Alkalmazás migrálása jelszó nélküli kapcsolatok használatára az Azure Event Hubs for Kafkával

Ez a cikk bemutatja, hogyan migrálhat a hagyományos hitelesítési módszerekről a biztonságosabb, jelszó nélküli kapcsolatokra az Azure Event Hubs for Kafkával.

A Kafkához készült Azure Event Hubsba irányuló alkalmazáskéréseket hitelesíteni kell. Az Azure Event Hubs for Kafka különböző módszereket kínál az alkalmazások biztonságos csatlakoztatására. Az egyik módszer egy kapcsolati sztring használata. Lehetőség szerint azonban fontossági sorrendbe kell helyeznie a jelszó nélküli kapcsolatokat az alkalmazásokban.

A jelszó nélküli kapcsolatok a Spring Cloud Azure 4.3.0 óta támogatottak. Ez a cikk egy migrálási útmutató a hitelesítő adatok Spring Cloud Stream Kafka-alkalmazásokból való eltávolításához.

Hitelesítési beállítások összehasonlítása

Amikor az alkalmazás hitelesít az Azure Event Hubs for Kafkával, egy jogosult entitást biztosít az Event Hubs-névtér csatlakoztatásához. Az Apache Kafka protokollok több egyszerű hitelesítési és biztonsági réteget (SASL) biztosítanak a hitelesítéshez. Az SASL-mechanizmusok szerint két hitelesítési lehetőséget használhat a biztonságos erőforrásokhoz való hozzáférés engedélyezéséhez: a Microsoft Entra-hitelesítést és a közös hozzáférésű jogosultságkód (SAS) hitelesítést.

Microsoft Entra authentication

A Microsoft Entra-hitelesítés az Azure Event Hubs for Kafkához való csatlakozás mechanizmusa a Microsoft Entra ID-ban meghatározott identitások használatával. A Microsoft Entra-hitelesítéssel központi helyen kezelheti a szolgáltatásnév-identitásokat és más Microsoft-szolgáltatások, ami leegyszerűsíti az engedélykezelést.

A Microsoft Entra ID hitelesítéshez való használata a következő előnyöket nyújtja:

• A felhasználók hitelesítése az Azure-szolgáltatásokban egységes módon.
• Jelszószabályzatok és jelszóváltás kezelése egyetlen helyen.
• A Microsoft Entra ID által támogatott hitelesítés több formája, amelyek szükségtelenné tehetik a jelszavak tárolását.
• Az ügyfelek külső (Microsoft Entra ID) csoportokkal kezelhetik az Event Hubs-engedélyeket.
• Jogkivonatalapú hitelesítés támogatása a Kafkához készült Azure Event Hubshoz csatlakozó alkalmazásokhoz.

SAS-hitelesítés

Az Event Hubs közös hozzáférésű jogosultságkódokat (SAS) is biztosít a Kafka-erőforrásokhoz készült Event Hubshoz való delegált hozzáféréshez.

Bár az Azure Event Hubs for Kafka-hoz sassal is lehet csatlakozni, körültekintően kell használni. Szorgalmasnak kell lennie, hogy soha ne tegye közzé a kapcsolati sztring nem biztonságos helyen. Bárki, aki hozzáfér a kapcsolati sztring, hitelesítheti magát. Fennáll például annak a veszélye, hogy egy rosszindulatú felhasználó hozzáférhet az alkalmazáshoz, ha egy kapcsolati sztring véletlenül be van jelentkezve a forrásvezérlőbe, nem biztonságos e-mailben küldi el, nem megfelelő csevegésbe illeszti be, vagy olyan személy tekinti meg, akinek nem kellene engedéllyel rendelkeznie. Ehelyett az OAuth 2.0 jogkivonat-alapú mechanizmussal való hozzáférés engedélyezése kiváló biztonságot és egyszerű használatot biztosít az SAS-en keresztül. Fontolja meg az alkalmazás jelszó nélküli kapcsolatok használatára való frissítését.

Jelszó nélküli kapcsolatok bemutatása

Jelszó nélküli kapcsolattal anélkül csatlakozhat az Azure-szolgáltatásokhoz, hogy az alkalmazáskódban, annak konfigurációs fájljaiban vagy környezeti változóiban bármilyen hitelesítő adatot tárol.

