Démarrage rapide : Charger des secrets d’application à l’aide de Key Vault

Article
03/10/2024

Notes

Azure Spring Apps est le nouveau nom du service Azure Spring Cloud. Bien que le service ait un nouveau nom, vous verrez l’ancien nom à divers endroits pendant un certain temps, car nous travaillons à mettre à jour les ressources telles que les captures d’écran, les vidéos et les diagrammes.

Cet article s’applique à :❌ De base/Standard ✔️ Entreprise

Ce guide de démarrage rapide vous montre comment charger en toute sécurité des secrets à l’aide d’Azure Key Vault pour les applications exécutant le plan Entreprise Azure Spring Apps.

Chaque application possède des propriétés qui la connectent à son environnement et aux services associés. Ces services incluent des ressources telles que des bases de données, des outils de journalisation et de supervision, des plateformes de messagerie, etc. Chaque ressource nécessite un moyen de localiser et d’y accéder, souvent sous la forme d’URL et d’informations d’identification. Ces informations sont souvent protégées par la loi et doivent être conservées secrètes pour protéger les données client. Dans Azure Spring Apps, vous pouvez configurer des applications pour charger directement ces secrets en mémoire à partir de Key Vault à l’aide d’identités managées et du contrôle d’accès en fonction du rôle Azure.

Prérequis

Compte Azure avec un abonnement actif. Créez un compte gratuitement.
Comprendre la section Exigences du plan niveau Enterprise dans la place de marché Azure et y répondre.
Azure CLI version 2.45.0 ou ultérieure.
Git.
jq
L’extension de plan Enterprise d’Azure Spring Apps. Utilisez la commande suivante pour supprimer les versions précédentes et installer l’extension de plan Enterprise la plus récente. Si vous avez déjà installé l’extension spring-cloud, désinstallez-la pour éviter les incompatibilités de configuration et de version.
```
az extension add --upgrade --name spring
az extension remove --name spring-cloud
```
Effectuez les étapes décrites dans les guides de démarrage rapide suivants :
- Créez et déployez des applications sur le plan Entreprise Azure Spring Apps.
- Intégrer à Azure Database pour PostgreSQL et Azure Cache pour Redis

Approvisionner un coffre de clés et stocker des secrets

Les instructions suivantes expliquent comment créer un coffre de clés et enregistrer en toute sécurité des secrets d’application.

Créez des variables destinées à contenir les noms de ressources à l’aide des commandes suivantes. Veillez à remplacer les espaces réservés par vos valeurs.

export RESOURCE_GROUP=<resource-group-name>
export KEY_VAULT_NAME=<key-vault-name>
export POSTGRES_SERVER_NAME=<postgres-server-name>
export POSTGRES_USERNAME=<postgres-username>
export POSTGRES_PASSWORD=<postgres-password>
export REDIS_CACHE_NAME=<redis-cache-name>
export AZURE_SPRING_APPS_SERVICE_INSTANCE_NAME=<Azure-Spring-Apps-service-instance-name>

Utilisez la commande suivante pour créer un coffre de clés pour stocker les secrets d’application :
```
az keyvault create \
    --resource-group ${RESOURCE_GROUP} \
    --name ${KEY_VAULT_NAME}
```

Utilisez la commande suivante pour stocker le nom complet du serveur de base de données dans Key Vault :

az keyvault secret set \
    --vault-name ${KEY_VAULT_NAME} \
    --name "POSTGRES-SERVER-NAME" \
    --value "${POSTGRES_SERVER_NAME}.postgres.database.azure.com"

Utilisez la commande suivante pour stocker le nom de la base de données dans Key Vault pour l’application Catalog Service :

az keyvault secret set \
    --vault-name ${KEY_VAULT_NAME} \
    --name "CATALOG-DATABASE-NAME" \
    --value "acmefit_catalog"

