Azure Container Apps umožňuje aplikaci bezpečně ukládat citlivé konfigurační hodnoty. Jakmile jsou tajné kódy definované na úrovni aplikace, jsou zabezpečené hodnoty k dispozici pro revize v aplikacích kontejnerů. Kromě toho můžete odkazovat na zabezpečené hodnoty uvnitř pravidel škálování. Informace o používání tajných kódů s Dapr najdete v integraci Dapr.
- Tajnosti jsou určeny pro aplikaci mimo konkrétní revizi této aplikace.
- Nové revize se negenerují přidáním, odebráním nebo změnou tajných kódů.
- Každá revize aplikace může odkazovat na jeden nebo více tajných klíčů.
- Na stejné tajné kódy může odkazovat více revizí.
Aktualizovaný nebo odstraněný tajný klíč nemá automaticky vliv na existující revize ve vaší aplikaci. Při aktualizaci nebo odstranění tajného klíče můžete na změny reagovat dvěma způsoby:
- Nasazení nové revize
- Restartování stávající revize
Před odstraněním tajného klíče nasaďte novou revizi, která již na starý tajný klíč neodkazuje. Pak deaktivujte všechny revize, které odkazují na tajemství.
Definování tajných kódů
Tajné kódy jsou definovány jako sada párů název/hodnota. Hodnota každého tajného kódu je určena přímo nebo jako odkaz na tajný klíč uložený v Azure Key Vault.
Poznámka:
Vyhněte se zadávání hodnoty tajného kódu přímo v produkčním prostředí. Místo toho použijte odkaz na tajemství uložené v Azure Key Vault, jak je popsáno v části Store secret value in Container Apps.
Uložit tajnou hodnotu v aplikacích Container Apps
Následující kód se používá při definování tajných kódů prostřednictvím portálu nebo prostřednictvím různých možností příkazového řádku.
Přejděte do aplikace kontejneru na portálu Azure.
V části Zabezpečení vyberte Tajné kódy.
Vyberte Přidat.
V podokně Přidat tajný klíč zadejte následující informace:
-
Název: Název tajemství.
-
Typ: Vyberte tajný klíč kontejnerových aplikací.
-
Hodnota: Hodnota tajného klíče.
Vyberte Přidat.
Tajné kódy jsou definovány na úrovni aplikace v oddílu resources.properties.configuration.secrets .
"resources": [
{
...
"properties": {
"configuration": {
"secrets": [
{
"name": "queue-connection-string",
"value": "<MY-CONNECTION-STRING-VALUE>"
}],
}
}
}
Zde je připojovací řetězec k účtu pro úložiště front deklarován v poli secrets. V tomto příkladu byste nahradili <MY-CONNECTION-STRING-VALUE> hodnotou připojovací řetězec.
Při vytváření aplikace kontejneru se tajné kódy definují pomocí parametru --secrets .
- Parametr přijímá sadu párů name/value oddělených mezerami.
- Znaménko rovná se (
=) odděluje jednotlivé páry.
az containerapp create \
--resource-group "my-resource-group" \
--name queuereader \
--environment "my-environment-name" \
--image demos/queuereader:v1 \
--secrets "queue-connection-string=<CONNECTION_STRING>"
V této části se připojovací řetězec k účtu úložiště fronty deklaruje v parametru --secrets. Nahraďte <CONNECTION_STRING> hodnotou vašeho připojovací řetězec.
Při vytváření aplikace kontejneru se tajné kódy definují jako jeden nebo více tajných objektů, které se předávají prostřednictvím parametru ConfigurationSecrets .
