Перенос приложения на использование бессерверных подключений с хранилищем очередей Azure

Запросы приложений к службам Azure должны проходить проверку подлинности с помощью таких конфигураций, как ключи доступа к учетной записи или подключения без пароля. Тем не менее, по возможности следует приоритизировать подключения без пароля в приложениях. Традиционные методы проверки подлинности, использующие пароли или секретные ключи, создают риски безопасности и осложнения. Ознакомьтесь с бессерверными подключениями для центра служб Azure, чтобы узнать больше о преимуществах перехода на бессерверные подключения.

В следующем руководстве объясняется, как перенести существующее приложение для подключения с помощью бессерверных подключений. Эти же шаги миграции должны применяться к использованию ключей доступа, строка подключения или другого подхода на основе секретов.

Настройка локальной среды разработки.

Бессерверные подключения можно настроить для работы как для локальных, так и для размещенных в Azure сред. В этом разделе описано, как применить конфигурации, чтобы разрешить отдельным пользователям проходить проверку подлинности в хранилище очередей Azure для локальной разработки.

Назначение ролей пользователей

При локальной разработке убедитесь, что учетная запись пользователя, которая обращается к хранилищу очередей, имеет правильные разрешения. Вам потребуется роль участника данных очереди хранилища для чтения и записи данных очереди. Чтобы назначить себе эту роль, вам потребуется назначить роль администратора доступа пользователей или другую роль, включающую действие Microsoft.Authorization/roleAssignments/write . Роли Azure RBAC можно назначить пользователю с помощью портала Azure, Azure CLI или Azure PowerShell. Дополнительные сведения о доступных областях назначения ролей на странице обзора области.

В следующем примере роль участника данных очереди хранилища назначается учетной записи пользователя. Эта роль предоставляет доступ на чтение и запись к данным очереди в учетной записи хранения.

Портал Azure

1. На портале Azure найдите свою учетную запись хранения, воспользовавшись основной панелью поиска или областью навигации слева.

2. На странице обзора учетной записи хранения выберите Контроль доступа (IAM) в меню слева.

3. На странице Контроль доступа (IAM) откройте вкладку Назначения ролей.

4. Выберите + Добавить в верхнем меню, а затем выберите Добавить назначение роли в появившемся раскрывающемся меню.

   

5. Используйте поле поиска, чтобы отфильтровать результаты для отображения нужной роли. В этом примере найдите участника данных очереди хранилища и выберите соответствующий результат, а затем нажмите кнопку "Далее".

6. В разделе Назначение доступа для выберите Пользователь, группа или субъект-служба и + Выбрать членов.

7. В диалоговом окне найдите имя пользователя Microsoft Entra (обычно ваш user@domain адрес электронной почты), а затем выберите в нижней части диалогового окна.

8. Нажмите кнопку Проверить и назначить, чтобы перейти на последнюю страницу, а затем еще раз Проверить и назначить, чтобы завершить процесс.

Azure CLI

Чтобы назначить роль на уровне ресурса с помощью Azure CLI, сначала необходимо получить идентификатор ресурса с помощью az storage account show команды. Вы можете отфильтровать выходные свойства с помощью параметра --query.

az storage account show \
    --resource-group '<your-resource-group-name>' \
    --name '<your-storage-account-name>' \
    --query id

Скопируйте выходной Id из предыдущей команды. Затем можно назначить роли с помощью команды az role в Azure CLI.

az role assignment create --assignee "<user@domain>" \
    --role "Storage Queue Data Contributor" \
    --scope "<your-resource-id>"

PowerShell

Чтобы назначить роль на уровне ресурсов с помощью Azure PowerShell, сначала необходимо получить идентификатор ресурса с помощью Get-AzResource команды.

Get-AzResource -ResourceGroupName "<yourResourceGroupname>" -Name "<yourStorageAccountName>"

Скопируйте значение Id из выходных данных предыдущей команды. После этого можно назначить роли с помощью команды New-AzRoleAssignment в PowerShell.

New-AzRoleAssignment -SignInName <user@domain> `
    -RoleDefinitionName "Storage Queue Data Contributor" `
    -Scope <yourStorageAccountId>

Внимание

В большинстве случаев для распространения назначения ролей в Azure потребуется несколько минут, но в редких случаях может потребоваться до восьми минут. Если при первом запуске кода возникают ошибки аутентификации, подождите несколько минут и повторите попытку.

