Samouczek: łączenie aplikacji internetowej z konfiguracją aplikacja systemu Azure za pomocą łącznika usługi

Dowiedz się, jak połączyć aplikację ASP.NET Core działającą w usłudze aplikacja systemu Azure Service z usługą aplikacja systemu Azure Configuration przy użyciu jednej z następujących metod:

• Tożsamość zarządzana przypisana przez system (SMI)
• Tożsamość zarządzana przypisana przez użytkownika (UMI)
• Jednostka usługi
• Connection string

W tym samouczku użyj interfejsu wiersza polecenia platformy Azure, aby wykonać następujące zadania:

• Konfigurowanie zasobów platformy Azure
• Tworzenie połączenia między aplikacją internetową a usługą App Configuration
• Kompilowanie i wdrażanie aplikacji w usłudze aplikacja systemu Azure

Wymagania wstępne

• Konto platformy Azure z aktywną subskrypcją. Twoja rola dostępu w ramach subskrypcji musi być "Współautor" lub "Właściciel". Utwórz konto bezpłatnie.
• Interfejs wiersza polecenia platformy Azure. Można go użyć w usłudze Azure Cloud Shell lub zainstalować lokalnie.
• Usługa Git

Logowanie się do platformy Azure

Uruchom polecenie az login w interfejsie wiersza polecenia platformy Azure, aby zalogować się na platformie Azure.

Konfigurowanie zasobów platformy Azure

Zacznij od utworzenia zasobów platformy Azure.

1. Sklonuj następujące przykładowe repozytorium:

   git clone https://github.com/Azure-Samples/serviceconnector-webapp-appconfig-dotnet.git
   

2. Wdrażanie aplikacji internetowej na platformie Azure

   Wykonaj następujące kroki, aby utworzyć usługę App Service i wdrożyć przykładową aplikację. Upewnij się, że masz rolę Współautor subskrypcji lub Właściciel.

   Tożsamość zarządzana przypisana przez system (zalecane)

   Utwórz usługę app service i wdróż przykładową aplikację, która używa przypisanej przez system tożsamości zarządzanej do interakcji z konfiguracją aplikacji.

   # Change directory to the SMI sample
   cd serviceconnector-webapp-appconfig-dotnet\system-managed-identity
   
   # Create a web app
   
   LOCATION='eastus'
   RESOURCE_GROUP_NAME='service-connector-tutorial-rg'
   APP_SERVICE_NAME='webapp-appconfig-smi'
   
   az webapp up --location $LOCATION --resource-group $RESOURCE_GROUP_NAME --name $APP_SERVICE_NAME
   

   Parametr	Opis	Przykład
   Lokalizacja	Wybierz lokalizację w pobliżu. Użyj polecenia az account list-locations --output table , aby wyświetlić listę lokalizacji.	eastus
   Nazwa grupy zasobów	Użyjesz tej grupy zasobów, aby zorganizować wszystkie zasoby platformy Azure potrzebne do ukończenia tego samouczka.	service-connector-tutorial-rg
   Nazwa usługi aplikacji	Nazwa usługi app Service jest używana jako nazwa zasobu na platformie Azure i do utworzenia w pełni kwalifikowanej nazwy domeny dla aplikacji w postaci punktu końcowego https://<app-service-name>.azurewebsites.comserwera . Ta nazwa musi być unikatowa na całej platformie Azure, a jedynymi dozwolonymi znakami są A-Z,-09 i .-	webapp-appconfig-smi

   Tożsamość zarządzana przypisana przez użytkownika

   Utwórz usługę app service i wdróż przykładową aplikację, która używa tożsamości zarządzanej przypisanej przez użytkownika do interakcji z konfiguracją aplikacji.