Számos Azure-szolgáltatás támogatja a jelszó nélküli kapcsolatokat, például az Azure Managed Identity használatával. Ezek a technikák robusztus biztonsági funkciókat biztosítanak, amelyeket az Azure Identity-ügyfélkódtárak DefaultAzureCredential használatával valósíthat meg. Ebben az oktatóanyagban megtanulhatja, hogyan frissíthet egy meglévő alkalmazást, hogy alternatív megoldások, például kapcsolati sztring helyett használjonDefaultAzureCredential.

DefaultAzureCredential több hitelesítési módszert támogat, és automatikusan meghatározza, hogy melyiket érdemes futtatókörnyezetben használni. Ez a megközelítés lehetővé teszi, hogy az alkalmazás különböző hitelesítési módszereket használjon különböző környezetekben (helyi fejlesztés és éles környezet) környezetspecifikus kód implementálása nélkül.

A hitelesítő adatok keresésének sorrendje és helyei DefaultAzureCredential megtalálhatók az Azure Identity Library áttekintésében. Ha például helyileg dolgozik, általában azzal a fiókkal hitelesít, DefaultAzureCredential amellyel a fejlesztő bejelentkezett a Visual Studióba. Az alkalmazás Azure-ban DefaultAzureCredential való üzembe helyezésekor automatikusan átvált felügyelt identitás használatára. Ehhez az áttűnéshez nincs szükség kódmódosításra.

Annak érdekében, hogy a kapcsolatok jelszó nélküliek legyenek, figyelembe kell vennie a helyi fejlesztést és az éles környezetet is. Ha mindkét helyen szükség van egy kapcsolati sztring, akkor az alkalmazás nem jelszó nélküli.

A helyi fejlesztési környezetben hitelesítheti magát az Azure CLI, az Azure PowerShell, a Visual Studio vagy a Visual Studio Code vagy az IntelliJ Azure beépülő moduljaival. Ebben az esetben ezt a hitelesítő adatot használhatja az alkalmazásban a tulajdonságok konfigurálása helyett.

Amikor alkalmazásokat helyez üzembe egy Azure-beli üzemeltetési környezetben, például egy virtuális gépen, hozzárendelhet felügyelt identitást ebben a környezetben. Ezután nem kell hitelesítő adatokat megadnia az Azure-szolgáltatásokhoz való csatlakozáshoz.

Megjegyzés:

A felügyelt identitás biztonsági identitást biztosít egy alkalmazás vagy szolgáltatás megjelenítéséhez. Az identitás kezelését az Azure-platform végzi, és nem szükséges hozzá semmilyen titkos kulcs kiosztása vagy rotálása. A felügyelt identitásokról az áttekintési dokumentációban olvashat bővebben.

Meglévő alkalmazás migrálása jelszó nélküli kapcsolatok használatára

Az alábbi lépések bemutatják, hogyan migrálhat egy meglévő alkalmazást jelszó nélküli kapcsolatok használatára SAS-megoldás helyett.

0) A munkakörnyezet előkészítése a helyi fejlesztési hitelesítéshez

Először a következő paranccsal állítson be néhány környezeti változót.

export AZ_RESOURCE_GROUP=<YOUR_RESOURCE_GROUP>
export AZ_EVENTHUBS_NAMESPACE_NAME=<YOUR_EVENTHUBS_NAMESPACE_NAME>
export AZ_EVENTHUB_NAME=<YOUR_EVENTHUB_NAME>

A helyőrzőket írja felül a következő értékekkel, amelyeket a cikk teljes további részében használni fogunk:

• <YOUR_RESOURCE_GROUP>: A használni kívánt erőforráscsoport neve.
• <YOUR_EVENTHUBS_NAMESPACE_NAME>: A használni kívánt Azure Event Hubs-névtér neve.
• <YOUR_EVENTHUB_NAME>: A használni kívánt eseményközpont neve.

1) Engedély megadása az Azure Event Hubshoz

Ha helyileg szeretné futtatni ezt a mintát a Microsoft Entra-hitelesítéssel, győződjön meg arról, hogy a felhasználói fiókja az Azure Toolkit for IntelliJ, a Visual Studio Code Azure Account beépülő modul vagy az Azure CLI segítségével lett hitelesítve. Győződjön meg arról is, hogy a fiók megfelelő engedélyeket kapott.

Azure Portal

1. Az Azure Portalon keresse meg az Event Hubs-névteret a fő keresősáv vagy a bal oldali navigációs sáv használatával.

2. Az Event Hubs áttekintési oldalán válassza a Hozzáférés-vezérlés (IAM) lehetőséget a bal oldali menüben.

3. A Hozzáférés-vezérlés (IAM) lapon válassza a Szerepkör-hozzárendelések lapot.

4. Válassza a Felső menü Hozzáadás elemét, majd a szerepkör-hozzárendelés hozzáadása lehetőséget az eredményül kapott legördülő menüből.