Вход в Azure локально

Для локальной разработки убедитесь, что вы прошли проверку подлинности с той же учетной записью Microsoft Entra, которую вы назначили роли. Вы можете пройти проверку подлинности с помощью популярных средств разработки, таких как Azure CLI или Azure PowerShell. Средства разработки, с помощью которых можно пройти проверку подлинности на разных языках.

Azure CLI

Войдите в Azure с помощью Azure CLI, выполнив следующую команду:

az login

Visual Studio

Нажмите кнопку Войти в правом верхнем углу Visual Studio.

Войдите с помощью учетной записи Microsoft Entra, назначенной ранее роли.

Visual Studio Code

Для работы с DefaultAzureCredential Visual Studio Code необходимо установить Azure CLI.

В главном меню Visual Studio Code выберите Терминал > Создать терминал.

Войдите в Azure с помощью Azure CLI, выполнив следующую команду:

az login

PowerShell

Войдите в Azure через PowerShell с помощью следующей команды:

Connect-AzAccount

Обновление кода приложения для использования бессерверных подключений

Клиентская библиотека удостоверений Azure для каждой из следующих экосистем предоставляет DefaultAzureCredential класс, который обрабатывает проверку подлинности без пароля в Azure:

• .NET
• GO
• Java
• Node.js
• Python

DefaultAzureCredential поддерживает несколько методов проверки подлинности. Метод, используемый, определяется во время выполнения. Такой подход позволяет приложению использовать различные способы проверки подлинности в разных средах (локальной и рабочей) без реализации кода для конкретной среды. См. приведенные выше ссылки на порядок и расположения, в которых DefaultAzureCredential будут искать учетные данные.

.NET

1. Чтобы использовать DefaultAzureCredential в приложении .NET, установите Azure.Identity пакет:

   dotnet add package Azure.Identity
   

2. В верхней части файла добавьте следующий код:

   using Azure.Identity;
   

3. Определите расположения в коде QueueClient , создающие объект для подключения к хранилищу очередей Azure. Обновите свой код, чтобы он соответствовал следующему примеру:

   DefaultAzureCredential credential = new();
   
   QueueClient queueClient = new(
        new Uri($"https://{storageAccountName}.queue.core.windows.net/{queueName}"),
        new DefaultAzureCredential());
   

GO

1. Чтобы использовать DefaultAzureCredential в приложении Go, установите azidentity модуль:

   go get -u github.com/Azure/azure-sdk-for-go/sdk/azidentity
   

2. В верхней части файла добавьте следующий код:

   import (
       "github.com/Azure/azure-sdk-for-go/sdk/azidentity"
   )
   

3. Определите расположения в коде QueueClient , создающие экземпляр для подключения к хранилищу очередей Azure. Обновите свой код, чтобы он соответствовал следующему примеру:

   cred, err := azidentity.NewDefaultAzureCredential(nil)
   if err != nil {
       // handle error
   }
   
   serviceURL := fmt.Sprintf("https://%s.queue.core.windows.net/", storageAccountName)
   client, err := azqueue.NewQueueClient(serviceURL, cred, nil)
   if err != nil {
       // handle error
   }
   

Java

1. Чтобы использовать DefaultAzureCredential в приложении Java, установите azure-identity пакет с помощью одного из следующих подходов:

   1. Включите BOM-файл.
   2. Включите прямую зависимость.

2. В верхней части файла добавьте следующий код:

   import com.azure.identity.DefaultAzureCredentialBuilder;
   

3. Определите расположения в коде QueueClient , создающие объект для подключения к хранилищу очередей Azure. Обновите свой код, чтобы он соответствовал следующему примеру:

   DefaultAzureCredential credential = new DefaultAzureCredentialBuilder()
       .build();
   String endpoint = 
       String.format("https://%s.queue.core.windows.net/", storageAccountName);
   
   QueueClient queueClient = new QueueClientBuilder()
       .endpoint(endpoint)
       .queueName(queueName)
       .credential(credential)
       .buildClient();
   