Utilisez les commandes suivantes pour stocker les informations d’identification de connexion à une base de données dans Key Vault :

az keyvault secret set \
    --vault-name ${KEY_VAULT_NAME} \
    --name "POSTGRES-LOGIN-NAME" \
    --value "${POSTGRES_USERNAME}"

az keyvault secret set \
    --vault-name ${KEY_VAULT_NAME} \
    --name "POSTGRES-LOGIN-PASSWORD" \
    --value "${POSTGRES_PASSWORD}"

Utilisez la commande suivante pour stocker la chaîne de connexion à une base de données dans Key Vault pour l’application Order Service :

az keyvault secret set \
    --vault-name ${KEY_VAULT_NAME} \
    --name "ConnectionStrings--OrderContext" \
    --value "Server=${POSTGRES_SERVER_NAME};Database=acmefit_order;Port=5432;Ssl Mode=Require;User Id=${POSTGRES_USERNAME};Password=${POSTGRES_PASSWORD};"

Utilisez les commandes suivantes pour récupérer les propriétés de connexion Redis et les stocker dans Key Vault :

export REDIS_HOST=$(az redis show \
    --resource-group ${RESOURCE_GROUP} \
    --name ${REDIS_CACHE_NAME} | jq -r '.hostName')

export REDIS_PORT=$(az redis show \
    --resource-group ${RESOURCE_GROUP} \
    --name ${REDIS_CACHE_NAME} | jq -r '.sslPort')

export REDIS_PRIMARY_KEY=$(az redis list-keys \
    --resource-group ${RESOURCE_GROUP} \
    --name ${REDIS_CACHE_NAME} | jq -r '.primaryKey')

az keyvault secret set \
    --vault-name ${KEY_VAULT_NAME} \
    --name "CART-REDIS-CONNECTION-STRING" \
    --value "rediss://:${REDIS_PRIMARY_KEY}@${REDIS_HOST}:${REDIS_PORT}/0"

Si vous avez configuré l’authentification unique, utilisez la commande suivante pour stocker l’URI JSON Web Key (JWK) dans Key Vault :
```
az keyvault secret set \
    --vault-name ${KEY_VAULT_NAME} \
    --name "SSO-PROVIDER-JWK-URI" \
    --value <jwk-uri>
```

Accorder aux applications l’accès aux secrets dans Key Vault

Les instructions suivantes expliquent comment accorder l’accès aux secrets Key Vault aux applications déployées dans le plan Entreprise Azure Spring Apps.

Utilisez la commande suivante pour activer une identité affectée par le système pour l’application Cart Service :

az spring app identity assign \
    --resource-group ${RESOURCE_GROUP} \
    --name cart-service \
    --service ${AZURE_SPRING_APPS_SERVICE_INSTANCE_NAME}

Utilisez les commandes suivantes pour définir une stratégie d’accès de get list sur Key Vault pour l’application Cart Service :

export CART_SERVICE_APP_IDENTITY=$(az spring app show \
    --resource-group ${RESOURCE_GROUP} \
    --name cart-service \
    --service ${AZURE_SPRING_APPS_SERVICE_INSTANCE_NAME} | jq -r '.identity.principalId')

az keyvault set-policy \
    --name ${KEY_VAULT_NAME} \
    --object-id ${CART_SERVICE_APP_IDENTITY} \
    --resource-group ${RESOURCE_GROUP} \
    --secret-permissions get list

Utilisez la commande suivante pour activer une identité affectée par le système pour l’application Order Service :

az spring app identity assign \
    --resource-group ${RESOURCE_GROUP} \
    --name order-service \
    --service ${AZURE_SPRING_APPS_SERVICE_INSTANCE_NAME}

Utilisez les commandes suivantes pour définir une stratégie d’accès de get list sur Key Vault pour l’application Order Service :

export ORDER_SERVICE_APP_IDENTITY=$(az spring app show \
    --resource-group ${RESOURCE_GROUP} \
    --name order-service \
    --service ${AZURE_SPRING_APPS_SERVICE_INSTANCE_NAME} | jq -r '.identity.principalId')

az keyvault set-policy \
    --name ${KEY_VAULT_NAME} \
    --object-id ${ORDER_SERVICE_APP_IDENTITY} \
    --resource-group ${RESOURCE_GROUP} \
    --secret-permissions get list

