Compartilhar via


Criar e implantar um aplicativo Web Python do Flask no Azure com a identidade gerenciada atribuída pelo sistema

Neste tutorial, você vai implantar o código Python do Flask para criar e implantar um aplicativo Web em execução no Serviço de Aplicativo do Azure. O aplicativo Web usa uma identidade gerenciada atribuída pelo sistema (conexões sem senha) com controle de acesso baseado em função do Azure para acessar os recursos Armazenamento do Azure e Banco de Dados do Azure para PostgreSQL – Servidor Flexível. O código usa a classe DefaultAzureCredential da biblioteca de clientes do Azure Identity para Python. A classe DefaultAzureCredential detecta automaticamente que existe uma identidade gerenciada para o Serviço de Aplicativo e a usa para acessar outros recursos do Azure.

Você pode configurar conexões sem senha com os serviços do Azure usando o Conector de Serviço ou configurá-las manualmente. Este tutorial mostra como usar o Conector de Serviço. Para obter mais informações sobre conexões sem senha, consulte Conexões sem senha para serviços do Azure. Para obter informações sobre o Conector de Serviço, consulte a documentação do Conector de Serviço.

Este tutorial mostra como criar e implantar um aplicativo Web Python usando a CLI do Azure. Os comandos neste tutorial são escritos para serem executados em um shell Bash. Você pode executar os comandos do tutorial em qualquer ambiente Bash com a CLI instalada, como seu ambiente local ou o Azure Cloud Shell. Com algumas modificações, por exemplo, definindo e usando variáveis de ambiente, você pode executar esses comandos em outros ambientes, como o shell de comando do Windows. Para obter exemplos de como usar uma identidade gerenciada atribuída pelo usuário, consulte Criar e implantar um aplicativo Web do Django no Azure com uma identidade gerenciada atribuída pelo usuário.

Obter o aplicativo de exemplo

Um aplicativo Python de exemplo usando a estrutura Flask está disponível para ajudar você a acompanhar este tutorial. Baixe ou clone o aplicativo de exemplo em sua estação de trabalho local.

  1. Clone o exemplo em uma sessão do Azure Cloud Shell.

    git clone https://github.com/Azure-Samples/msdocs-flask-web-app-managed-identity.git
    
  2. Navegue até a pasta do aplicativo.

    cd msdocs-flask-web-app-managed-identity
    

Examinar o código de autenticação

O aplicativo Web de exemplo precisa ser autenticado em dois armazenamentos de dados diferentes:

  • Servidor de armazenamento de blobs do Azure onde ele armazena e recupera fotos enviadas por revisores.
  • Um Banco de Dados do Azure para PostgreSQL – Servidor Flexível onde ele armazena restaurantes e avaliações.

Ele usa DefaultAzureCredential para autenticar nos dois armazenamentos de dados. Com o DefaultAzureCredential, o aplicativo pode ser configurado para ser executado sob a identidade de diferentes entidades de serviço, dependendo do ambiente em que está sendo executado, sem fazer alterações no código. Por exemplo, em um ambiente de desenvolvimento local, o aplicativo pode ser executado sob a identidade do desenvolvedor conectado à CLI do Azure, enquanto no Azure, como neste tutorial, ele pode ser executado sob uma identidade gerenciada atribuída pelo sistema.

Em ambos os casos, a entidade de segurança sob a qual o aplicativo é executado deve ter uma função em cada recurso do Azure que o aplicativo usa que permita executar as ações no recurso que o aplicativo exige. Neste tutorial, você vai usar conectores de serviço para habilitar automaticamente a identidade gerenciada atribuída pelo sistema em seu aplicativo no Azure e atribuir a essa identidade funções apropriadas em sua conta de armazenamento do Azure e no servidor do Banco de Dados do Azure para PostgreSQL.

Depois que a identidade gerenciada atribuída pelo sistema for habilitada e receber as funções apropriadas nos armazenamentos de dados, você poderá usar DefaultAzureCredential para autenticar com os recursos necessários do Azure.

O código a seguir é usado para criar um cliente de armazenamento de blobs para carregar fotos no app.py. Uma instância de DefaultAzureCredential é fornecida ao cliente, que ele usa para adquirir tokens de acesso para executar operações no armazenamento do Azure.

from azure.identity import DefaultAzureCredential
from azure.storage.blob import BlobServiceClient

azure_credential = DefaultAzureCredential()
blob_service_client = BlobServiceClient(
    account_url=account_url,
    credential=azure_credential)

Uma instância de DefaultAzureCredential também é usada para obter um token de acesso para o Banco de Dados do Azure para PostgreSQL no ./azureproject/get_conn.py. Nesse caso, o token é adquirido diretamente chamando get_token na instância de credencial e transmitindo o valor apropriado de scope. O token é usado no lugar da senha no URI de conexão do PostgreSQL retornado ao chamador.

azure_credential = DefaultAzureCredential()
token = azure_credential.get_token("https://ossrdbms-aad.database.windows.net")
conn = str(current_app.config.get('DATABASE_URI')).replace('PASSWORDORTOKEN', token.token)

Para saber mais sobre como autenticar seus aplicativos com serviços do Azure, consulte Autenticar aplicativos Python para serviços do Azure usando o SDK do Azure para Python. Para saber mais sobre o DefaultAzureCredential, incluindo como personalizar a cadeia de credenciais que ele avalia para seu ambiente, consulte Visão geral do DefaultAzureCredential.