Node.js

1. Чтобы использовать DefaultAzureCredential в приложении Node.js, установите @azure/identity пакет:

   npm install --save @azure/identity
   

2. В верхней части файла добавьте следующий код:

   import { DefaultAzureCredential } from "@azure/identity";
   

3. Определите расположения в коде QueueClient , создающие объект для подключения к хранилищу очередей Azure. Обновите свой код, чтобы он соответствовал следующему примеру:

   const credential = new DefaultAzureCredential();
   
   const queueClient = new QueueClient(
     `https://${storageAccountName}.queue.core.windows.net/${queueName}`,
     credential
   );
   

Python

1. Чтобы использовать DefaultAzureCredential в приложении Python, установите azure-identity пакет:

   pip install azure-identity
   

2. В верхней части файла добавьте следующий код:

   from azure.identity import DefaultAzureCredential
   

3. Определите расположения в коде QueueClient , создающие объект для подключения к хранилищу очередей Azure. Обновите свой код, чтобы он соответствовал следующему примеру:

   credential = DefaultAzureCredential()
   
   queue_client = QueueClient(
       account_url = "https://%s.blob.core.windows.net" % storage_account_name,
       queue_name = queue_name,
       credential = credential
   )
   

4. Обязательно обновите имя учетной записи хранения в URI объекта QueueClient . Имя учетной записи хранения можно найти на странице обзора портал Azure.

   

Локальный запуск приложения

После внесения этих изменений кода запустите приложение локально. Новая конфигурация должна получить локальные учетные данные, например из Azure CLI, Visual Studio или IntelliJ. Роли, назначенные пользователю в Azure, позволяют приложению подключаться к службе Azure локально.

Настройка среды размещения Azure

После настройки приложения для использования без пароля подключений и локального запуска один и тот же код может пройти проверку подлинности в службах Azure после его развертывания в Azure. В следующих разделах объясняется, как настроить развернутое приложение для подключения к хранилищу очередей Azure с помощью управляемого удостоверения. Управляемое удостоверение предоставляет для приложений автоматически управляемое удостоверение в идентификаторе Microsoft Entra, которое используется для подключения к ресурсам, поддерживающим проверку подлинности Microsoft Entra. Дополнительные сведения об управляемых удостоверениях:

• Обзор без пароля
• Рекомендации по управляемому удостоверению

Создание управляемого удостоверения

Управляемое удостоверение, назначаемое пользователем, можно создать с помощью портал Azure или Azure CLI. Приложение использует удостоверение для проверки подлинности в других службах.

Портал Azure

1. В верхней части портал Azure найдите управляемые удостоверения. Выберите результат управляемых удостоверений.
2. Нажмите кнопку " + Создать " в верхней части страницы обзора управляемых удостоверений.
3. На вкладке "Основные сведения" введите следующие значения:
   • Подписка: выберите нужную подписку.
   • Группа ресурсов: выберите нужную группу ресурсов.
   • Регион: выберите ближайший регион.
   • Имя: введите распознаваемое имя удостоверения, например MigrationIdentity.
4. В нижней части страницы выберите Review + create (Проверить и создать).
5. По завершении проверки нажмите кнопку "Создать". Azure создает новое удостоверение, назначаемое пользователем.

После создания ресурса выберите "Перейти к ресурсу ", чтобы просмотреть сведения об управляемом удостоверении.

Azure CLI

Используйте команду az identity create для создания управляемого удостоверения, назначаемого пользователем:

az identity create --name MigrationIdentity --resource-group <your-resource-group>

Связывание управляемого удостоверения с веб-приложением

Необходимо настроить веб-приложение для использования созданного управляемого удостоверения. Назначьте удостоверение приложению с помощью портал Azure или Azure CLI.

Портал Azure

Выполните следующие действия в портал Azure, чтобы связать удостоверение с приложением. Эти же действия применяются к следующим службам Azure:

• Azure Spring Apps
• Приложения-контейнеры Azure
• Виртуальные машины Azure
• Служба Azure Kubernetes

1. Перейдите на страницу обзора веб-приложения.

2. Выберите удостоверение в области навигации слева.

3. На странице "Удостоверение" перейдите на вкладку "Назначаемый пользователем".

4. Нажмите кнопку +Добавить, чтобы открыть всплывающее окно добавления управляемого удостоверения, назначаемого пользователем.

