Перенос приложения на использование бессерверных подключений с Центры событий Azure для Kafka

В этой статье объясняется, как перенести традиционные методы проверки подлинности на более безопасные, без пароля подключения с Центры событий Azure для Kafka.

Запросы приложений к Центры событий Azure для Kafka должны проходить проверку подлинности. Центры событий Azure для Kafka предоставляет различные способы безопасного подключения приложений. Одним из способов является использование строка подключения. Тем не менее, по возможности следует приоритизировать подключения без пароля в приложениях.

Подключения без пароля поддерживаются с момента Spring Cloud Azure 4.3.0. В этой статье приведено руководство по миграции для удаления учетных данных из приложений Spring Cloud Stream Kafka.

Сравнение параметров проверки подлинности

Когда приложение проходит проверку подлинности с помощью Центры событий Azure для Kafka, оно предоставляет авторизованную сущность для подключения пространства имен Центров событий. Протоколы Apache Kafka предоставляют несколько механизмов простой проверки подлинности и уровня безопасности (SASL) для проверки подлинности. В соответствии с механизмами SASL существует два варианта проверки подлинности, которые можно использовать для авторизации доступа к защищенным ресурсам: проверка подлинности Microsoft Entra и проверка подлинности подписанного URL-адреса (SAS).

Проверка подлинности Microsoft Entra

Проверка подлинности Microsoft Entra — это механизм подключения к Центры событий Azure для Kafka с помощью удостоверений, определенных в идентификаторе Microsoft Entra. С помощью проверки подлинности Microsoft Entra можно управлять удостоверениями субъектов-служб и другими службы Майкрософт в центральном расположении, что упрощает управление разрешениями.

Использование идентификатора Microsoft Entra для проверки подлинности обеспечивает следующие преимущества:

• Проверка подлинности пользователей в службах Azure в единообразном режиме.
• Управление политиками паролей и сменой паролей в одном месте.
• Несколько форм проверки подлинности, поддерживаемых идентификатором Microsoft Entra, что может устранить необходимость хранения паролей.
• Клиенты могут управлять разрешениями Центров событий с помощью внешних групп (Идентификатор Microsoft Entra).
• Поддержка проверки подлинности на основе маркеров для приложений, подключающихся к Центры событий Azure для Kafka.

Проверка подлинности на основе SAS

Центры событий также предоставляют подписанные URL-адреса (SAS) для делегированного доступа к центрам событий для ресурсов Kafka.

Хотя можно подключиться к Центры событий Azure для Kafka с SAS, его следует использовать с осторожностью. Вы должны быть старательными, чтобы никогда не подвергать строка подключения в небезопасном расположении. Любой, кто получает доступ к строка подключения, может пройти проверку подлинности. Например, существует риск того, что злоумышленник может получить доступ к приложению, если строка подключения случайно проверяется в систему управления версиями, отправляется через незащищенное сообщение электронной почты, вставленное в неправильный чат или просматриваемый кем-то, кто не должен иметь разрешения. Вместо этого авторизация доступа с помощью механизма на основе маркеров OAuth 2.0 обеспечивает более высокую безопасность и удобство использования по протоколу SAS. Рассмотрите возможность обновления приложения для использования бессерверных подключений.

Знакомство с бессерверными подключениями

С помощью бессерверного подключения можно подключиться к службам Azure, не сохраняя учетные данные в коде приложения, его файлах конфигурации или переменных среды.

Многие службы Azure поддерживают бессерверные подключения, например с помощью управляемого удостоверения Azure. Эти методы предоставляют надежные функции безопасности, которые можно реализовать с помощью DefaultAzureCredential из клиентских библиотек удостоверений Azure. В этом руководстве вы узнаете, как обновить существующее приложение для использования DefaultAzureCredential вместо альтернативных вариантов, таких как строка подключения.

DefaultAzureCredential поддерживает несколько способов проверки подлинности и автоматически определяет, какой из них следует использовать в среде выполнения. Такой подход позволяет приложению использовать различные способы аутентификации в разных средах (локальная среда разработки и рабочая среда) без реализации кода для конкретной среды.