   # Change directory to the UMI sample
   cd serviceconnector-webapp-appconfig-dotnet\user-assigned-managed-identity
   
   # Create a web app
   
   LOCATION='eastus'
   RESOURCE_GROUP_NAME='service-connector-tutorial-rg'
   APP_SERVICE_NAME='webapp-appconfig-umi'
   
   az webapp up --location $LOCATION --resource-group $RESOURCE_GROUP_NAME --name $APP_SERVICE_NAME
   

   Parametr	Opis	Przykład
   Lokalizacja	Wybierz lokalizację w pobliżu. Użyj polecenia az account list-locations --output table , aby wyświetlić listę lokalizacji.	eastus
   Nazwa grupy zasobów	Użyjesz tej grupy zasobów, aby zorganizować wszystkie zasoby platformy Azure potrzebne do ukończenia tego samouczka.	service-connector-tutorial-rg
   Nazwa usługi aplikacji	Nazwa usługi app Service jest używana jako nazwa zasobu na platformie Azure i do utworzenia w pełni kwalifikowanej nazwy domeny dla aplikacji w postaci punktu końcowego https://<app-service-name>.azurewebsites.comserwera . Ta nazwa musi być unikatowa na całej platformie Azure, a jedynymi dozwolonymi znakami są A-Z,-09 i .-	webapp-appconfig-umi

   Utwórz tożsamość zarządzaną przypisaną przez użytkownika. Zapisz dane wyjściowe w tymczasowym notatniku.

   az identity create --resource-group $RESOURCE_GROUP_NAME -n "myIdentity"
   

   Jednostka usługi

   Utwórz usługę app service i wdróż przykładową aplikację, która używa jednostki usługi do interakcji z aplikacją App Config.

   # Change directory to the service principal sample
   cd serviceconnector-webapp-appconfig-dotnet\service-principal
   
   # Create a web app
   
   LOCATION='eastus'
   RESOURCE_GROUP_NAME='service-connector-tutorial-rg'
   APP_SERVICE_NAME='webapp-appconfig-sp'
   
   az webapp up --location $LOCATION --resource-group $RESOURCE_GROUP_NAME --name $APP_SERVICE_NAME
   

   Parametr	Opis	Przykład
   Lokalizacja	Wybierz lokalizację w pobliżu. Użyj polecenia az account list-locations --output table , aby wyświetlić listę lokalizacji.	eastus
   Nazwa grupy zasobów	Użyjesz tej grupy zasobów, aby zorganizować wszystkie zasoby platformy Azure potrzebne do ukończenia tego samouczka.	service-connector-tutorial-rg
   Nazwa usługi aplikacji	Nazwa usługi app Service jest używana jako nazwa zasobu na platformie Azure i do utworzenia w pełni kwalifikowanej nazwy domeny dla aplikacji w postaci punktu końcowego https://<app-service-name>.azurewebsites.comserwera . Ta nazwa musi być unikatowa na całej platformie Azure, a jedynymi dozwolonymi znakami są A-Z,-09 i .-	webapp-appconfig-sp

   Utwórz jednostkę usługi, zastąp element yourSubscriptionID rzeczywistym identyfikatorem subskrypcji. Zapisz dane wyjściowe w tymczasowym notatniku.

   az ad sp create-for-rbac --name myServicePrincipal --role Contributor --scopes /subscriptions/{yourSubscriptionID}/resourceGroups/$RESOURCE_GROUP_NAME
   

   Parametry połączenia

   Ostrzeżenie

   Firma Microsoft zaleca korzystanie z najbezpieczniejszego dostępnego przepływu uwierzytelniania. Przepływ uwierzytelniania opisany w tej procedurze wymaga bardzo wysokiego poziomu zaufania w aplikacji i niesie ze sobą ryzyko, które nie występują w innych przepływach. Tego przepływu należy używać tylko wtedy, gdy inne bezpieczniejsze przepływy, takie jak tożsamości zarządzane, nie są opłacalne.

   Utwórz usługę app service i wdróż przykładową aplikację, która używa parametry połączenia do interakcji z aplikacją App Config.

