Inicio rápido: Carga de secretos de aplicación mediante Key Vault

Artículo
02/02/2024

Nota

Azure Spring Apps es el nuevo nombre del servicio Azure Spring Cloud. Aunque el servicio tiene un nuevo nombre, verá el nombre antiguo en algunos lugares durante un tiempo mientras trabajamos para actualizar recursos, como capturas de pantalla, vídeos y diagramas.

La información de este artículo puede ponerse en práctica en:❌ ✔️ Básico o Estándar ✔️ Enterprise

Este inicio rápido muestra cómo cargar secretos de forma segura mediante Azure Key Vault para aplicaciones que ejecutan el plan Enterprise de Azure Spring Apps.

Cada aplicación tiene propiedades que lo conectan a su entorno y a los servicios de soporte. Estos servicios incluyen recursos como bases de datos, herramientas de registro y supervisión, plataformas de mensajería, etc. Cada recurso requiere una manera de localizarlo y acceder a él, a menudo en forma de direcciones URL y credenciales. Esta información suele estar protegida por la ley y debe mantenerse en secreto para proteger los datos de los clientes. En Azure Spring Apps, puede configurar aplicaciones para cargar directamente estos secretos en la memoria desde Key Vault mediante identidades administradas y el control de acceso basado en rol de Azure.

Requisitos previos

Una cuenta de Azure con una suscripción activa. Cree una cuenta gratuita.
Comprenda y cumpla la sección Requisitos del plan Enterprise en Azure Marketplace.
La versión 2.45.0 o superior de la CLI de Azure.
Git.
jq
La extensión del plan Enterprise de Azure Spring Apps. Use el siguiente comando para eliminar las versiones anteriores e instalar la extensión del plan Enterprise más reciente. Si ya ha instalado la extensión spring-cloud, desinstálela para evitar errores de coincidencia de la configuración y la versión.
```
az extension add --upgrade --name spring
az extension remove --name spring-cloud
```
Siga los pasos descritos en estos inicios rápidos:
- Compile e implemente aplicaciones en Azure Spring Apps con el plan Enterprise.
- Integración con Azure Database for PostgreSQL y Azure Cache for Redis

Aprovisionamiento de Key Vault y almacenamiento de secretos

En las instrucciones siguientes se describe cómo crear una instancia de Key Vault y guardar de forma segura los secretos de aplicación.

Cree variables para contener los nombres del recurso mediante los siguientes comandos. Asegúrese de reemplazar los marcadores de posición por sus propios valores.

export RESOURCE_GROUP=<resource-group-name>
export KEY_VAULT_NAME=<key-vault-name>
export POSTGRES_SERVER_NAME=<postgres-server-name>
export POSTGRES_USERNAME=<postgres-username>
export POSTGRES_PASSWORD=<postgres-password>
export REDIS_CACHE_NAME=<redis-cache-name>
export AZURE_SPRING_APPS_SERVICE_INSTANCE_NAME=<Azure-Spring-Apps-service-instance-name>

Use el siguiente comando para crear una instancia de Key Vault para almacenar secretos de aplicación:
```
az keyvault create \
    --resource-group ${RESOURCE_GROUP} \
    --name ${KEY_VAULT_NAME}
```

Use el siguiente comando para almacenar el nombre completo del servidor de base de datos en Key Vault:

az keyvault secret set \
    --vault-name ${KEY_VAULT_NAME} \
    --name "POSTGRES-SERVER-NAME" \
    --value "${POSTGRES_SERVER_NAME}.postgres.database.azure.com"

Use el siguiente comando para almacenar el nombre de la base de datos en Key Vault para la aplicación del servicio de catálogos:

az keyvault secret set \
    --vault-name ${KEY_VAULT_NAME} \
    --name "CATALOG-DATABASE-NAME" \
    --value "acmefit_catalog"