Criar um servidor do PostgreSQL do Azure

  1. Configure as variáveis de ambiente necessárias para o tutorial.

    LOCATION="eastus"
    RAND_ID=$RANDOM
    RESOURCE_GROUP_NAME="msdocs-mi-web-app"
    APP_SERVICE_NAME="msdocs-mi-web-$RAND_ID"
    DB_SERVER_NAME="msdocs-mi-postgres-$RAND_ID"
    ADMIN_USER="demoadmin"
    ADMIN_PW="ChAnG33#ThsPssWD$RAND_ID"
    

    Importante

    O ADMIN_PW precisa conter de 8 a 128 caracteres de três das seguintes categorias: letras maiúsculas, letras minúsculas, números e caracteres não alfanuméricos. Ao criar nomes de um ou senhas, não use o $ caractere. Posteriormente, você cria variáveis de ambiente com esses valores no qual o caractere $ tem um significado especial dentro do contêiner do Linux usado para executar aplicativos Python.

  2. Crie um grupo de recursos com o comando az group create.

    az group create --location $LOCATION --name $RESOURCE_GROUP_NAME
    
  3. Crie um servidor PostgreSQL com o comando az postgres flexible-server create. (Este comando e os subsequentes usam o caractere de continuação de linha para o Shell Bash ('\'). Altere o caractere de continuação de linha do seu shell, se necessário.)

    az postgres flexible-server create \
      --resource-group $RESOURCE_GROUP_NAME \
      --name $DB_SERVER_NAME \
      --location $LOCATION \
      --admin-user $ADMIN_USER \
      --admin-password $ADMIN_PW \
      --sku-name Standard_D2ds_v4
    

    O sku-name é o nome do tipo de preço e a configuração de computação. Para obter mais informações, confira Preços do Banco de Dados do Azure para PostgreSQL. Para listar os SKUs disponíveis, use az postgres flexible-server list-skus --location $LOCATION.

  4. Crie um banco de dados chamado restaurant usando o comando az postgres flexible-server execute.

    az postgres flexible-server execute \
      --name $DB_SERVER_NAME \
      --admin-user $ADMIN_USER \
      --admin-password $ADMIN_PW \
      --database-name postgres \
      --querytext 'create database restaurant;'
    

Criar um Serviço de Aplicativo do Azure e implantar o código

  1. Crie um serviço de aplicativo usando o comando az webapp up.

    az webapp up \
      --resource-group $RESOURCE_GROUP_NAME \
      --name $APP_SERVICE_NAME \
      --runtime PYTHON:3.9 \
      --sku B1
    

    O sku define o tamanho (CPU, memória) e o custo do Plano do Serviço de Aplicativo. O plano de serviço B1 (Básico) gera um pequeno custo em sua assinatura do Azure. Para obter uma lista completa dos planos do Serviço de Aplicativo, exiba a página de Preço do Serviço de Aplicativo.

  2. Configure o Serviço de Aplicativo para usar o start.sh no repositório com o comando az webapp config set.

    az webapp config set \
      --resource-group $RESOURCE_GROUP_NAME \
      --name $APP_SERVICE_NAME \
      --startup-file "start.sh"
    

Criar conectores sem senha para recursos do Azure

Os comandos do Conector de Serviço configuram os recursos do Armazenamento do Azure e do Banco de Dados do Azure para PostgreSQL para usar a identidade gerenciada e o controle de acesso baseado em função do Azure. Os comandos criam configurações no Serviço de Aplicativo que conectam seu aplicativo Web a esses recursos. A saída dos comandos lista as ações do conector de serviço executadas para habilitar o recurso sem senha.

  1. Adicione um conector de serviço PostgreSQL com o comando az webapp connection create postgres-flexible. A identidade gerenciada atribuída pelo sistema é usada para autenticar o aplicativo Web no recurso de destino, PostgreSQL neste caso.

    az webapp connection create postgres-flexible \
      --resource-group $RESOURCE_GROUP_NAME \
      --name $APP_SERVICE_NAME \
      --target-resource-group $RESOURCE_GROUP_NAME \
      --server $DB_SERVER_NAME \
      --database restaurant \
      --client-type python \
      --system-identity
    
  2. Adicione um conector de serviço de armazenamento com o comando az webapp connection create storage-blob.

    Esse comando também adiciona uma conta de armazenamento e adiciona o aplicativo Web com a função Colaborador de Dados do Blob de Armazenamento à conta de armazenamento.