   # Change directory to the service principal sample
   cd serviceconnector-webapp-appconfig-dotnet\connection-string
   
   # Create a web app
   
   LOCATION='eastus'
   RESOURCE_GROUP_NAME='service-connector-tutorial-rg'
   APP_SERVICE_NAME='webapp-appconfig-cs'
   
   az webapp up --location $LOCATION --resource-group $RESOURCE_GROUP_NAME --name $APP_SERVICE_NAME
   

   Parametr	Opis	Przykład
   Lokalizacja	Wybierz lokalizację w pobliżu. Użyj polecenia az account list-locations --output table , aby wyświetlić listę lokalizacji.	eastus
   Nazwa grupy zasobów	Użyjesz tej grupy zasobów, aby zorganizować wszystkie zasoby platformy Azure potrzebne do ukończenia tego samouczka.	service-connector-tutorial-rg
   Nazwa usługi aplikacji	Nazwa usługi app Service jest używana jako nazwa zasobu na platformie Azure i do utworzenia w pełni kwalifikowanej nazwy domeny dla aplikacji w postaci punktu końcowego https://<app-service-name>.azurewebsites.comserwera . Ta nazwa musi być unikatowa na całej platformie Azure, a jedynymi dozwolonymi znakami są A-Z,-09 i .-	webapp-appconfig-cs

3. Tworzenie magazynu konfiguracji aplikacja systemu Azure

   APP_CONFIG_NAME='my-app-config'
   
   az appconfig create -g $RESOURCE_GROUP_NAME -n $APP_CONFIG_NAME --sku Free -l eastus
   

4. Zaimportuj plik konfiguracji testu do aplikacja systemu Azure Configuration.

   SMI

   Zaimportuj plik konfiguracji testowej do aplikacja systemu Azure Configuration przy użyciu tożsamości zarządzanej przypisanej przez system.

   1. Cd into the folder (Cd into the folder) ServiceConnectorSample

   2. Zaimportuj plik konfiguracji testu ./sampleconfigs.json do magazynu App Configuration. Jeśli używasz usługi Cloud Shell, przekaż sampleconfigs.json przed uruchomieniem polecenia.

      az appconfig kv import -n $APP_CONFIG_NAME --source file --format json --path ./sampleconfigs.json --separator : --yes
      

   Interfejs użytkownika

   Zaimportuj plik konfiguracji testowej do aplikacja systemu Azure Configuration przy użyciu tożsamości zarządzanej przypisanej przez użytkownika.

   1. Cd into the folder (Cd into the folder) ServiceConnectorSample

   2. Zaimportuj plik konfiguracji testu ./sampleconfigs.json do magazynu App Configuration. Jeśli używasz usługi Cloud Shell, przekaż sampleconfigs.json przed uruchomieniem polecenia.

      az appconfig kv import -n $APP_CONFIG_NAME --source file --format json --path ./sampleconfigs.json --separator : --yes
      

   Jednostka usługi

   Zaimportuj plik konfiguracji testowej do aplikacja systemu Azure Configuration przy użyciu jednostki usługi.

   1. Cd into the folder (Cd into the folder) ServiceConnectorSample

   2. Zaimportuj plik konfiguracji testu ./sampleconfigs.json do magazynu App Configuration. Jeśli używasz usługi Cloud Shell, przekaż sampleconfigs.json przed uruchomieniem polecenia.

      az appconfig kv import -n $APP_CONFIG_NAME --source file --format json --path ./sampleconfigs.json --separator : --yes
      

   Parametry połączenia

   Ostrzeżenie

   Firma Microsoft zaleca korzystanie z najbezpieczniejszego dostępnego przepływu uwierzytelniania. Przepływ uwierzytelniania opisany w tej procedurze wymaga bardzo wysokiego poziomu zaufania w aplikacji i niesie ze sobą ryzyko, które nie występują w innych przepływach. Tego przepływu należy używać tylko wtedy, gdy inne bezpieczniejsze przepływy, takie jak tożsamości zarządzane, nie są opłacalne.

   Zaimportuj plik konfiguracji testu do aplikacja systemu Azure Configuration przy użyciu parametry połączenia.

   1. Cd into the folder (Cd into the folder) ServiceConnectorSample

   2. Zaimportuj plik konfiguracji testu ./sampleconfigs.json do magazynu App Configuration. Jeśli używasz usługi Cloud Shell, przekaż sampleconfigs.json przed uruchomieniem polecenia.

      az appconfig kv import -n $APP_CONFIG_NAME --source file --format json --path ./sampleconfigs.json --separator : --yes
      

      ---

Łączenie aplikacji internetowej z usługą App Configuration

Utwórz połączenie między aplikacją internetową a magazynem App Configuration.