Use los siguientes comandos para almacenar las credenciales de inicio de sesión de la base de datos en Key Vault:

az keyvault secret set \
    --vault-name ${KEY_VAULT_NAME} \
    --name "POSTGRES-LOGIN-NAME" \
    --value "${POSTGRES_USERNAME}"

az keyvault secret set \
    --vault-name ${KEY_VAULT_NAME} \
    --name "POSTGRES-LOGIN-PASSWORD" \
    --value "${POSTGRES_PASSWORD}"

Use el siguiente comando para almacenar la cadena de conexión de base de datos en Key Vault para la aplicación del servicio de pedidos:

az keyvault secret set \
    --vault-name ${KEY_VAULT_NAME} \
    --name "ConnectionStrings--OrderContext" \
    --value "Server=${POSTGRES_SERVER_NAME};Database=acmefit_order;Port=5432;Ssl Mode=Require;User Id=${POSTGRES_USERNAME};Password=${POSTGRES_PASSWORD};"

Use los siguientes comandos para recuperar las propiedades de conexión de Redis y almacenarlas en Key Vault:

export REDIS_HOST=$(az redis show \
    --resource-group ${RESOURCE_GROUP} \
    --name ${REDIS_CACHE_NAME} | jq -r '.hostName')

export REDIS_PORT=$(az redis show \
    --resource-group ${RESOURCE_GROUP} \
    --name ${REDIS_CACHE_NAME} | jq -r '.sslPort')

export REDIS_PRIMARY_KEY=$(az redis list-keys \
    --resource-group ${RESOURCE_GROUP} \
    --name ${REDIS_CACHE_NAME} | jq -r '.primaryKey')

az keyvault secret set \
    --vault-name ${KEY_VAULT_NAME} \
    --name "CART-REDIS-CONNECTION-STRING" \
    --value "rediss://:${REDIS_PRIMARY_KEY}@${REDIS_HOST}:${REDIS_PORT}/0"

Si ha configurado el inicio de sesión único, use el siguiente comando para almacenar el URI de JSON Web Key (JWK) en Key Vault:
```
az keyvault secret set \
    --vault-name ${KEY_VAULT_NAME} \
    --name "SSO-PROVIDER-JWK-URI" \
    --value <jwk-uri>
```

Concesión de acceso a las aplicaciones a secretos en Key Vault

Las instrucciones descritas a continuación explican cómo conceder acceso a los secretos de Key Vault a las aplicaciones implementadas en el plan Enterprise de Azure Spring Apps.

Use el siguiente comando para habilitar una identidad asignada por el sistema para la aplicación del servicio de carros:

az spring app identity assign \
    --resource-group ${RESOURCE_GROUP} \
    --name cart-service \
    --service ${AZURE_SPRING_APPS_SERVICE_INSTANCE_NAME}

Use los siguientes comandos para establecer una directiva de acceso de get list en Key Vault para la aplicación del servicio de carros:

export CART_SERVICE_APP_IDENTITY=$(az spring app show \
    --resource-group ${RESOURCE_GROUP} \
    --name cart-service \
    --service ${AZURE_SPRING_APPS_SERVICE_INSTANCE_NAME} | jq -r '.identity.principalId')

az keyvault set-policy \
    --name ${KEY_VAULT_NAME} \
    --object-id ${CART_SERVICE_APP_IDENTITY} \
    --resource-group ${RESOURCE_GROUP} \
    --secret-permissions get list

Use el siguiente comando para habilitar una identidad asignada por el sistema para la aplicación del servicio de pedidos:

az spring app identity assign \
    --resource-group ${RESOURCE_GROUP} \
    --name order-service \
    --service ${AZURE_SPRING_APPS_SERVICE_INSTANCE_NAME}

Use los siguientes comandos para establecer una directiva de acceso de get list en Key Vault para la aplicación del servicio de pedidos:

export ORDER_SERVICE_APP_IDENTITY=$(az spring app show \
    --resource-group ${RESOURCE_GROUP} \
    --name order-service \
    --service ${AZURE_SPRING_APPS_SERVICE_INSTANCE_NAME} | jq -r '.identity.principalId')

az keyvault set-policy \
    --name ${KEY_VAULT_NAME} \
    --object-id ${ORDER_SERVICE_APP_IDENTITY} \
    --resource-group ${RESOURCE_GROUP} \
    --secret-permissions get list