   

5. A keresőmezővel szűrheti az eredményeket a kívánt szerepkörre. Ebben a példában keresse meg az Azure Event Hubs-adatküldőt és az Azure Event Hubs-adatátvevőt, és válassza ki a megfelelő eredményt, majd válassza a Tovább gombot.

6. A Hozzáférés hozzárendelése területen válassza a Felhasználó, csoport vagy szolgáltatásnév lehetőséget, majd válassza a Tagok kijelölése lehetőséget.

7. A párbeszédpanelen keresse meg a Microsoft Entra-felhasználónevet (általában a user@domain e-mail-címét), majd válassza a Párbeszédpanel alján található Kiválasztás lehetőséget.

8. Válassza a Véleményezés + hozzárendelés lehetőséget a végső lapra való ugráshoz, majd a folyamat befejezéséhez a Véleményezés + hozzárendelés lehetőséget.

Azure CLI

Az Azure CLI használatával történő hitelesítéshez kövesse az alábbi lépéseket:

1. Az alábbi paranccsal jelentkezzen be az Azure-fiókjába:

   az login
   

2. Az aktuális előfizetési környezet beállításához használja az alábbi parancsot. Cserélje le ssssssss-ssss-ssss-ssss-ssssssssssss az Azure-ral használni kívánt előfizetés GUID azonosítóját:

   az account set --subscription ssssssss-ssss-ssss-ssss-ssssssssssss
   

3. Az Azure Event Hubs-névtér erőforrás-azonosítójának lekéréséhez használja a következő parancsot:

   export AZURE_EVENTHUBS_RESOURCE_ID=$(az resource show \
       --resource-group $AZ_RESOURCE_GROUP \
       --name $AZ_EVENTHUBS_NAMESPACE_NAME \
       --resource-type Microsoft.EventHub/Namespaces \
       --query "id" \
       --output tsv)
   

4. Az alábbi paranccsal kérje le az Azure CLI-felhasználói fiók felhasználói objektumazonosítóját:

   export AZURE_AD_ACCOUNT_ID=$(az ad signed-in-user show \
       --query "id" --output tsv)
   

5. Az alábbi parancsokkal rendeljen Azure Event Hubs-adatküldő és Azure Event Hubs-adatátvevő szerepköröket a fiókjához.

   az role assignment create \
       --assignee $AZURE_AD_ACCOUNT_ID \
       --role "Azure Event Hubs Data Receiver" \
       --scope $AZURE_EVENTHUBS_RESOURCE_ID
   az role assignment create \
       --assignee $AZURE_AD_ACCOUNT_ID \
       --role "Azure Event Hubs Data Sender" \
       --scope $AZURE_EVENTHUBS_RESOURCE_ID
   

További információ a hozzáférési szerepkörök megadásáról: Event Hubs-erőforrásokhoz való hozzáférés engedélyezése a Microsoft Entra ID használatával.

2) Jelentkezzen be, és migrálja az alkalmazáskódot jelszó nélküli kapcsolatok használatára

Helyi fejlesztés esetén győződjön meg arról, hogy ugyanazzal a Microsoft Entra-fiókkal van hitelesítve, amelyhez a szerepkört hozzárendelte az Event Hubsban. Hitelesítést az Azure CLI, a Visual Studio, az Azure PowerShell vagy más eszközök, például az IntelliJ használatával végezhet.

Azure CLI

Jelentkezzen be az Azure-ba az Azure CLI-vel az alábbi paranccsal:

az login

PowerShell

Jelentkezzen be az Azure-ba a PowerShell használatával az alábbi paranccsal:

Connect-AzAccount

Visual Studio

Válassza a Bejelentkezés gombot a Visual Studio jobb felső sarkában.

Jelentkezzen be annak a Microsoft Entra-fióknak a használatával, amelyhez korábban szerepkört rendelt.

Visual Studio Code

Győződjön meg arról, hogy telepítve van az Azure Account bővítmény.

A ctrl + Shift + P billentyűparanccsal nyissa meg a parancskatalógust. Keresse meg az Azure-t: Bejelentkezés parancs, és kövesse az utasításokat a hitelesítéshez. Mindenképpen használja azt a Microsoft Entra-fiókot, amelyhez korábban szerepkört rendelt a Blob Storage-fiókjából.