SMI

Utwórz połączenie między aplikacją internetową a magazynem App Configuration przy użyciu uwierzytelniania tożsamości zarządzanej przypisanej przez system. To połączenie odbywa się za pośrednictwem łącznika usługi.

az webapp connection create appconfig -g $RESOURCE_GROUP_NAME -n $APP_SERVICE_NAME --app-config $APP_CONFIG_NAME --tg $RESOURCE_GROUP_NAME --connection "app_config_smi" --system-identity

system-identity odnosi się do typu uwierzytelniania tożsamości zarządzanej przypisanej przez system (SMI). Łącznik usługi obsługuje również następujące uwierzytelnianie: tożsamość zarządzana przypisana przez użytkownika (UMI), parametry połączenia (wpis tajny) i jednostka usługi.

Interfejs użytkownika

Utwórz połączenie między aplikacją internetową a magazynem App Configuration przy użyciu uwierzytelniania tożsamości zarządzanej przypisanej przez użytkownika. To połączenie odbywa się za pośrednictwem łącznika usługi.

az webapp connection create appconfig -g $RESOURCE_GROUP_NAME -n $APP_SERVICE_NAME --app-config $APP_CONFIG_NAME --tg $RESOURCE_GROUP_NAME --connection "app_config_umi" --user-identity client-id=<myIdentityClientId> subs-id=<myTestSubsId>

user-identity odnosi się do typu uwierzytelniania tożsamości zarządzanej przypisanej przez użytkownika. Łącznik usługi obsługuje również następujące uwierzytelnianie: tożsamość zarządzana przypisana przez system, parametry połączenia (wpis tajny) i jednostka usługi.

Istnieją dwa sposoby znajdowania elementu client-id:

• W interfejsie wiersza polecenia platformy Azure wprowadź .az identity show -n "myIdentity" -g $RESOURCE_GROUP_NAME --query 'clientId'
• W witrynie Azure Portal otwórz tożsamość zarządzaną, która została utworzona wcześniej i w obszarze Przegląd, pobierz wartość w obszarze Identyfikator klienta.

Jednostka usługi

Utwórz połączenie między aplikacją internetową a magazynem App Configuration przy użyciu jednostki usługi. Odbywa się to za pośrednictwem łącznika usługi.

az webapp connection create appconfig -g $RESOURCE_GROUP_NAME -n $APP_SERVICE_NAME --app-config $APP_CONFIG_NAME --tg $RESOURCE_GROUP_NAME --connection "app_config_sp" --service-principal client-id=<mySPClientId>  secret=<mySPSecret>

service-principal odnosi się do typu uwierzytelniania jednostki usługi. Łącznik usługi obsługuje również następujące uwierzytelnianie: tożsamość zarządzana przypisana przez system (UMI), tożsamość zarządzana przypisana przez użytkownika (UMI) i parametry połączenia (wpis tajny).

Parametry połączenia

Utwórz połączenie między aplikacją internetową a magazynem App Configuration przy użyciu parametry połączenia. To połączenie odbywa się za pośrednictwem łącznika usługi.

az webapp connection create appconfig -g $RESOURCE_GROUP_NAME -n $APP_SERVICE_NAME --app-config $APP_CONFIG_NAME --tg $RESOURCE_GROUP_NAME --connection "app_config_cs" --secret

secret odnosi się do typu uwierzytelniania parametrów połączenia. Łącznik usługi obsługuje również następujące uwierzytelnianie: tożsamość zarządzana przypisana przez system, tożsamość zarządzana przypisana przez użytkownika i jednostka usługi.

Sprawdzanie poprawności połączenia

1. Aby sprawdzić, czy połączenie działa, przejdź do aplikacji internetowej w https://<myWebAppName>.azurewebsites.net/ przeglądarce. Po uruchomieniu witryny internetowej zobaczysz jej komunikat "Hello". Aplikacja internetowa platformy Azure jest teraz połączona z usługą App Configuration by ServiceConnector".

Jak to działa

Poniżej znajdują się informacje, którymi łącznik usługi zarządza w tle dla każdego typu uwierzytelniania.