$EnvId = (Get-AzContainerAppManagedEnv -ResourceGroupName my-resource-group -EnvName my-environment-name).Id
$TemplateObj = New-AzContainerAppTemplateObject -Name queuereader -Image demos/queuereader:v1
$SecretObj = New-AzContainerAppSecretObject -Name queue-connection-string -Value $QueueConnectionString
$ContainerAppArgs = @{
Name = 'my-resource-group'
Location = '<location>'
ResourceGroupName = 'my-resource-group'
ManagedEnvironmentId = $EnvId
TemplateContainer = $TemplateObj
ConfigurationSecret = $SecretObj
}
New-AzContainerApp @ContainerAppArgs
Tady se deklaruje řetězec připojení k účtu úložiště fronty. Hodnota pro queue-connection-string pochází z proměnné prostředí s názvem $QueueConnectionString.
Referenční tajný klíč z Key Vault
Když definujete tajný klíč, vytvoříte odkaz na tajný kód uložený v Azure Key Vault. Container Apps automaticky načte hodnotu tajného kódu z Key Vault a zpřístupní ji jako tajný kód v aplikaci kontejneru.
Pokud chcete odkazovat na tajný klíč z Key Vault, musíte nejprve povolit spravovanou identitu v aplikaci kontejneru a udělit identitě přístup k Key Vault tajným kódům.
Pokud chcete ve své aplikaci kontejneru povolit spravovanou identitu, přečtěte si téma Spravované identity.
K udělení přístupu k tajemstvím Key Vault přidělte spravované identitě roli Azure RBAC Key Vault Secrets User.
Přejděte do aplikace kontejneru na portálu Azure.
V části Zabezpečení vyberte Identita.
Na kartě Systém přiřazen nastavte Stav na Zapnuto.
Poznámka:
Můžete také použít spravovanou identitu přiřazenou uživatelem, která se dá opakovaně používat napříč více prostředky a trvale se zachová nezávisle na životním cyklu aplikace. Pokud ho chcete použít, vyberte kartu Přiřazený uživatel a zvolte existující identitu.
Výběrem možnosti Uložit povolíte spravovanou identitu přiřazenou systémem.
Zobrazí se automaticky otevírané okno s potvrzením, že chcete povolit spravovanou identitu přiřazenou systémem a zaregistrovat aplikaci kontejneru v Microsoft Entra ID. Vyberte Ano.
V části Zabezpečení vyberte Tajné kódy.
Vyberte Přidat.
V podokně Přidat tajný klíč zadejte následující informace:
-
Název: Název tajemství.
-
Type: Vyberte Key Vault reference.
-
URL tajemství Key Vault: URI vašeho tajemství v Key Vault. Tento identifikátor URI má následující formulář:
https://<YOUR_KEY_VAULT_NAME>.vault.azure.net/secrets/<YOUR_SECRET_NAME>/<32_DIGIT_HEX_ID>
-
Identita: Vyberte přiřazený systém.
Vyberte Přidat.
Tajné kódy jsou definovány na úrovni aplikace v oddílu resources.properties.configuration.secrets .
"resources": [
{
...
"properties": {
"configuration": {
"secrets": [
{
"name": "queue-connection-string",
"keyVaultUrl": "<KEY_VAULT_SECRET_URI>",
"identity": "system"
}],
}
}
}
Zde je připojovací řetězec k účtu pro úložiště front deklarován v poli secrets. Jeho hodnota se automaticky načte z Key Vault pomocí zadané identity. Pokud chcete použít identitu spravovanou uživatelem, nahraďte system ID zdroje identity.
Nahraďte <KEY_VAULT_SECRET_URI> URI vašeho tajemství v Key Vault.
Při vytváření aplikace kontejneru se tajné kódy definují pomocí parametru --secrets .
- Parametr přijímá sadu párů name/value oddělených mezerami.
- Znaménko rovná se (
=) odděluje jednotlivé páry.