Порядок и расположения, в которых DefaultAzureCredential можно найти учетные данные, можно найти в обзоре библиотеки удостоверений Azure. Например, при локальной работе обычно будет проходить проверку подлинности с помощью учетной записи разработчика, DefaultAzureCredential используемой для входа в Visual Studio. При развертывании приложения в Azure DefaultAzureCredential автоматически переключается на использование управляемого удостоверения. Для такого перехода не требуется изменять код.

Чтобы обеспечить без пароля подключения, необходимо учитывать как локальную разработку, так и рабочую среду. Если строка подключения требуется в любом месте, приложение не является паролем.

В локальной среде разработки можно пройти проверку подлинности с помощью Azure CLI, Azure PowerShell, Visual Studio или подключаемых модулей Azure для Visual Studio Code или IntelliJ. В этом случае вы можете использовать эти учетные данные в приложении вместо настройки свойств.

При развертывании приложений в среде размещения Azure, такой как виртуальная машина, можно назначить управляемое удостоверение в этой среде. Затем вам не потребуется предоставить учетные данные для подключения к службам Azure.

Примечание.

Управляемое удостоверение предоставляет удостоверение безопасности для представления приложения или службы. Удостоверения управляются платформой Azure, и для них не нужно подготавливать или изменять секреты. Дополнительные сведения об управляемых удостоверениях см. в обзорной документации.

Перенос существующего приложения на использование бессерверных подключений

Ниже описано, как перенести существующее приложение для использования бессерверных подключений вместо решения SAS.

0) Подготовка рабочей среды для локальной проверки подлинности разработки

Сначала используйте следующую команду, чтобы настроить некоторые переменные среды.

export AZ_RESOURCE_GROUP=<YOUR_RESOURCE_GROUP>
export AZ_EVENTHUBS_NAMESPACE_NAME=<YOUR_EVENTHUBS_NAMESPACE_NAME>
export AZ_EVENTHUB_NAME=<YOUR_EVENTHUB_NAME>

Замените заполнители следующими значениями, которые используются в этой статье:

• <YOUR_RESOURCE_GROUP>: имя группы ресурсов, которую вы будете использовать.
• <YOUR_EVENTHUBS_NAMESPACE_NAME>: имя используемого пространства имен Центры событий Azure.
• <YOUR_EVENTHUB_NAME>: имя концентратора событий, который вы будете использовать.

1) Предоставление разрешения на Центры событий Azure

Если вы хотите выполнить этот пример локально с проверкой подлинности Microsoft Entra, убедитесь, что учетная запись пользователя прошел проверку подлинности с помощью набора средств Azure для IntelliJ, подключаемого модуля учетной записи Azure Visual Studio Code или Azure CLI. Кроме того, убедитесь, что учетная запись предоставлена достаточно разрешений.

Портал Azure

1. В портал Azure найдите пространство имен Центров событий с помощью главной панели поиска или навигации слева.

2. На странице обзора Центров событий выберите элемент управления доступом (IAM) в меню слева.

3. На странице Контроль доступа (IAM) откройте вкладку Назначения ролей.

4. Выберите " Добавить " в верхнем меню и добавьте назначение ролей из результирующего раскрывающегося меню.

   

5. Используйте поле поиска, чтобы отфильтровать результаты для отображения нужной роли. В этом примере выполните поиск Центры событий Azure отправителя данных и Центры событий Azure приемника данных и выберите соответствующий результат, а затем нажмите кнопку "Далее".

6. В разделе "Назначение доступа" выберите "Пользователь", "Группа" или "Субъект-служба", а затем выберите "Выбрать участников".

7. В диалоговом окне найдите имя пользователя Microsoft Entra (обычно ваш user@domain адрес электронной почты), а затем выберите в нижней части диалогового окна.

8. Нажмите кнопку Проверить и назначить, чтобы перейти на последнюю страницу, а затем еще раз Проверить и назначить, чтобы завершить процесс.

Azure CLI

Чтобы выполнить проверку подлинности с помощью Azure CLI, выполните следующие действия.