IntelliJ

További információ: Az Azure Toolkit for IntelliJ telepítése és az Azure Toolkit for IntelliJ bejelentkezési utasításai.

Ezután az alábbi lépésekkel frissítse a Spring Kafka-alkalmazást jelszó nélküli kapcsolatok használatára. Bár fogalmilag hasonló, minden keretrendszer különböző megvalósítási részleteket használ.

Java

1. Nyissa meg a pom.xml fájlt a projekten belül, és adja hozzá a következő hivatkozást:

   <dependency>
      <groupId>com.azure</groupId>
      <artifactId>azure-identity</artifactId>
      <version>1.6.0</version>
   </dependency>
   

2. A migrálás után implementálja a AuthenticationCallbackHandlert és az OAuthBearerTokent a projektben az OAuth2-hitelesítéshez, ahogyan az az alábbi példában látható.

   public class KafkaOAuth2AuthenticateCallbackHandler implements AuthenticateCallbackHandler {
   
      private static final Duration ACCESS_TOKEN_REQUEST_BLOCK_TIME = Duration.ofSeconds(30);
      private static final String TOKEN_AUDIENCE_FORMAT = "%s://%s/.default";
   
      private Function<TokenCredential, Mono<OAuthBearerTokenImp>> resolveToken;
      private final TokenCredential credential = new DefaultAzureCredentialBuilder().build();
   
      @Override
      public void configure(Map<String, ?> configs, String mechanism, List<AppConfigurationEntry> jaasConfigEntries) {
         TokenRequestContext request = buildTokenRequestContext(configs);
         this.resolveToken = tokenCredential -> tokenCredential.getToken(request).map(OAuthBearerTokenImp::new);
      }
   
      private TokenRequestContext buildTokenRequestContext(Map<String, ?> configs) {
         URI uri = buildEventHubsServerUri(configs);
         String tokenAudience = buildTokenAudience(uri);
   
         TokenRequestContext request = new TokenRequestContext();
         request.addScopes(tokenAudience);
         return request;
      }
   
      @SuppressWarnings("unchecked")
      private URI buildEventHubsServerUri(Map<String, ?> configs) {
         String bootstrapServer = Arrays.asList(configs.get(BOOTSTRAP_SERVERS_CONFIG)).get(0).toString();
         bootstrapServer = bootstrapServer.replaceAll("\\[|\\]", "");
         URI uri = URI.create("https://" + bootstrapServer);
         return uri;
      }
   
      private String buildTokenAudience(URI uri) {
         return String.format(TOKEN_AUDIENCE_FORMAT, uri.getScheme(), uri.getHost());
      }
   
      @Override
      public void handle(Callback[] callbacks) throws UnsupportedCallbackException {
         for (Callback callback : callbacks) {
            if (callback instanceof OAuthBearerTokenCallback) {
               OAuthBearerTokenCallback oauthCallback = (OAuthBearerTokenCallback) callback;
               this.resolveToken
                       .apply(credential)
                       .doOnNext(oauthCallback::token)
                       .doOnError(throwable -> oauthCallback.error("invalid_grant", throwable.getMessage(), null))
                       .block(ACCESS_TOKEN_REQUEST_BLOCK_TIME);
            } else {
               throw new UnsupportedCallbackException(callback);
            }
         }
      }
   
      @Override
      public void close() {
         // NOOP
      }
   }
   

   public class OAuthBearerTokenImp implements OAuthBearerToken {
       private final AccessToken accessToken;
       private final JWTClaimsSet claims;
   
       public OAuthBearerTokenImp(AccessToken accessToken) {
           this.accessToken = accessToken;
           try {
               claims = JWTParser.parse(accessToken.getToken()).getJWTClaimsSet();
           } catch (ParseException exception) {
               throw new SaslAuthenticationException("Unable to parse the access token", exception);
           }
       }
   
       @Override
       public String value() {
           return accessToken.getToken();
       }
   
       @Override
       public Long startTimeMs() {
           return claims.getIssueTime().getTime();
       }
   
       @Override
       public long lifetimeMs() {
           return claims.getExpirationTime().getTime();
       }
   
       @Override
       public Set<String> scope() {
           // Referring to https://docs.microsoft.com/azure/active-directory/develop/access-tokens#payload-claims, the scp
           // claim is a String, which is presented as a space separated list.
           return Optional.ofNullable(claims.getClaim("scp"))
                   .map(s -> Arrays.stream(((String) s)
                   .split(" "))
                   .collect(Collectors.toSet()))
                   .orElse(null);
       }
   
       @Override
       public String principalName() {
           return (String) claims.getClaim("upn");
       }
   
       public boolean isExpired() {
           return accessToken.isExpired();
       }
   }
   

3. A Kafka-gyártó vagy -fogyasztó létrehozásakor adja hozzá az SASL/OAUTHBEARER mechanizmus támogatásához szükséges konfigurációt. Az alábbi példák bemutatják, hogyan kell kinéznie a kódnak a migrálás előtt és után. Mindkét példában cserélje le a <eventhubs-namespace> helyőrzőt az Event Hubs-névtér nevére.