- Chcete-li zadat odkaz na Key Vault, použijte formát
<SECRET_NAME>=keyvaultref:<KEY_VAULT_SECRET_URI>,identityref:<MANAGED_IDENTITY_ID>. Například queue-connection-string=keyvaultref:https://mykeyvault.vault.azure.net/secrets/queuereader,identityref:/subscriptions/ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0/resourcegroups/my-resource-group/providers/Microsoft.ManagedIdentity/userAssignedIdentities/my-identity.
az containerapp create \
--resource-group "my-resource-group" \
--name queuereader \
--environment "my-environment-name" \
--image demos/queuereader:v1 \
--user-assigned "<USER_ASSIGNED_IDENTITY_ID>" \
--secrets "queue-connection-string=keyvaultref:<KEY_VAULT_SECRET_URI>,identityref:<USER_ASSIGNED_IDENTITY_ID>"
V této části se připojovací řetězec k účtu úložiště fronty deklaruje v parametru --secrets. Nahraďte <KEY_VAULT_SECRET_URI> URI vašeho tajemství v Key Vault. Nahraďte <USER_ASSIGNED_IDENTITY_ID> ID prostředku identity přiřazené uživateli.
Poznámka:
Identita přiřazená uživatelem musí mít přístup ke čtení tajného kódu v Key Vault. Identitu přiřazenou systémem nejde použít s příkazem create, protože není k dispozici, dokud se aplikace kontejneru nevytvoří.
Reference na tajemství Key Vault nejsou v PowerShellu podporovány.
Poznámka:
Pokud používáte UDR s Azure Firewall, budete muset přidat značku služby AzureKeyVault a plně kvalifikovaný název domény login.microsoft.com do seznamu povolení pro vaši bránu firewall. Odkazuje na konfigurování UDR pomocí Azure Firewall, abyste rozhodli, které další značky služeb potřebujete.
Key Vault identifikátoru URI a obměně tajných kódů
Identifikátor URI tajného kódu Key Vault musí být v jednom z následujících formátů:
-
https://myvault.vault.azure.net/secrets/mysecret/ec96f02080254f109c51a1f14cdb1931: Odkazování na konkrétní verzi tajného kódu.
-
https://myvault.vault.azure.net/secrets/mysecret: Odkaz na nejnovější verzi tajného kódu.
Pokud v identifikátoru URI není zadaná verze, aplikace použije nejnovější verzi, která existuje v trezoru klíčů. Jakmile budou k dispozici novější verze, aplikace automaticky načte nejnovější verzi do 30 minut. Všechny aktivní revize, které odkazují na tajný klíč v proměnné prostředí, se automaticky restartují, aby přijaly novou hodnotu.
Pro úplnou kontrolu nad tím, která verze tajemství se používá, uveďte verzi v identifikátoru URI.
Odkazování na tajemství v proměnných prostředí
Po deklarování tajných kódů na úrovni aplikace, jak je popsáno v části definování tajných kódů , můžete je při vytváření nové revize v aplikaci kontejneru odkazovat v proměnných prostředí. Když proměnná prostředí odkazuje na tajemství, její hodnota se naplní hodnotou definovanou v tomto tajemství.
Příklad
Následující příklad ukazuje aplikaci, která deklaruje připojovací řetězec na úrovni aplikace. Na toto připojení se odkazuje v proměnné prostředí v kontejneru a v pravidle škálování.
Po definování tajemství v kontejnerové aplikaci na něj můžete při vytváření nové revize odkazovat v proměnné prostředí.
Přejděte do aplikace kontejneru na portálu Azure.
V části Aplikace vyberte Revize a repliky.
Na stránce Revize a repliky vyberte Vytvořit novou revizi.
Na stránce Vytvořit a nasadit novou revizi vyberte na kartě Kontejner v části Image kontejneru kontejner.
Vyberte položku Upravit.
V podokně Upravit kontext kontejneru vyberte kartu Proměnné prostředí.
Vyberte Přidat.
Zadejte následující údaje:
-
Název: Název proměnné prostředí.
-
Zdroj: Vyberte odkaz na tajný klíč.
-
Hodnota: Vyberte tajný klíč, který jste definovali dříve.
Zvolte Uložit.