Utilisez la commande suivante pour activer une identité affectée par le système pour l’application Catalog Service :

az spring app identity assign \
    --resource-group ${RESOURCE_GROUP} \
    --name catalog-service \
    --service ${AZURE_SPRING_APPS_SERVICE_INSTANCE_NAME}

Utilisez les commandes suivantes pour définir une stratégie d’accès de get list sur Key Vault pour l’application Catalog Service :

export CATALOG_SERVICE_APP_IDENTITY=$(az spring app show \
    --resource-group ${RESOURCE_GROUP} \
    --name catalog-service \
    --service ${AZURE_SPRING_APPS_SERVICE_INSTANCE_NAME} | jq -r '.identity.principalId')

az keyvault set-policy \
    --name ${KEY_VAULT_NAME} \
    --object-id ${CATALOG_SERVICE_APP_IDENTITY} \
    --resource-group ${RESOURCE_GROUP} \
    --secret-permissions get list

Si vous avez configuré l’authentification unique, utilisez la commande suivante pour activer une identité affectée par le système pour l’application Identity Service :
```
az spring app identity assign \
    --resource-group ${RESOURCE_GROUP} \
    --name identity-service \
    --service ${AZURE_SPRING_APPS_SERVICE_INSTANCE_NAME}
```

Si vous avez configuré l’authentification unique, utilisez les commandes suivantes pour définir une stratégie d’accès de get list Key Vault pour l’application Identity Service :

export IDENTITY_SERVICE_APP_IDENTITY=$(az spring app show \
    --resource-group ${RESOURCE_GROUP} \
    --name identity-service \
    --service ${AZURE_SPRING_APPS_SERVICE_INSTANCE_NAME} | jq -r '.identity.principalId')

az keyvault set-policy \
    --name ${KEY_VAULT_NAME} \
    --object-id ${IDENTITY_SERVICE_APP_IDENTITY} \
    --resource-group ${RESOURCE_GROUP} \
    --secret-permissions get list

Mettre à jour des applications pour charger des secrets Key Vault

Après avoir accordé l’accès aux secrets de lecture à partir de Key Vault, procédez comme suit pour mettre à jour les applications afin d’utiliser les nouvelles valeurs secrètes dans leurs configurations.

Utilisez la commande suivante pour récupérer l’URI de Key Vault à utiliser dans le cadre de la mise à jour des applications :

export KEYVAULT_URI=$(az keyvault show --name ${KEY_VAULT_NAME} --resource-group ${RESOURCE_GROUP} | jq -r '.properties.vaultUri')

Utilisez la commande suivante pour récupérer l’URL de Spring Cloud Gateway à utiliser dans le cadre de la mise à jour des applications :

export GATEWAY_URL=$(az spring gateway show \
    --resource-group ${RESOURCE_GROUP} \
    --service ${AZURE_SPRING_APPS_SERVICE_INSTANCE_NAME} | jq -r '.properties.url')

Utilisez la commande suivante pour supprimer la liaison Service Connector dans l’application Order Service et Azure Database pour PostgreSQL - Serveur flexible :

az spring connection delete \
    --resource-group ${RESOURCE_GROUP} \
    --app order-service \
    --connection order_service_db \
    --service ${AZURE_SPRING_APPS_SERVICE_INSTANCE_NAME} \
    --deployment default \
    --yes

Utilisez la commande suivante pour mettre à jour l’environnement Order Service avec l’URI pour accéder à Key Vault :

az spring app update \
    --resource-group ${RESOURCE_GROUP} \
    --name order-service \
    --service ${AZURE_SPRING_APPS_SERVICE_INSTANCE_NAME} \
    --env "ConnectionStrings__KeyVaultUri=${KEYVAULT_URI}" "AcmeServiceSettings__AuthUrl=https://${GATEWAY_URL}" "DatabaseProvider=Postgres"