1. Используйте следующую команду, чтобы войти в учетную запись Azure:

   az login
   

2. Используйте следующую команду, чтобы задать контекст текущей подписки. Замените ssssssss-ssss-ssss-ssss-ssssssssssss GUID для подписки, которую вы хотите использовать с Azure:

   az account set --subscription ssssssss-ssss-ssss-ssss-ssssssssssss
   

3. Используйте следующую команду, чтобы получить идентификатор ресурса для пространства имен Центры событий Azure:

   export AZURE_EVENTHUBS_RESOURCE_ID=$(az resource show \
       --resource-group $AZ_RESOURCE_GROUP \
       --name $AZ_EVENTHUBS_NAMESPACE_NAME \
       --resource-type Microsoft.EventHub/Namespaces \
       --query "id" \
       --output tsv)
   

4. Используйте следующую команду, чтобы получить идентификатор объекта пользователя учетной записи пользователя Azure CLI:

   export AZURE_AD_ACCOUNT_ID=$(az ad signed-in-user show \
       --query "id" --output tsv)
   

5. Используйте следующие команды, чтобы назначить Центры событий Azure отправителю данных и Центры событий Azure ролям приемника данных учетной записи.

   az role assignment create \
       --assignee $AZURE_AD_ACCOUNT_ID \
       --role "Azure Event Hubs Data Receiver" \
       --scope $AZURE_EVENTHUBS_RESOURCE_ID
   az role assignment create \
       --assignee $AZURE_AD_ACCOUNT_ID \
       --role "Azure Event Hubs Data Sender" \
       --scope $AZURE_EVENTHUBS_RESOURCE_ID
   

Дополнительные сведения о предоставлении ролей доступа см. в статье "Авторизация доступа к ресурсам Центров событий" с помощью идентификатора Microsoft Entra.

2) Вход и перенос кода приложения для использования бессерверных подключений

Для локальной разработки убедитесь, что вы прошли проверку подлинности с той же учетной записью Microsoft Entra, которую вы назначили роль в центрах событий. Аутентификацию можно выполнить с помощью Azure CLI, Visual Studio, Azure PowerShell или других средств, таких как IntelliJ.

Azure CLI

Войдите в Azure с помощью Azure CLI, выполнив следующую команду:

az login

PowerShell

Войдите в Azure с помощью PowerShell с помощью следующей команды:

Connect-AzAccount

Visual Studio

Нажмите кнопку входа в правом верхнем углу Visual Studio.

Войдите с помощью учетной записи Microsoft Entra, назначенной ранее роли.

Visual Studio Code

Убедитесь, что у вас установлено расширение учетной записи Azure.

Чтобы открыть палитру команд, используйте сочетание клавиш CTRL+SHIFT+P . Выполните поиск в Azure: выполните команду входа и следуйте инструкциям по проверке подлинности. Обязательно используйте учетную запись Microsoft Entra, назначенную ранее из учетной записи хранения BLOB-объектов.

IntelliJ

Дополнительные сведения см. в разделе "Установка набора средств Azure для IntelliJ " и инструкции по входу в Набор средств Azure для IntelliJ.

Затем выполните следующие действия, чтобы обновить приложение Spring Kafka для использования подключений без пароля. Хотя и концептуально аналогично, каждая платформа использует различные сведения о реализации.

Java

1. В проекте откройте файл pom.xml и добавьте следующую ссылку:

   <dependency>
      <groupId>com.azure</groupId>
      <artifactId>azure-identity</artifactId>
      <version>1.6.0</version>
   </dependency>
   

2. После миграции реализуйте AuthenticationCallbackHandler и OAuthBearerToken в проекте для проверки подлинности OAuth2, как показано в следующем примере.

   public class KafkaOAuth2AuthenticateCallbackHandler implements AuthenticateCallbackHandler {
   
      private static final Duration ACCESS_TOKEN_REQUEST_BLOCK_TIME = Duration.ofSeconds(30);
      private static final String TOKEN_AUDIENCE_FORMAT = "%s://%s/.default";
   
      private Function<TokenCredential, Mono<OAuthBearerTokenImp>> resolveToken;
      private final TokenCredential credential = new DefaultAzureCredentialBuilder().build();
   