Use el siguiente comando para habilitar una identidad asignada por el sistema para la aplicación del servicio de catálogos:

az spring app identity assign \
    --resource-group ${RESOURCE_GROUP} \
    --name catalog-service \
    --service ${AZURE_SPRING_APPS_SERVICE_INSTANCE_NAME}

Use los siguientes comandos para establecer una directiva de acceso de get list en Key Vault para la aplicación del servicio de catálogos:

export CATALOG_SERVICE_APP_IDENTITY=$(az spring app show \
    --resource-group ${RESOURCE_GROUP} \
    --name catalog-service \
    --service ${AZURE_SPRING_APPS_SERVICE_INSTANCE_NAME} | jq -r '.identity.principalId')

az keyvault set-policy \
    --name ${KEY_VAULT_NAME} \
    --object-id ${CATALOG_SERVICE_APP_IDENTITY} \
    --resource-group ${RESOURCE_GROUP} \
    --secret-permissions get list

Si ha configurado el inicio de sesión único, use el siguiente comando para habilitar una identidad asignada por el sistema para la aplicación del servicio de identidades:
```
az spring app identity assign \
    --resource-group ${RESOURCE_GROUP} \
    --name identity-service \
    --service ${AZURE_SPRING_APPS_SERVICE_INSTANCE_NAME}
```

Si ha configurado el inicio de sesión único, use los siguientes comandos para establecer una directiva de acceso de get list en Key Vault para la aplicación del servicio de identidad:

export IDENTITY_SERVICE_APP_IDENTITY=$(az spring app show \
    --resource-group ${RESOURCE_GROUP} \
    --name identity-service \
    --service ${AZURE_SPRING_APPS_SERVICE_INSTANCE_NAME} | jq -r '.identity.principalId')

az keyvault set-policy \
    --name ${KEY_VAULT_NAME} \
    --object-id ${IDENTITY_SERVICE_APP_IDENTITY} \
    --resource-group ${RESOURCE_GROUP} \
    --secret-permissions get list

Actualización de aplicaciones para cargar secretos de Key Vault

Después de conceder acceso para leer secretos de Key Vault, siga estos pasos para actualizar las aplicaciones para usar los nuevos valores de secreto en sus configuraciones.

Use el siguiente comando para recuperar el URI de Key Vault que se usará en la actualización de aplicaciones:

export KEYVAULT_URI=$(az keyvault show --name ${KEY_VAULT_NAME} --resource-group ${RESOURCE_GROUP} | jq -r '.properties.vaultUri')

Use el siguiente comando para recuperar la dirección URL de Spring Cloud Gateway que se usará en la actualización de aplicaciones:

export GATEWAY_URL=$(az spring gateway show \
    --resource-group ${RESOURCE_GROUP} \
    --service ${AZURE_SPRING_APPS_SERVICE_INSTANCE_NAME} | jq -r '.properties.url')

Use el siguiente comando para quitar el conector de servicio que enlaza la aplicación del servicio de pedidos y el servidor flexible Azure Database for PostgreSQL:

az spring connection delete \
    --resource-group ${RESOURCE_GROUP} \
    --app order-service \
    --connection order_service_db \
    --service ${AZURE_SPRING_APPS_SERVICE_INSTANCE_NAME} \
    --deployment default \
    --yes

Use el siguiente comando para actualizar el entorno del servicio de pedidos con el URI para acceder a Key Vault:

az spring app update \
    --resource-group ${RESOURCE_GROUP} \
    --name order-service \
    --service ${AZURE_SPRING_APPS_SERVICE_INSTANCE_NAME} \
    --env "ConnectionStrings__KeyVaultUri=${KEYVAULT_URI}" "AcmeServiceSettings__AuthUrl=https://${GATEWAY_URL}" "DatabaseProvider=Postgres"