5. Выберите подписку, используемую ранее для создания удостоверения.

6. Найдите идентификатор migrationIdentity по имени и выберите его из результатов поиска.

7. Нажмите кнопку "Добавить ", чтобы связать удостоверение с приложением.

   

Azure CLI

Используйте следующие команды Azure CLI, чтобы связать удостоверение с приложением:

Получите идентификатор управляемого удостоверения, созданного с помощью команды az identity show . Скопируйте выходное значение, которое будет использоваться на следующем шаге.

az identity show --name MigrationIdentity -g <your-identity-resource-group-name> --query id

Служба приложений Azure

Управляемое удостоверение можно назначить экземпляру службы приложение Azure с помощью команды az webapp identity assign.

az webapp identity assign \
    --resource-group <resource-group-name> \
    --name <webapp-name>
    --identities <managed-identity-id>

Azure Spring Apps

Управляемое удостоверение можно назначить экземпляру Azure Spring Apps с помощью команды az spring app identity assign .

az spring app identity assign \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --service <service-name>
    --user-assigned <managed-identity-id>

Приложения контейнеров Azure

Вы можете назначить управляемое удостоверение виртуальной машине с помощью команды az containerapp identity assign .

az containerapp identity assign \
    --resource-group <resource-group-name> \
    --name <app-name>
    --user-assigned <managed-identity-id>

Виртуальные машины Azure

Вы можете назначить управляемое удостоверение виртуальной машине с помощью команды az vm identity assign .

az vm identity assign \
    --resource-group <resource-group-name> \
    --name <virtual-machine-name>
    --identities <managed-identity-id>

Служба Azure Kubernetes

Управляемое удостоверение можно назначить экземпляру Служба Azure Kubernetes (AKS) с помощью команды az aks update.

az aks update \
    --resource-group <resource-group-name> \
    --name <cluster-name> \
    --enable-managed-identity \
    --assign-identity <managed-identity-id> \
    --assign-kubelet-identity <managed-identity-id>

Соединитель служб

Соединитель служб можно использовать для создания подключения между средой размещения вычислений Azure и целевой службой с помощью Azure CLI. Команды CLI соединителя служб автоматически назначают соответствующую роль вашему удостоверению. Дополнительные сведения о соединителе сервисов и поддерживаемых сценариях см. на странице обзора.

1. Получите идентификатор клиента управляемого удостоверения, созданного с помощью az identity show команды. Скопируйте значения для использования в дальнейшем.

   az identity show \
       --name MigrationIdentity \
       --resource-group <your-resource-group> \
       --query clientId
   

2. Используйте соответствующую команду CLI, чтобы установить подключение к службе:

   Служба приложений Azure

   Если вы используете службу приложение Azure, используйте команду az webapp connection:

   az webapp connection create storage-queue \
       --resource-group <resource-group-name> \
       --name <webapp-name> \
       --target-resource-group <target-resource-group-name> \
       --account <target-storage-account-name> \
       --user-identity "client-id=<your-identity-client-id>" "subs-id=<your-subscription-id>"
   

   Azure Spring Apps

   Если вы используете Azure Spring Apps, используйте команду az spring connection :

   az spring connection create storage-queue \
       --resource-group <resource-group-name> \
       --service <service-instance-name> \
       --app <app-name> \
       --deployment <deployment-name> \
       --target-resource-group <target-resource-group> \
       --account <target-storage-account-name> \
       --user-identity "client-id=<your-identity-client-id>" "subs-id=<your-subscription-id>"
   

   Приложения контейнеров Azure

   Если вы используете приложения контейнеров Azure, используйте команду az containerapp connection :

   az containerapp connection create storage-queue \
       --resource-group <resource-group-name> \
       --name <containerapp-name> \
       --target-resource-group <target-resource-group-name> \
       --account <target-storage-account-name> \
       --user-identity "client-id=<your-identity-client-id>" "subs-id=<your-subscription-id>"
   

Назначение роли управляемому удостоверению

Ниже вам потребуется предоставить разрешения управляемому удостоверению, созданному для доступа к учетной записи хранения. Предоставьте разрешения, назначив роль управляемому удостоверению, как и у локального пользователя разработки.

Портал Azure

1. Перейдите на страницу обзора учетной записи хранения и выберите Контроль доступа (IAM) в области навигации слева.