      @Override
      public void configure(Map<String, ?> configs, String mechanism, List<AppConfigurationEntry> jaasConfigEntries) {
         TokenRequestContext request = buildTokenRequestContext(configs);
         this.resolveToken = tokenCredential -> tokenCredential.getToken(request).map(OAuthBearerTokenImp::new);
      }
   
      private TokenRequestContext buildTokenRequestContext(Map<String, ?> configs) {
         URI uri = buildEventHubsServerUri(configs);
         String tokenAudience = buildTokenAudience(uri);
   
         TokenRequestContext request = new TokenRequestContext();
         request.addScopes(tokenAudience);
         return request;
      }
   
      @SuppressWarnings("unchecked")
      private URI buildEventHubsServerUri(Map<String, ?> configs) {
         String bootstrapServer = Arrays.asList(configs.get(BOOTSTRAP_SERVERS_CONFIG)).get(0).toString();
         bootstrapServer = bootstrapServer.replaceAll("\\[|\\]", "");
         URI uri = URI.create("https://" + bootstrapServer);
         return uri;
      }
   
      private String buildTokenAudience(URI uri) {
         return String.format(TOKEN_AUDIENCE_FORMAT, uri.getScheme(), uri.getHost());
      }
   
      @Override
      public void handle(Callback[] callbacks) throws UnsupportedCallbackException {
         for (Callback callback : callbacks) {
            if (callback instanceof OAuthBearerTokenCallback) {
               OAuthBearerTokenCallback oauthCallback = (OAuthBearerTokenCallback) callback;
               this.resolveToken
                       .apply(credential)
                       .doOnNext(oauthCallback::token)
                       .doOnError(throwable -> oauthCallback.error("invalid_grant", throwable.getMessage(), null))
                       .block(ACCESS_TOKEN_REQUEST_BLOCK_TIME);
            } else {
               throw new UnsupportedCallbackException(callback);
            }
         }
      }
   
      @Override
      public void close() {
         // NOOP
      }
   }
   

   public class OAuthBearerTokenImp implements OAuthBearerToken {
       private final AccessToken accessToken;
       private final JWTClaimsSet claims;
   
       public OAuthBearerTokenImp(AccessToken accessToken) {
           this.accessToken = accessToken;
           try {
               claims = JWTParser.parse(accessToken.getToken()).getJWTClaimsSet();
           } catch (ParseException exception) {
               throw new SaslAuthenticationException("Unable to parse the access token", exception);
           }
       }
   
       @Override
       public String value() {
           return accessToken.getToken();
       }
   
       @Override
       public Long startTimeMs() {
           return claims.getIssueTime().getTime();
       }
   
       @Override
       public long lifetimeMs() {
           return claims.getExpirationTime().getTime();
       }
   
       @Override
       public Set<String> scope() {
           // Referring to https://docs.microsoft.com/azure/active-directory/develop/access-tokens#payload-claims, the scp
           // claim is a String, which is presented as a space separated list.
           return Optional.ofNullable(claims.getClaim("scp"))
                   .map(s -> Arrays.stream(((String) s)
                   .split(" "))
                   .collect(Collectors.toSet()))
                   .orElse(null);
       }
   
       @Override
       public String principalName() {
           return (String) claims.getClaim("upn");
       }
   
       public boolean isExpired() {
           return accessToken.isExpired();
       }
   }
   

3. При создании производителя или потребителя Kafka добавьте конфигурацию, необходимую для поддержки механизма SASL/OAUTHBEARER . В следующих примерах показано, как должен выглядеть код до и после миграции. В обоих примерах замените <eventhubs-namespace> заполнитель именем пространства имен Центров событий.

