Ügyféltanúsítvány-hitelesítés konfigurálása az Azure Container Appsben
Az Azure Container Apps támogatja az ügyféltanúsítvány-hitelesítést (más néven kölcsönös TLS-t vagy mTLS-t), amely kétirányú hitelesítéssel teszi lehetővé a tárolóalkalmazás elérését. Ez a cikk bemutatja, hogyan konfigurálhatja az ügyféltanúsítvány-engedélyezést az Azure Container Appsben.
Az ügyféltanúsítványok használatakor a TLS-tanúsítványok az ügyfél és a tárolóalkalmazás között cserélődnek az identitás hitelesítése és a forgalom titkosítása érdekében. Az ügyféltanúsítványokat gyakran használják a "nulla megbízhatósági" biztonsági modellekben az ügyfélhozzáférés engedélyezéséhez a szervezeten belül.
Szükség lehet például egy ügyféltanúsítványra egy bizalmas adatokat kezelő tárolóalkalmazáshoz.
A Container Apps olyan PKCS12 formátumú ügyféltanúsítványokat fogad el, amelyeket megbízható hitelesítésszolgáltató (CA) állít ki, vagy önaláírt.
Ügyféltanúsítvány-engedélyezés konfigurálása
Az ügyféltanúsítványok támogatásának konfigurálásához állítsa be a tulajdonságot a clientCertificateMode tárolóalkalmazás-sablonban.
A tulajdonság az alábbi értékek egyikére állítható be:
require: Az ügyféltanúsítvány szükséges a tárolóalkalmazáshoz érkező összes kéréshez.accept: Az ügyféltanúsítvány nem kötelező. Ha az ügyféltanúsítvány nincs megadva, a kérés továbbra is elfogadásra kerül.ignore: A rendszer figyelmen kívül hagyja az ügyféltanúsítványt.
A bejövő forgalom átadja az ügyféltanúsítványt a tárolóalkalmazásnak, ha require vagy accept be van állítva.
Az alábbi ARM-sablon példája úgy konfigurálja a bejövő forgalmat, hogy ügyféltanúsítványt igényeljen a tárolóalkalmazáshoz érkező összes kéréshez.
{
"properties": {
"configuration": {
"ingress": {
"clientCertificateMode": "require"
}
}
}
}