    STORAGE_ACCOUNT_URL=$(az webapp connection create storage-blob \
      --new true \
      --resource-group $RESOURCE_GROUP_NAME \
      --name $APP_SERVICE_NAME \
      --target-resource-group $RESOURCE_GROUP_NAME \
      --client-type python \
      --system-identity \
      --query configurations[].value \
      --output tsv)
    STORAGE_ACCOUNT_NAME=$(cut -d . -f1 <<< $(cut -d / -f3 <<< $STORAGE_ACCOUNT_URL))
    

Criar um contêiner na conta de armazenamento

O aplicativo Python de exemplo armazena fotos enviadas por revisores como blobs em um contêiner em sua conta de armazenamento.

  • Quando um usuário envia uma foto com a revisão, o aplicativo de exemplo grava a imagem no contêiner usando a identidade gerenciada atribuída pelo sistema para autenticação e autorização. Você configurou essa função na última seção.

  • Quando um usuário exibe as avaliações de um restaurante, o aplicativo retorna um link para a foto no armazenamento de blobs para cada avaliação que tenha uma associada a ela. Para que o navegador exiba a foto, ele deve conseguir acessá-la em sua conta de armazenamento. Os dados de blob devem estar disponíveis para leitura pública por meio de acesso anônimo (não autenticado).

Para aumentar a segurança, as contas de armazenamento são criadas com o acesso anônimo aos dados de blob desabilitados por padrão. Nesta seção, você vai habilitar o acesso de leitura anônimo em sua conta de armazenamento e, em seguida, criar um contêiner chamado photos que fornece acesso público (anônimo) aos blobs.

  1. Atualize a conta de armazenamento para permitir acesso de leitura anônimo a blobs com o comando az storage account update.

    az storage account update \
      --name $STORAGE_ACCOUNT_NAME \
      --resource-group $RESOURCE_GROUP_NAME \
      --allow-blob-public-access true
    

    Habilitar o acesso anônimo na conta de armazenamento não afeta o acesso para blobs individuais. Você deve habilitar explicitamente o acesso público a blobs no nível do contêiner.

  2. Crie um contêiner chamado photos na conta de armazenamento com o comando az storage container create. Permita acesso de leitura anônimo (público) a blobs no contêiner recém-criado.

    az storage container create \
      --account-name $STORAGE_ACCOUNT_NAME \
      --name photos \
      --public-access blob \
      --account-key $(az storage account keys list --account-name $STORAGE_ACCOUNT_NAME \
          --query [0].value --output tsv) 
    

    Observação

    Para resumir, esse comando usa a chave de conta de armazenamento para autorizar com a conta de armazenamento. Para a maioria dos cenários, a abordagem recomendada pela Microsoft é usar as funções do Microsoft Entra ID e do Azure (RBAC). Para obter um conjunto rápido de instruções, consulte Início Rápido: criar, baixar e listar blobs com a CLI do Azure. Várias funções do Azure permitem que você crie contêineres em uma conta de armazenamento, incluindo "Proprietário", "Colaborador", "Proprietário de Dados do Blob de Armazenamento" e "Colaborador de Dados do Blob de Armazenamento".

Para saber mais sobre o acesso de leitura anônimo a dados de blob, consulte Configurar acesso de leitura anônimo para contêineres e blobs.

Testar o aplicativo Web Python no Azure

O aplicativo Python de exemplo usa o pacote azure.identity e a classe DefaultAzureCredential. Quando o aplicativo está em execução no Azure, o DefaultAzureCredential detecta automaticamente se existe uma identidade gerenciada para o Serviço de Aplicativo e, em caso afirmativo, a utiliza para acessar outros recursos do Azure (armazenamento e PostgreSQL neste caso). Não há necessidade de fornecer chaves de armazenamento, certificados ou credenciais para o Serviço de Aplicativo para acessar esses recursos.

  1. Navegue até o aplicativo implantado no URL http://$APP_SERVICE_NAME.azurewebsites.net.

    Pode levar um ou dois minutos para o aplicativo iniciar. Se você vir uma página de aplicativo padrão que não seja a página de aplicativo de exemplo padrão, aguarde um minuto e atualize o navegador.

  2. Teste a funcionalidade do aplicativo de exemplo adicionando um restaurante e algumas avaliações com fotos do restaurante.

    As informações de restaurante e avaliação são armazenadas no Banco de Dados do Azure para PostgreSQL e as fotos são armazenadas no Armazenamento do Azure. Aqui está um exemplo de captura de tela:

    Captura de tela do aplicativo de exemplo mostrando a funcionalidade de avaliação de restaurante usando o Serviço de Aplicativo do Azure, o Banco de Dados PostgreSQL do Azure e o Armazenamento do Azure.

Limpar

Neste tutorial, todos os recursos do Azure foram criados no mesmo grupo de recursos. Remover o grupo de recursos com o comando az group delete remove todos os recursos do grupo de recursos e é a maneira mais rápida de remover todos os recursos do Azure usados para seu aplicativo.

az group delete  --name $RESOURCE_GROUP_NAME 

Opcionalmente, você pode adicionar o argumento --no-wait para permitir que o comando retorne antes que a operação seja concluída.

Próximas etapas