   Перед миграцией код должен выглядеть следующим образом:

   Properties properties = new Properties();
   properties.put(CommonClientConfigs.BOOTSTRAP_SERVERS_CONFIG, "<eventhubs-namespace>.servicebus.windows.net:9093");
   properties.put(CommonClientConfigs.SECURITY_PROTOCOL_CONFIG, "SASL_SSL");
   properties.put(ProducerConfig.KEY_SERIALIZER_CLASS_CONFIG, StringSerializer.class.getName());
   properties.put(ProducerConfig.VALUE_SERIALIZER_CLASS_CONFIG, StringSerializer.class.getName());
   properties.put(SaslConfigs.SASL_MECHANISM, "PLAIN");
   properties.put(SaslConfigs.SASL_JAAS_CONFIG,
           String.format("org.apache.kafka.common.security.plain.PlainLoginModule required username=\"$ConnectionString\" password=\"%s\";", connectionString));
   return new KafkaProducer<>(properties);
   

   После миграции код должен выглядеть следующим образом. В этом примере замените <path-to-your-KafkaOAuth2AuthenticateCallbackHandler> заполнитель полным именем класса для реализованного KafkaOAuth2AuthenticateCallbackHandlerобъекта.

   Properties properties = new Properties();
   properties.put(CommonClientConfigs.BOOTSTRAP_SERVERS_CONFIG, "<eventhubs-namespace>.servicebus.windows.net:9093");
   properties.put(CommonClientConfigs.SECURITY_PROTOCOL_CONFIG, "SASL_SSL");
   properties.put(SaslConfigs.SASL_MECHANISM, "OAUTHBEARER");
   properties.put(SaslConfigs.SASL_JAAS_CONFIG, "org.apache.kafka.common.security.oauthbearer.OAuthBearerLoginModule required");
   properties.put(SaslConfigs.SASL_LOGIN_CALLBACK_HANDLER_CLASS, "<path-to-your-KafkaOAuth2AuthenticateCallbackHandler>");
   return new KafkaProducer<>(properties);
   

Spring Kafka (приложение Spring Boot)

1. В проекте добавьте следующую ссылку на com.azure.spring:spring-cloud-azure-starter пакет. Эта библиотека содержит все сущности, необходимые для реализации подключений без пароля.

   <dependency>
       <groupId>com.azure.spring</groupId>
       <artifactId>spring-cloud-azure-starter</artifactId>
   </dependency>
   

2. Затем удалите все имеющиеся подключения или учетные данные, связанные со свойствами Kafka. Добавьте только следующее свойство, чтобы настроить сервер начальной загрузки Kafka с помощью пространства имен Центры событий Azure:

   spring.kafka.bootstrap-servers=$AZ_EVENTHUBS_NAMESPACE_NAME.servicebus.windows.net:9093
   

Spring Cloud Stream Kafka Binder

1. В проекте добавьте следующую ссылку на com.azure.spring:spring-cloud-azure-starter пакет. Эта библиотека содержит все необходимые сущности для реализации подключений без пароля.

   <dependency>
       <groupId>com.azure.spring</groupId>
       <artifactId>spring-cloud-azure-starter</artifactId>
   </dependency>
   

2. Затем удалите все имеющиеся подключения или учетные данные, связанные со свойствами Kafka. Добавьте следующее свойство, чтобы настроить сервер начальной загрузки Kafka с помощью пространства имен Центры событий Azure:

   spring.cloud.stream.kafka.binder.brokers=$AZ_EVENTHUBS_NAMESPACE_NAME.servicebus.windows.net:9093
   

   Примечание.

   Начиная с версии 4.4.0, это свойство будет добавлено автоматически, поэтому его не нужно добавлять вручную.

Локальный запуск приложения

После внесения этих изменений кода запустите приложение локально. Новая конфигурация должна получить локальные учетные данные, если вы вошли в совместимую интегрированную среду разработки или программу командной строки, например Azure CLI, Visual Studio или IntelliJ. Роли, назначенные локальному пользователю разработки в Azure, позволят приложению подключаться к службе Azure локально.

3) Настройка среды размещения Azure

После настройки приложения использовать бессерверные подключения, и он выполняется локально, тот же код может пройти проверку подлинности в службах Azure после его развертывания в Azure. Например, приложение, развернутое в экземпляре Azure Spring Apps с назначенным управляемым удостоверением, может подключаться к Центры событий Azure для Kafka.

В этом разделе описано, как разрешить приложению выполняться в среде размещения Azure без пароля:

• Назначьте управляемое удостоверение для среды размещения Azure.
• Назначьте роли управляемому удостоверению.

Примечание.

Azure также предоставляет соединитель служб, который поможет вам подключить службу размещения к центрам событий. С помощью соединителя служб для настройки среды размещения можно опустить шаг назначения ролей управляемому удостоверению, так как соединитель службы сделает это для вас. В следующем разделе описывается, как настроить среду размещения Azure двумя способами: один через соединитель службы и другой путем настройки каждой среды размещения напрямую.

Внимание

Для команд соединителя служб требуется Azure CLI 2.41.0 или более поздней версии.

Назначение управляемого удостоверения для среды размещения Azure

Ниже показано, как назначить управляемое удостоверение, назначаемое системой, для различных веб-служб размещения. Управляемое удостоверение может безопасно подключаться к другим службам Azure с помощью конфигураций приложений, настроенных ранее.

Служба приложений

1. На главной странице обзора экземпляра службы приложение Azure выберите Удостоверение в области навигации.

2. На вкладке "Назначаемая системой" убедитесь, что поле "Состояние" включено. Назначаемое системой удостоверение управляется Azure внутренним образом и обслуживает административные задачи. Сведения об удостоверении и его идентификаторы ни в коем случае не раскрываются в коде.

Соединитель служб

При использовании соединителя службы он может помочь назначить управляемое удостоверение, назначаемое системой, в среду размещения Azure, а затем настроить роли отправителя данных Центры событий Azure и Центры событий Azure приемника данных для управляемого удостоверения.

В настоящее время поддерживаются следующие службы вычислений:

• Служба приложений Azure
• Azure Spring Apps
• Приложения-контейнеры Azure

В этом руководстве по миграции вы будете использовать Служба приложений, но шаги аналогичны для Azure Spring Apps и приложений контейнеров Azure.

Примечание.

В настоящее время Azure Spring Apps поддерживает только соединитель сервисов с использованием строк подключения.

1. На главной странице обзора экземпляра Служба приложений на главной странице портал Azure выберите "Соединитель службы" в области навигации.

2. Выберите "Создать" в главном меню и откроется панель "Создать подключение ". Введите следующие значения:

   • Тип службы: выбор центров событий.
   • Подписка. Выберите нужную подписку.
   • Имя подключения: введите имя подключения, например connector_appservice_eventhub.
   • Пространство имен. Выберите пространство имен Центров событий, которое вы хотите использовать.
   • Тип клиента: оставьте значение по умолчанию или выберите определенный клиент.

3. Выберите Далее: проверка подлинности.

   

4. Убедитесь, что выбрано управляемое удостоверение, назначенное системой (рекомендуется), а затем нажмите кнопку "Далее: Сеть".

5. Оставьте выбранные значения по умолчанию, а затем нажмите кнопку "Далее: просмотр и создание".

6. После проверки параметров Azure нажмите кнопку "Создать".

Соединитель службы автоматически назначит управляемое удостоверение, назначаемое системой, для службы приложений. Соединитель также назначает роли управляемого удостоверения Центры событий Azure отправителя данных и Центры событий Azure приемника данных для выбранного экземпляра Центров событий.

Приложения-контейнеры

1. На главной странице экземпляра службы "Приложения контейнеров Azure" выберите "Удостоверение " в области навигации.

2. На вкладке "Назначаемая системой" убедитесь, что поле "Состояние" включено. Назначаемое системой удостоверение управляется Azure внутренним образом и обслуживает административные задачи. Сведения об удостоверении и его идентификаторы ни в коем случае не раскрываются в коде.

   

Azure Spring Apps

1. На главной странице обзора экземпляра Azure Spring Apps выберите Identity в области навигации.

2. На вкладке "Назначаемая системой" убедитесь, что поле "Состояние" включено. Назначаемое системой удостоверение управляется Azure внутренним образом и обслуживает административные задачи. Сведения об удостоверении и его идентификаторы ни в коем случае не раскрываются в коде.

   

Виртуальные машины

1. На главной странице обзора виртуальной машины выберите "Удостоверение " в области навигации.

2. На вкладке "Назначаемая системой" убедитесь, что поле "Состояние" включено. Назначаемое системой удостоверение управляется Azure внутренним образом и обслуживает административные задачи. Сведения об удостоверении и его идентификаторы ни в коем случае не раскрываются в коде.

   

AKS

Кластеру Службы Azure Kubernetes Service (AKS) требуется удостоверение для доступа к таким ресурсам Azure, как системы балансировки нагрузки и управляемые диски. Это удостоверение может быть либо управляемым удостоверением, либо субъектом-службой. По умолчанию при создании кластера AKS автоматически создается управляемое удостоверение, назначаемое системой.

Вы также можете назначить управляемое удостоверение в среде размещения Azure с помощью Azure CLI.

Служба приложений

Управляемое удостоверение можно назначить экземпляру службы приложение Azure с помощью команды az webapp identity assign, как показано в следующем примере.

export AZURE_MANAGED_IDENTITY_ID=$(az webapp identity assign \
    --resource-group $AZ_RESOURCE_GROUP \
    --name <app-service-name> \
    --query principalId \
    --output tsv)

Соединитель служб

Вы можете создать подключение к службе между средой размещения вычислений Azure и целевой службой с помощью Azure CLI. Azure CLI автоматически обрабатывает создание управляемого удостоверения и назначает соответствующую роль, как описано в разделе "Назначение управляемого удостоверения для среды размещения Azure".

Сначала установите расширение без пароля соединителя службы для Azure CLI:

az extension add --name serviceconnector-passwordless --upgrade

Если вы используете службу приложение Azure, используйте команду az webapp connection, как показано в следующем примере:

az webapp connection create eventhub \
    --resource-group $AZ_RESOURCE_GROUP \
    --name <app-service-name>
    --target-id $AZURE_EVENTHUBS_RESOURCE_ID \
    --client-type kafka-springBoot \
    --system-identity

Если вы используете Azure Spring Apps, используйте az spring connection команду, как показано в следующем примере:

az spring connection create eventhub \
    --app <spring-app-name> \
    --service <azure-spring-service-name> \
    --resource-group $AZ_RESOURCE_GROUP \
    --deployment <spring-app-deployment-name> \
    --target-id $AZURE_EVENTHUBS_RESOURCE_ID \
    --client-type kafka-springBoot \
    --system-identity

Если вы используете приложения контейнеров Azure, используйте az containerapp connection команду, как показано в следующем примере:

az containerapp connection create eventhub \
    --resource-group $AZ_RESOURCE_GROUP \
    --name <container-app-name>
    --target-id $AZURE_EVENTHUBS_RESOURCE_ID \
    --client-type kafka-springBoot \
    --system-identity

Приложения-контейнеры

Управляемое удостоверение можно назначить экземпляру Azure Container Apps с помощью команды az containerapp identity assign , как показано в следующем примере:

export AZURE_MANAGED_IDENTITY_ID=$(az containerapp identity assign \
    --resource-group $AZ_RESOURCE_GROUP \
    --name <container-app-name> \
    --system-assigned \
    --query principalId \
    --output tsv)

Azure Spring Apps

Управляемое удостоверение можно назначить экземпляру Azure Spring Apps с помощью команды az spring app identity assign , как показано в следующем примере:

export AZURE_MANAGED_IDENTITY_ID=$(az spring app identity assign \
    --resource-group $AZ_RESOURCE_GROUP \
    --name <spring-app-name> \
    --service <spring-apps-service-name> \
    --system-assigned \
    --query identity.principalId \
    --output tsv)

Виртуальные машины

Вы можете назначить управляемое удостоверение виртуальной машине с помощью команды az vm identity assign , как показано в следующем примере:

export AZURE_MANAGED_IDENTITY_ID=$(az vm identity assign \
    --resource-group $AZ_RESOURCE_GROUP \
    --name <vm-name> \
    --query principalId \
    --output tsv)

AKS

Управляемое удостоверение можно назначить экземпляру Служба Azure Kubernetes (AKS) с помощью команды az aks update, как показано в следующем примере:

export AZURE_MANAGED_IDENTITY_ID=$(az aks update \
    --resource-group $AZ_RESOURCE_GROUP \
    --name <AKS-cluster-name> \
    --enable-managed-identity \
    --query identityProfile.kubeletidentity.clientId \
    --output tsv)

Назначение роли управляемому удостоверению

Затем предоставьте разрешения управляемому удостоверению, созданному для доступа к пространству имен Центров событий. Вы можете предоставить разрешения, назначив роль управляемому удостоверению, как и у локального пользователя разработки.