Use el siguiente comando para quitar el conector de servicio que enlaza la aplicación del servicio de catálogos y el servidor flexible Azure Database for PostgreSQL:

az spring connection delete \
    --resource-group ${RESOURCE_GROUP} \
    --app catalog-service \
    --connection catalog_service_db \
    --service ${AZURE_SPRING_APPS_SERVICE_INSTANCE_NAME} \
    --deployment default \
    --yes

Use el siguiente comando para actualizar el entorno del servicio de catálogos y el patrón de configuración para acceder a Key Vault:

az spring app update \
    --resource-group ${RESOURCE_GROUP} \
    --name catalog-service \
    --service ${AZURE_SPRING_APPS_SERVICE_INSTANCE_NAME} \
    --config-file-pattern catalog/default,catalog/key-vault \
    --env "SPRING_CLOUD_AZURE_KEYVAULT_SECRET_PROPERTY_SOURCES_0_ENDPOINT=${KEYVAULT_URI}" "SPRING_CLOUD_AZURE_KEYVAULT_SECRET_PROPERTY_SOURCES_0_NAME='acme-fitness-store-vault'" "SPRING_PROFILES_ACTIVE=default,key-vault"

Use el siguiente comando para quitar el conector de servicio que enlaza la aplicación del servicio de carros y Azure Cache for Redis:

az spring connection delete \
    --resource-group ${RESOURCE_GROUP} \
    --app cart-service \
    --connection cart_service_cache \
    --service ${AZURE_SPRING_APPS_SERVICE_INSTANCE_NAME} \
    --deployment default \
    --yes

Use el siguiente comando para actualizar el entorno del servicio de carros para acceder a Key Vault:

az spring app update \
    --resource-group ${RESOURCE_GROUP} \
    --name cart-service \
    --service ${AZURE_SPRING_APPS_SERVICE_INSTANCE_NAME} \
    --env "CART_PORT=8080" "KEYVAULT_URI=${KEYVAULT_URI}" "AUTH_URL=https://${GATEWAY_URL}"

Si ha configurado el inicio de sesión único, use el siguiente comando para actualizar el entorno del servicio de identidad y el patrón de configuración para acceder a Key Vault:

az spring app update \
    --resource-group ${RESOURCE_GROUP} \
    --name identity-service \
    --service ${AZURE_SPRING_APPS_SERVICE_INSTANCE_NAME} \
    --config-file-pattern identity/default,identity/key-vault \
    --env "SPRING_CLOUD_AZURE_KEYVAULT_SECRET_PROPERTY_SOURCES_0_ENDPOINT=${KEYVAULT_URI}" "SPRING_CLOUD_AZURE_KEYVAULT_SECRET_PROPERTY_SOURCES_0_NAME='acme-fitness-store-vault'" "SPRING_PROFILES_ACTIVE=default,key-vault"

Use los siguientes comandos para recuperar la dirección URL de la puerta de enlace de Spring Cloud:

export GATEWAY_URL=$(az spring gateway show \
    --resource-group ${RESOURCE_GROUP} \
    --service ${AZURE_SPRING_APPS_SERVICE_INSTANCE_NAME} | jq -r '.properties.url')

echo "https://${GATEWAY_URL}"

Puede abrir la dirección URL de salida en un explorador para explorar la aplicación actualizada.

Limpieza de recursos

Si planea seguir trabajando en otros inicios rápidos y tutoriales, considere la posibilidad de dejar estos recursos activos. Cuando ya no lo necesite, elimine el grupo de recursos, que elimina los recursos que contiene. Para eliminar el grupo de recursos mediante la CLI de Azure, use estos comandos:

echo "Enter the Resource Group name:" &&
read resourceGroupName &&
az group delete --name $resourceGroupName &&
echo "Press [ENTER] to continue ..."

Pasos siguientes

Continúe con cualquiera de los siguientes artículos de inicio rápido opcionales: