraz zarządzania nimi.
Architektura
Na poniższych diagramach pokazano, jak usługa App Configuration i usługa Key Vault mogą współpracować w celu zarządzania aplikacjami i zabezpieczania ich w środowiskach deweloperskich i platformy Azure .
Środowisko projektowe
W środowisku projektowym aplikacja używa tożsamości za pośrednictwem programu Visual Studio lub wersji 2.0 interfejsu wiersza polecenia platformy Azure do logowania się i wysyłania żądania uwierzytelniania do identyfikatora Entra firmy Microsoft.
Pobierz plik programu Visio tej architektury.
Środowisko przejściowe lub produkcyjne platformy Azure
Środowiska przejściowe i produkcyjne platformy Azure używają tożsamości zarządzanej do logowania i uwierzytelniania.
Pobierz plik programu Visio tej architektury.
Przepływ danych
- Aplikacja wysyła żądanie uwierzytelniania podczas debugowania w programie Visual Studio lub uwierzytelnia się za pośrednictwem tożsamości usługi zarządzanej na platformie Azure.
- Po pomyślnym uwierzytelnieniu identyfikator Entra firmy Microsoft zwraca token dostępu.
- Zestaw SDK usługi App Configuration wysyła żądanie z tokenem dostępu, aby odczytać wartość identyfikatora secretURI usługi App Configuration aplikacji dla magazynu kluczy aplikacji.
- Po pomyślnym uwierzytelnieniu usługa App Configuration wysyła wartość konfiguracji.
- Korzystając z tożsamości logowania, aplikacja wysyła żądanie do usługi Key Vault w celu pobrania wpisu tajnego aplikacji dla identyfikatora tajnego wysłanego przez usługę App Configuration.
- Po pomyślnym uwierzytelnieniu usługa Key Vault zwraca wartość wpisu tajnego.
Składniki
- Microsoft Entra ID to uniwersalna platforma do zarządzania tożsamościami i ich zabezpieczania.
- Usługa App Configuration umożliwia przechowywanie konfiguracji dla wszystkich aplikacji platformy Azure w uniwersalnej, hostowanej lokalizacji.
- Tożsamości zarządzane zapewniają tożsamość aplikacji do użycia podczas nawiązywania połączenia z zasobami obsługującymi uwierzytelnianie firmy Microsoft Entra.
- Usługa Key Vault chroni klucze kryptograficzne i inne wpisy tajne, które są używane przez aplikacje i usługi w chmurze.
Szczegóły scenariusza
Aplikacje oparte na chmurze często działają na wielu maszynach wirtualnych lub kontenerach w wielu regionach i korzystają z wielu usług zewnętrznych. Tworzenie niezawodnej i skalowalnej aplikacji w środowisku rozproszonym stanowi istotne wyzwanie.
Za pomocą usługi App Configuration można zarządzać wszystkimi ustawieniami konfiguracji aplikacji, flagami funkcji i ustawieniami bezpiecznego dostępu oraz przechowywać je w jednym miejscu. Usługa App Configuration bezproblemowo współpracuje z usługą Key Vault, która przechowuje hasła, klucze i wpisy tajne w celu zapewnienia bezpiecznego dostępu.
Potencjalne przypadki użycia
Każda aplikacja może korzystać z usługi App Configuration, ale większość z nich korzystają następujące typy aplikacji:
- Mikrousługi uruchomione w usłudze Azure Kubernetes Service (AKS) lub innych konteneryzowanych aplikacjach wdrożonych w co najmniej jednym regionie.
- Aplikacje bezserwerowe, które obejmują usługę Azure Functions lub inne aplikacje obliczeniowe bezstanowe oparte na zdarzeniach.
- Aplikacje korzystające z potoku ciągłego wdrażania (CD).
Kwestie wymagające rozważenia
Te zagadnienia implementują filary struktury Azure Well-Architected Framework, która jest zestawem wytycznych, które mogą służyć do poprawy jakości obciążenia. Aby uzyskać więcej informacji, zobacz Microsoft Azure Well-Architected Framework.
Najlepiej używać innego magazynu kluczy dla każdej aplikacji w każdym środowisku: programowania, przedprodukcyjnego platformy Azure i produkcji platformy Azure. Korzystanie z różnych magazynów pomaga zapobiegać udostępnianiu wpisów tajnych w środowiskach i zmniejsza zagrożenia w przypadku naruszenia zabezpieczeń.
Aby korzystać z tych scenariuszy, tożsamość logowania musi mieć rolę Czytelnik danych konfiguracji aplikacji w zasobie App Configuration i mieć jawne zasady dostępu do pobierania wpisów tajnych w usłudze Key Vault.
Współautorzy
Ten artykuł jest obsługiwany przez firmę Microsoft. Pierwotnie został napisany przez następujących współautorów.
Główny autor:
- Sowmyan Soman | Główny architekt rozwiązań w chmurze
Następne kroki
Dowiedz się więcej o technologiach składników:
- Konfiguracja aplikacja systemu Azure
- Azure Key Vault
- Używanie odwołań usługi Key Vault dla usług App Service i Azure Functions
- Uzyskiwanie dostępu do usługi App Configuration przy użyciu tożsamości zarządzanych
- Lokalne programowanie i zabezpieczenia