Na stránce Vytvořit a nasadit novou revizi vyberte Vytvořit a vytvořte novou revizi.
V tomto příkladu je připojovací řetězec aplikace deklarován jako queue-connection-string a bude dostupný jinde v sektorech konfigurace.
{
"$schema": "https://schema.management.azure.com/schemas/2019-08-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"location": {
"type": "String"
},
"environment_id": {
"type": "String"
},
"key_vault_secret_uri": { ⬅️
"type": "String" ⬅️
} ⬅️
},
"variables": {},
"resources": [
{
"name": "queuereader",
"type": "Microsoft.App/containerApps",
"apiVersion": "2022-03-01",
"kind": "containerapp",
"location": "[parameters('location')]",
"properties": {
"managedEnvironmentId": "[parameters('environment_id')]",
"configuration": {
"activeRevisionsMode": "single",
"secrets": [ ⬅️
{ ⬅️
"name": "queue-connection-string", ⬅️
"keyVaultUrl": "[parameters('key_vault_secret_uri')", ⬅️
"identity": "system" ⬅️
}] ⬅️
},
"template": {
"containers": [
{
"image": "myregistry/myQueueApp:v1",
"name": "myQueueApp",
"env": [
{
"name": "QueueName",
"value": "myqueue"
},
{
"name": "ConnectionString", ⬅️
"secretRef": "queue-connection-string" ⬅️
}
]
}
],
"scale": {
"minReplicas": 0,
"maxReplicas": 10,
"rules": [
{
"name": "myqueuerule",
"azureQueue": {
"queueName": "demoqueue",
"queueLength": 100,
"auth": [
{
"secretRef": "queue-connection-string", ⬅️
"triggerParameter": "connection" ⬅️
}
]
}
}
]
}
}
}
}]
}
V této části získá proměnná prostředí pojmenovaná connection-string svou hodnotu z tajemství na úrovni queue-connection-string aplikace. Konfigurace ověřování pravidla škálování Azure Queue Storage používá také tajný klíč queue-connection-string k definování připojení.
Abyste se vyhnuli uložení tajných hodnot do správy zdrojového kódu pomocí šablony ARM, předejte je jako parametry šablony ARM.
V tomto příkladu vytvoříte aplikaci kontejneru pomocí Azure CLI s tajným kódem, na který odkazuje proměnná prostředí. Pokud chcete odkazovat na tajný klíč v proměnné prostředí v Azure CLI, nastavte jeho hodnotu na secretref: a za ním název tajného klíče.
az containerapp create \
--resource-group "my-resource-group" \
--name myQueueApp \
--environment "my-environment-name" \
--image demos/myQueueApp:v1 \
--user-assigned "<USER_ASSIGNED_IDENTITY_ID>" \
--secrets "queue-connection-string=keyvaultref:<KEY_VAULT_SECRET_URI>,identityref:<USER_ASSIGNED_IDENTITY_ID>" \
--env-vars "QueueName=myqueue" "ConnectionString=secretref:queue-connection-string"
V této části získá proměnná prostředí pojmenovaná connection-string svou hodnotu z tajemství na úrovni queue-connection-string aplikace.
Reference na tajemství Key Vault nejsou v PowerShellu podporovány.
V tomto příkladu vytvoříte kontejner pomocí Azure PowerShell s tajným kódem odkazovaným v proměnné prostředí. Pokud chcete odkazovat na tajný klíč v proměnné prostředí v PowerShellu, nastavte jeho hodnotu na secretref:, následovanou názvem tajného kódu.
