Anmerkung
Der Zugriff auf diese Seite erfordert eine Genehmigung. Du kannst versuchen, dich anzumelden oder die Verzeichnisse zu wechseln.
Der Zugriff auf diese Seite erfordert eine Genehmigung. Du kannst versuchen , die Verzeichnisse zu wechseln.
Stellen Sie sicher Verbindungen mit Azure- und Nicht-Microsoft-Diensten für Dapr-Komponenten her, indem Sie verwaltete Identitäts- oder Azure Key Vault-Geheimspeicher verwenden.
Bevor Sie beginnen, erfahren Sie mehr über die angebotene Unterstützung für Dapr-Komponenten.
Empfehlungen
Es empfiehlt sich, nach Möglichkeit Azure-Komponenten zu verwenden, die Unterstützung für verwaltete Identitäten bieten, um eine möglichst sichere Verbindung herzustellen. Verwenden Sie Azure Key Vault-Geheimnisspeicher nur, wenn die Authentifizierung mithilfe verwalteter Identitäten nicht unterstützt wird.
| Diensttyp | Empfehlung |
|---|---|
| Azure-Komponente mit Unterstützung verwalteter Identitäten | Verwenden Sie den Flow für verwaltete Identitäten (empfohlen) |
| Azure-Komponente ohne Unterstützung verwalteter Identitäten | Verwenden eines Azure Key Vault-Geheimnisspeichers |
| Nicht-Azure-Komponenten | Verwenden eines Azure Key Vault-Geheimnisspeichers |
Verwaltete Identität verwenden (empfohlen)
Bei von Azure gehosteten Diensten kann Dapr die verwaltete Identität der bereichsbezogenen Container-Apps verwenden, um sich beim Back-End-Dienstanbieter zu authentifizieren. Wenn Sie eine verwaltete Identität verwenden, müssen Sie keine Geheimnisinformationen in ein Komponentenmanifest einschließen. Die Verwendung verwalteter Identitäten wird empfohlen, da die Speicherung vertraulicher Eingaben in Komponenten dadurch vermieden wird und keine Verwaltung eines Geheimnisspeichers erforderlich ist.
Hinweis
Das Metadatenfeld azureClientId (die Client-ID der verwalteten Identität) ist für jede Komponente erforderlich, die sich mit einer benutzerseitig zugewiesenen verwalteten Identität authentifiziert.
Verwenden einer Dapr-Komponentenreferenz für geheimen Speicher
Wenn Sie Dapr-Komponenten für Dienste ohne Entra ID-Aktivierung oder Komponenten erstellen, die die Authentifizierung mithilfe verwalteter Identitäten nicht unterstützen, erfordern bestimmte Metadatenfelder vertrauliche Eingabewerte. Rufen Sie bei diesem Ansatz diese Geheimnisse ab, indem Sie auf eine vorhandene Dapr-Geheimnisspeicherkomponente verweisen, die sicher auf Geheimnisinformationen zugreift.
So richten Sie einen Verweis ein:
- Erstellen Sie eine Dapr-Komponente für den geheimen Speicher mithilfe des Azure-Container-Apps-Schemas. Der Komponententyp für alle unterstützten Dapr-Geheimspeicher beginnt mit
secretstores. - Erstellen Sie zusätzliche Komponenten (nach Bedarf), die auf die Von Ihnen erstellte Dapr-Komponente für den geheimen Speicher verweisen , um die Eingabe vertraulicher Metadaten abzurufen.
Erstellen einer Dapr-Komponente für den geheimen Speicher
Beim Erstellen einer Geheimnisspeicherkomponente in Azure-Container-Apps können Sie vertrauliche Informationen im Abschnitt der Metadaten auf eine der folgenden Weisen bereitstellen:
- Verwenden Sie für einen geheimen Azure Key Vault-Speicher die verwaltete Identität, um die Verbindung herzustellen.
- Verwenden Sie für nicht azure-geheime Speicher plattformverwaltete Kubernetes-Geheimschlüssel, die direkt als Teil des Komponentenmanifests definiert sind.
Azure Key Vault-Geheimnisspeicher
Das folgende Komponentenschema zeigt die einfachste mögliche Geheimnisspeicherkonfiguration mit einem Azure Key Vault-Geheimnisspeicher.
publisher-app und subscriber-app werden so konfiguriert, dass sie sowohl eine systemseitig als auch eine benutzerseitig zugewiesene verwaltete Identität mit entsprechenden Berechtigungen für die Azure Key Vault-Instanz haben.
componentType: secretstores.azure.keyvault
version: v1
metadata:
- name: vaultName
value: [your_keyvault_name]
- name: azureEnvironment
value: "AZUREPUBLICCLOUD"
- name: azureClientId # Only required for authenticating user-assigned managed identity
value: [your_managed_identity_client_id]
scopes:
- publisher-app
- subscriber-app
Plattformseitig verwaltete Kubernetes-Geheimnisse
Als Alternative zu Kubernetes geheimen Schlüsseln, lokalen Umgebungsvariablen und lokalen Dapr-Dateispeichern bietet Azure Container-Apps einen plattformverwalteten Ansatz zum Erstellen und Verwenden von Kubernetes-Geheimschlüsseln. Dieser Ansatz kann verwendet werden, um eine Verbindung mit Nicht-Azure-Diensten herzustellen, oder um in Entwicklungs-/Testszenarien Komponenten schnell über die CLI bereitzustellen, ohne einen Geheimnisspeicher oder eine verwaltete Identität einrichten zu müssen.
Diese Komponentenkonfiguration definiert den vertraulichen Wert als Geheimnisparameter, auf den im Metadatenabschnitt verwiesen werden kann.
componentType: secretstores.azure.keyvault
version: v1
metadata:
- name: vaultName
value: [your_keyvault_name]
- name: azureEnvironment
value: "AZUREPUBLICCLOUD"
- name: azureTenantId
value: "[your_tenant_id]"
- name: azureClientId
value: "[your_client_id]"
- name: azureClientSecret
secretRef: azClientSecret
secrets:
- name: azClientSecret
value: "[your_client_secret]"
scopes:
- publisher-app
- subscriber-app
Referenzkomponenten für den geheimen Speicher von Dapr
Nachdem Sie einen Dapr-Geheimnisspeicher mit einem der oben genannten Ansätze erstellt haben, können Sie aus anderen Dapr-Komponenten in derselben Umgebung auf diesen Geheimnisspeicher verweisen. Das folgende Beispiel veranschaulicht die Verwendung der Microsoft Entra ID-Authentifizierung.
componentType: pubsub.azure.servicebus.queue
version: v1
secretStoreComponent: "[your_secret_store_name]"
metadata:
- name: namespaceName
# Required when using Azure Authentication.
# Must be a fully-qualified domain name
value: "[your_servicebus_namespace.servicebus.windows.net]"
- name: azureTenantId
value: "[your_tenant_id]"
- name: azureClientId
value: "[your_client_id]"
- name: azureClientSecret
secretRef: azClientSecret
scopes:
- publisher-app
- subscriber-app