Utilisez la commande suivante pour supprimer la liaison Service Connector dans l’application Catalog Service et Azure Database pour PostgreSQL - Serveur flexible :

az spring connection delete \
    --resource-group ${RESOURCE_GROUP} \
    --app catalog-service \
    --connection catalog_service_db \
    --service ${AZURE_SPRING_APPS_SERVICE_INSTANCE_NAME} \
    --deployment default \
    --yes

Utilisez la commande suivante pour mettre à jour l’environnement Catalog Service et le modèle de configuration pour accéder à Key Vault :

az spring app update \
    --resource-group ${RESOURCE_GROUP} \
    --name catalog-service \
    --service ${AZURE_SPRING_APPS_SERVICE_INSTANCE_NAME} \
    --config-file-pattern catalog/default,catalog/key-vault \
    --env "SPRING_CLOUD_AZURE_KEYVAULT_SECRET_PROPERTY_SOURCES_0_ENDPOINT=${KEYVAULT_URI}" "SPRING_CLOUD_AZURE_KEYVAULT_SECRET_PROPERTY_SOURCES_0_NAME='acme-fitness-store-vault'" "SPRING_PROFILES_ACTIVE=default,key-vault"

Utilisez la commande suivante pour supprimer la liaison Service Connector de l’application Cart Service et Azure Cache pour Redis :

az spring connection delete \
    --resource-group ${RESOURCE_GROUP} \
    --app cart-service \
    --connection cart_service_cache \
    --service ${AZURE_SPRING_APPS_SERVICE_INSTANCE_NAME} \
    --deployment default \
    --yes

Utilisez la commande suivante pour mettre à jour l’environnement Cart Service pour accéder à Key Vault :

az spring app update \
    --resource-group ${RESOURCE_GROUP} \
    --name cart-service \
    --service ${AZURE_SPRING_APPS_SERVICE_INSTANCE_NAME} \
    --env "CART_PORT=8080" "KEYVAULT_URI=${KEYVAULT_URI}" "AUTH_URL=https://${GATEWAY_URL}"

Si vous avez configuré l’authentification unique, utilisez la commande suivante pour mettre à jour l’environnement et le modèle de configuration du service d’identité afin d’accéder à Key Vault :

az spring app update \
    --resource-group ${RESOURCE_GROUP} \
    --name identity-service \
    --service ${AZURE_SPRING_APPS_SERVICE_INSTANCE_NAME} \
    --config-file-pattern identity/default,identity/key-vault \
    --env "SPRING_CLOUD_AZURE_KEYVAULT_SECRET_PROPERTY_SOURCES_0_ENDPOINT=${KEYVAULT_URI}" "SPRING_CLOUD_AZURE_KEYVAULT_SECRET_PROPERTY_SOURCES_0_NAME='acme-fitness-store-vault'" "SPRING_PROFILES_ACTIVE=default,key-vault"

Utilisez les commandes suivantes pour récupérer l’URL de Spring Cloud Gateway :

export GATEWAY_URL=$(az spring gateway show \
    --resource-group ${RESOURCE_GROUP} \
    --service ${AZURE_SPRING_APPS_SERVICE_INSTANCE_NAME} | jq -r '.properties.url')

echo "https://${GATEWAY_URL}"

Vous pouvez ouvrir l’URL de sortie dans un navigateur pour explorer l’application mise à jour.

Nettoyer les ressources

Si vous prévoyez d’utiliser d’autres guides de démarrage rapide et tutoriels, vous pouvez conserver ces ressources. Quand vous n’en avez plus besoin, supprimez le groupe de ressources, ce qui supprime également les ressources qu’il contient. Pour supprimer le groupe de ressources à l’aide d’Azure CLI, utilisez les commandes suivantes :

echo "Enter the Resource Group name:" &&
read resourceGroupName &&
az group delete --name $resourceGroupName &&
echo "Press [ENTER] to continue ..."

Étapes suivantes

Passez à l’un des guides de démarrage rapide facultatifs suivants :