2. Выберите Добавить назначение ролей.

   

3. В поле поиска ролей найдите участника данных очереди хранилища, которая является общей ролью, используемой для управления операциями данных для очередей. Вы можете назначить любую роль, подходящую для вашего варианта использования. Выберите участника данных очереди хранилища из списка и нажмите кнопку "Далее".

4. На экране Добавление назначения ролей для параметра Назначение доступа для выберите Управляемое удостоверение. Затем нажмите + Выбрать членов.

5. В всплывающем элементе найдите управляемое удостоверение, созданное по имени, и выберите его из результатов. Нажмите кнопку "Выбрать", чтобы закрыть всплывающее меню.

   

6. Нажмите кнопку Далее несколько раз, пока не сможете нажать кнопку Проверить и назначить, чтобы завершить назначение роли.

Azure CLI

Чтобы назначить роль на уровне ресурсов с помощью Azure CLI, сначала необходимо получить идентификатор ресурса с помощью команды az storage account show. Вы можете отфильтровать выходные свойства с помощью параметра --query.

az storage account show \
    --resource-group '<your-resource-group-name>' \
    --name '<your-storage-account-name>' \
    --query id

Скопируйте выходной идентификатор из предыдущей команды. Затем можно назначить роли с помощью команды az role assignment в Azure CLI.

az role assignment create \
    --assignee "<your-username>" \
    --role "Storage Queue Data Contributor" \
    --scope "<your-resource-id>"

Соединитель служб

Если вы подключили службы с помощью соединителя служб, вам не нужно выполнить этот шаг. Необходимые конфигурации ролей обрабатывались при выполнении команд интерфейса командной строки соединителя службы.

Обновление кода приложения

Необходимо настроить код приложения для поиска определенного управляемого удостоверения, созданного при развертывании в Azure. В некоторых сценариях явное задание управляемого удостоверения для приложения также предотвращает случайное обнаружение и использование других удостоверений среды.

1. На странице обзора управляемого удостоверения скопируйте значение идентификатора клиента в буфер обмена.

2. Примените следующие изменения, относящиеся к языку:

   .NET

   DefaultAzureCredentialOptions Создайте объект и передайте его DefaultAzureCredentialв . Задайте для свойства ManagedIdentityClientId идентификатор клиента.

   DefaultAzureCredential credential = new(
       new DefaultAzureCredentialOptions
       {
           ManagedIdentityClientId = managedIdentityClientId
       });
   

   GO

   Задайте для переменной AZURE_CLIENT_ID среды идентификатор клиента управляемого удостоверения. DefaultAzureCredential считывает эту переменную среды.

   Java

   Вызовите метод managedIdentityClientId. Передайте идентификатор клиента в него.

   DefaultAzureCredential credential = new DefaultAzureCredentialBuilder()
       .managedIdentityClientId(managedIdentityClientId)
       .build();
   

   Node.js

   Создайте объект с его свойством DefaultAzureCredentialClientIdOptions managedIdentityClientId, заданным идентификатором клиента. Передайте этот объект конструктору DefaultAzureCredential .

   const credential = new DefaultAzureCredential({
     managedIdentityClientId
   });
   

   Python

   DefaultAzureCredential Задайте для параметра managed_identity_client_id конструктора идентификатор клиента.

   credential = DefaultAzureCredential(
       managed_identity_client_id = managed_identity_client_id
   )
   

3. Повторно разверните код в Azure после внесения этого изменения в порядок применения обновлений конфигурации.

Тестирование приложения

После развертывания обновленного кода перейдите в размещенное приложение в браузере. Ваше приложение должно успешно подключиться к учетной записи хранения. Помните, что на распространение назначений ролей в среде Azure может потребоваться несколько минут. Теперь приложение настроено для запуска в локальной и в рабочей средах без необходимости управлять секретами в самом приложении.

Следующие шаги

Из этого учебника вы узнали, как выполнить переход приложения на подключение без пароля.

Дополнительные сведения о понятиях, описанных в этой статье, см. в следующих ресурсах:

• Авторизация доступа к blob-объектам с помощью идентификатора Microsoft Entra
• Дополнительные сведения о .NET см. в статье "Начало работы с .NET" за 10 минут.