$EnvId = (Get-AzContainerAppManagedEnv -ResourceGroupName my-resource-group -EnvName my-environment-name).Id
$SecretObj = New-AzContainerAppSecretObject -Name queue-connection-string -Value $QueueConnectionString
$EnvVarObjQueue = New-AzContainerAppEnvironmentVarObject -Name QueueName -Value myqueue
$EnvVarObjConn = New-AzContainerAppEnvironmentVarObject -Name ConnectionString -SecretRef queue-connection-string -Value secretref
$TemplateObj = New-AzContainerAppTemplateObject -Name myQueueApp -Image demos/myQueueApp:v1 -Env $EnvVarObjQueue, $EnvVarObjConn
$ContainerAppArgs = @{
Name = 'myQueueApp'
Location = '<location>'
ResourceGroupName = 'my-resource-group'
ManagedEnvironmentId = $EnvId
TemplateContainer = $TemplateObj
ConfigurationSecret = $SecretObj
}
New-AzContainerApp @ContainerAppArgs
V této části získá proměnná prostředí pojmenovaná ConnectionString svou hodnotu z tajemství na úrovni $QueueConnectionString aplikace.
Připojování tajných dat do svazku
Po deklarování tajných kódů na úrovni aplikace, jak je popsáno v části definování tajných kódů , můžete na ně odkazovat při vytváření nové revize v aplikaci kontejneru. Při připojování tajných kódů ke svazku se každý tajný klíč připojí jako soubor ve svazku. Název souboru je název tajného kódu a obsah souboru je hodnota tajného kódu. Všechna tajemství můžete načíst do svazku, nebo můžete načíst konkrétní tajemství.
Příklad
Jakmile v kontejnerové aplikaci definujete tajemství, můžete na něj odkazovat při připojení svazku během vytváření nové revize.
Přejděte do aplikace kontejneru na portálu Azure.
V části Aplikace vyberte Revize a repliky.
Na stránce Revize a repliky vyberte Vytvořit novou revizi.
Na stránce Vytvořit a nasadit novou revizi vyberte na kartě Kontejner v části Image kontejneru kontejner.
Vyberte položku Upravit.
V podokně Upravit kontejner vyberte kartu Připojení svazků.
Vyberte Vytvořit nový svazek.
V podokně Přidat svazek zadejte následující informace:
-
Typ svazku: Vyberte
Secret.
-
Název:
mysecrets
-
Připojit všechna tajemství: povoleno
Poznámka:
Pokud chcete načíst konkrétní tajné kódy, zakažte připojení všech tajných kódů a vyberte tajné kódy, které chcete načíst.
Vyberte Přidat.
V podokně Upravit kontext kontejneru v části Název svazku vyberte mysecrets.
V části Cesta k připojení zadejte /mnt/secrets.
Zvolte Uložit.
Na stránce Vytvořit a nasadit novou revizi vyberte Vytvořit a vytvořte novou revizi pomocí připojení svazku.
V tomto příkladu jsou dva tajné kódy deklarovány na úrovni aplikace. Tyto tajné kódy jsou připojeny ke svazku s názvem mysecrets typu Secret. Svazek je připojen k cestě /mnt/secrets. Aplikace pak může odkazovat na tajemství v připojeném svazku.
{
"$schema": "https://schema.management.azure.com/schemas/2019-08-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"location": {
"type": "String"
},
"environment_id": {
"type": "String"
},
"key_vault_secret_uri": {
"type": "Securestring"
},
"api-key": {
"type": "Securestring"
}
},
"variables": {},
"resources": [
{
"name": "queuereader",
"type": "Microsoft.App/containerApps",
"apiVersion": "2022-11-01-preview",
"kind": "containerapp",
"location": "[parameters('location')]",
"properties": {
"managedEnvironmentId": "[parameters('environment_id')]",
"configuration": {
"activeRevisionsMode": "single",
"secrets": [
{
"name": "queue-connection-string",
"keyVaultUrl": "[parameters('key_vault_secret_uri')",
"identity": "system"
},
{
"name": "api-key",
"value": "[parameters('api-key')]"
}
]
},
"template": {
"containers": [
{
"image": "myregistry/myQueueApp:v1",
"name": "myQueueApp",
"volumeMounts": [
{
"name": "mysecrets",
"mountPath": "/mnt/secrets"
}
]
}
],
"volumes": [
{
"name": "mysecrets",
"storageType": "Secret"
}
]
}
}
}]
}
Pokud chcete načíst konkrétní tajné kódy a určit jejich cesty v rámci připojeného svazku, definujete tajné kódy v secrets poli objektu svazku. Následující příklad ukazuje, jak načíst pouze tajemství queue-connection-string v připojení svazku mysecrets s názvem souboru connection-string.txt.