Соединитель служб

Если вы подключили службы с помощью соединителя службы, вам не нужно выполнить этот шаг. Для вас были обработаны следующие необходимые конфигурации:

• Если вы выбрали управляемое удостоверение при создании подключения, для приложения было создано управляемое удостоверение, назначаемое системой, и назначалось роль отправителя данных Центры событий Azure и Центры событий Azure роли приемника данных в Центрах событий.

• Если вы решили использовать строка подключения, строка подключения был добавлен в качестве переменной среды приложения.

Портал Azure

Примечание.

Если вы используете Azure Spring Apps, выполните следующие действия, чтобы назначить роли в Azure Spring Apps.

1. В портал Azure перейдите к Azure Spring Apps, а затем выберите используемое приложение.
2. Выберите удостоверение в меню навигации и на вкладке "Назначенная системой" выберите назначения ролей Azure.
3. Выберите "Добавить назначения ролей", найдите Центры событий Azure отправителя данных и Центры событий Azure приемника данных, выберите соответствующий результат и нажмите кнопку "Сохранить".

1. В портал Azure найдите пространство имен Центров событий с помощью главной панели поиска или области навигации.

2. На странице обзора Центров событий выберите элемент управления доступом (IAM) в меню навигации.

3. На странице Контроль доступа (IAM) откройте вкладку Назначения ролей.

4. Выберите " Добавить" в главном меню и добавьте назначение ролей в раскрывающемся меню.

   

5. Используйте поле поиска, чтобы отфильтровать результаты для отображения нужной роли. В этом примере выполните поиск Центры событий Azure отправителя данных и Центры событий Azure приемника данных, выберите соответствующий результат и нажмите кнопку "Далее".

6. В разделе "Назначение доступа" выберите управляемое удостоверение и выберите " Выбрать участников".

7. В всплывающем элементе найдите подписку, в которой находится служба размещения. Затем выберите все управляемые удостоверения, назначаемые системой, и выберите управляемое удостоверение службы размещения. Выберите назначенное системой удостоверение и нажмите кнопку "Выбрать ", чтобы закрыть всплывающее меню.

   Примечание.

   Если вы используете Служба Azure Kubernetes, выберите управляемые удостоверения, назначаемые пользователем, и выберите управляемое удостоверение кластера Kubernetes, которое имеет имя со следующей структурой. <your-kubernetes-cluster-name>-agentpool

8. Нажмите кнопку "Далее " несколько раз, пока не сможете выбрать "Рецензирование" и "Назначить ", чтобы завершить назначение роли.

Azure CLI

Чтобы назначить роль на уровне ресурсов с помощью Azure CLI, можно использовать следующие команды:

az role assignment create \
    --assignee $AZURE_MANAGED_IDENTITY_ID \
    --role "Azure Event Hubs Data Receiver" \
    --scope $AZURE_EVENTHUBS_RESOURCE_ID
az role assignment create \
    --assignee $AZURE_MANAGED_IDENTITY_ID \
    --role "Azure Event Hubs Data Sender" \
    --scope $AZURE_EVENTHUBS_RESOURCE_ID

Тестирование приложения

После внесения этих изменений в код перейдите в размещенное приложение в браузере. Приложение должно успешно подключиться к Центры событий Azure для Kafka. Помните, что на распространение назначений ролей в среде Azure может потребоваться несколько минут. Теперь приложение настроено для запуска в локальной и в рабочей средах без необходимости управлять секретами в самом приложении.

Следующие шаги

Из этого учебника вы узнали, как выполнить переход приложения на подключение без пароля.

Дополнительные сведения о понятиях, описанных в этой статье, см. в следующих ресурсах:

• Авторизация доступа к данным BLOB-объектов с помощью управляемых удостоверений для ресурсов Azure
• Авторизация доступа к blob-объектам с помощью идентификатора Microsoft Entra