SMI

Łącznik usługi zarządza konfiguracją połączenia:

• Skonfiguruj aplikację AZURE_APPCONFIGURATION_ENDPOINT internetową, aby umożliwić aplikacji dostęp do niej i uzyskać punkt końcowy usługi App Configuration. Uzyskaj dostęp do przykładowego kodu.
• Aktywuj zarządzane uwierzytelnianie przypisane przez system aplikacji internetowej i przyznaj usłudze App Configuration rolę Czytelnik danych, aby umożliwić aplikacji uwierzytelnianie w usłudze App Configuration przy użyciu opcji DefaultAzureCredential z poziomu usługi Azure.Identity. Uzyskaj dostęp do przykładowego kodu.

Interfejs użytkownika

Łącznik usługi zarządza konfiguracją połączenia:

• Skonfiguruj aplikację AZURE_APPCONFIGURATION_ENDPOINTinternetową , AZURE_APPCONFIGURATION_CLIENTID aby umożliwić aplikacji dostęp do niej i uzyskać punkt końcowy konfiguracji aplikacji w kodzie;
• Aktywuj zarządzane uwierzytelnianie przypisane przez użytkownika aplikacji internetowej i przyznaj usłudze App Configuration rolę Czytelnik danych, aby umożliwić aplikacji uwierzytelnianie w usłudze App Configuration przy użyciu opcji DefaultAzureCredential z poziomu usługi Azure.Identity. Uzyskaj dostęp do przykładowego kodu.

Jednostka usługi

Łącznik usługi zarządza konfiguracją połączenia:

• Skonfiguruj aplikację AZURE_APPCONFIGURATION_ENDPOINT internetową, aby umożliwić aplikacji dostęp do niej i uzyskać punkt końcowy usługi App Configuration. Uzyskaj dostęp do przykładowego kodu.
• Zapisz poświadczenia jednostki usługi w usłudze WebApp AppSettings AZURE_APPCONFIGURATION_CLIENTID. AZURE_APPCONFIGURATION_TENANTIDAZURE_APPCONFIGURATION_CLIENTSECRET i przyznaj rolę Czytelnik danych konfiguracji aplikacji jednostce usługi, aby aplikacja mogła zostać uwierzytelniona w usłudze App Configuration w kodzie przy użyciu polecenia ClientSecretCredential Azure.Identity.

Parametry połączenia

Łącznik usługi zarządza konfiguracją połączenia:

• Skonfiguruj aplikację AZURE_APPCONFIGURATION_CONNECTIONSTRING internetową, aby zezwolić aplikacji na dostęp do niej i uzyskać parametry połączenia App Configuration. Uzyskaj dostęp do przykładowego kodu.
• Aktywuj zarządzane uwierzytelnianie przypisane przez system aplikacji internetowej i przyznaj usłudze App Configuration rolę Czytelnik danych, aby umożliwić aplikacji uwierzytelnianie w usłudze App Configuration przy użyciu opcji DefaultAzureCredential z poziomu usługi Azure.Identity. Uzyskaj dostęp do przykładowego kodu.

Aby uzyskać więcej informacji, zobacz Service Connector internals (Wewnętrzne elementy łącznika usług).

Test (opcjonalnie)

Opcjonalnie wykonaj następujące testy:

1. Zaktualizuj wartość klucza SampleApplication:Settings:Messages w sklepie App Configuration Store.

   az appconfig kv set -n <myAppConfigStoreName> --key SampleApplication:Settings:Messages --value hello --yes
   

2. Przejdź do aplikacji internetowej platformy Azure, przechodząc do https://<myWebAppName>.azurewebsites.net/ strony i odświeżając stronę. Zobaczysz, że komunikat zostanie zaktualizowany do "hello".

Czyszczenie zasobów

Gdy skończysz, jeśli nie będziesz już używać tych zasobów platformy Azure, usuń je, uruchamiając az group delete polecenie . To polecenie usuwa grupę zasobów i wszystkie zawarte w niej zasoby.

az group delete -n <myResourceGroupName> --yes

Następne kroki

Postępuj zgodnie z samouczkami wymienionymi poniżej, aby dowiedzieć się więcej o łączniku usługi.

Dowiedz się więcej o pojęciach dotyczących łącznika usług