{
"properties": {
...
"configuration": {
...
"secrets": [
{
"name": "queue-connection-string",
"keyVaultUrl": "[parameters('key_vault_secret_uri')",
"identity": "system"
},
{
"name": "api-key",
"value": "[parameters('api-key')]"
}
]
},
"template": {
"containers": [
{
"image": "myregistry/myQueueApp:v1",
"name": "myQueueApp",
"volumeMounts": [
{
"name": "mysecrets",
"mountPath": "/mnt/secrets"
}
]
}
],
"volumes": [
{
"name": "mysecrets",
"storageType": "Secret",
"secrets": [
{
"secretRef": "queue-connection-string",
"path": "connection-string.txt"
}
]
}
]
}
...
}
...
}
V aplikaci můžete číst tajný kód ze souboru umístěného na /mnt/secrets/connection-string.txtadrese .
V tomto příkladu jsou dva tajné kódy deklarovány na úrovni aplikace. Tyto tajné kódy jsou připojeny ke svazku s názvem mysecrets typu Secret. Svazek je připojen k cestě /mnt/secrets. Aplikace pak může číst tajemství jako soubory v připojeném svazku.
az containerapp create \
--resource-group "my-resource-group" \
--name myQueueApp \
--environment "my-environment-name" \
--image demos/myQueueApp:v1 \
--user-assigned "<USER_ASSIGNED_IDENTITY_ID>" \
--secrets "queue-connection-string=keyvaultref:<KEY_VAULT_SECRET_URI>,identityref:<USER_ASSIGNED_IDENTITY_ID>" "api-key=$API_KEY" \
--secret-volume-mount "/mnt/secrets"
Pokud chcete načíst konkrétní tajné kódy a určit jejich cesty v rámci připojeného svazku, definujte aplikaci pomocí YAML.
Připojení tajných kódů jako svazku není v PowerShellu podporované.
Řešení potíží s odkazy na Key Vault
Když odkazujete na tajné kódy z Azure Key Vault, může dojít k problémům při načítání nebo synchronizaci tajných kódů. Tady jsou běžné chyby a jejich řešení:
| Error |
Příčina |
Resolution |
| Spravovaná identita není aktivovaná |
Aplikace kontejneru nemá přiřazenou spravovanou identitu. |
Povolte spravovanou identitu přiřazenou systémem nebo přiřazenou uživatelem v aplikaci kontejneru. Viz Spravované identity. |
| Identita nebyla nalezena. |
Zadaná spravovaná identita neexistuje nebo není přiřazená k aplikaci kontejneru. |
Ověřte, že je identita vytvořená a přiřazená k aplikaci kontejneru v části Identita . |
| Tajný kód zakázán v Key Vault |
Tajný kód je v prostředku Key Vault zakázaný. |
Přejděte na Key Vault na portálu Azure a povolte tajný kód. |
| Ověření se nezdařilo |
Spravovaná identita nemá požadovaná oprávnění ke čtení tajného kódu. |
Udělte roli uživatele tajemství Key Vault spravované identitě ve vašem Key Vault. Viz uživatelské tajemství služby Key Vault. |
| Oprávnění RBAC odepřeno. |
Spravovaná identita nemá dostatečná oprávnění pro přístup k Key Vault. |
Ověřte přiřazení role RBAC na Key Vault a ujistěte se, že obsahuje oprávnění ke čtení tajných kódů. |
Další kroky