   A migrálás előtt a kódnak a következő példához hasonlóan kell kinéznie:

   Properties properties = new Properties();
   properties.put(CommonClientConfigs.BOOTSTRAP_SERVERS_CONFIG, "<eventhubs-namespace>.servicebus.windows.net:9093");
   properties.put(CommonClientConfigs.SECURITY_PROTOCOL_CONFIG, "SASL_SSL");
   properties.put(ProducerConfig.KEY_SERIALIZER_CLASS_CONFIG, StringSerializer.class.getName());
   properties.put(ProducerConfig.VALUE_SERIALIZER_CLASS_CONFIG, StringSerializer.class.getName());
   properties.put(SaslConfigs.SASL_MECHANISM, "PLAIN");
   properties.put(SaslConfigs.SASL_JAAS_CONFIG,
           String.format("org.apache.kafka.common.security.plain.PlainLoginModule required username=\"$ConnectionString\" password=\"%s\";", connectionString));
   return new KafkaProducer<>(properties);
   

   A migrálás után a kódnak az alábbi példához hasonlóan kell kinéznie. Ebben a példában cserélje le a <path-to-your-KafkaOAuth2AuthenticateCallbackHandler> helyőrzőt a implementált KafkaOAuth2AuthenticateCallbackHandlerosztály teljes nevére.

   Properties properties = new Properties();
   properties.put(CommonClientConfigs.BOOTSTRAP_SERVERS_CONFIG, "<eventhubs-namespace>.servicebus.windows.net:9093");
   properties.put(CommonClientConfigs.SECURITY_PROTOCOL_CONFIG, "SASL_SSL");
   properties.put(SaslConfigs.SASL_MECHANISM, "OAUTHBEARER");
   properties.put(SaslConfigs.SASL_JAAS_CONFIG, "org.apache.kafka.common.security.oauthbearer.OAuthBearerLoginModule required");
   properties.put(SaslConfigs.SASL_LOGIN_CALLBACK_HANDLER_CLASS, "<path-to-your-KafkaOAuth2AuthenticateCallbackHandler>");
   return new KafkaProducer<>(properties);
   

Spring Kafka (Spring Boot alkalmazás)

1. A projekten belül adja hozzá a következő hivatkozást a com.azure.spring:spring-cloud-azure-starter csomaghoz. Ez a kódtár tartalmazza a jelszó nélküli kapcsolatok megvalósításához szükséges összes entitást.

   <dependency>
       <groupId>com.azure.spring</groupId>
       <artifactId>spring-cloud-azure-starter</artifactId>
   </dependency>
   

2. Ezután távolítsa el az összes meglévő kapcsolati vagy hitelesítő adatokkal kapcsolatos Kafka-tulajdonságot. Csak a következő tulajdonság hozzáadásával konfigurálhatja a Kafka bootstrap-kiszolgálót az Azure Event Hubs-névtérrel:

   spring.kafka.bootstrap-servers=$AZ_EVENTHUBS_NAMESPACE_NAME.servicebus.windows.net:9093
   

Spring Cloud Stream Kafka Binder

1. A projekten belül adja hozzá a következő hivatkozást a com.azure.spring:spring-cloud-azure-starter csomaghoz. Ez a kódtár tartalmazza az összes szükséges entitást a jelszó nélküli kapcsolatok megvalósításához.

   <dependency>
       <groupId>com.azure.spring</groupId>
       <artifactId>spring-cloud-azure-starter</artifactId>
   </dependency>
   

2. Ezután távolítsa el az összes meglévő kapcsolati vagy hitelesítő adatokkal kapcsolatos Kafka-tulajdonságot. Adja hozzá a következő tulajdonságot a Kafka bootstrap-kiszolgáló Azure Event Hubs-névtérrel való konfigurálásához:

   spring.cloud.stream.kafka.binder.brokers=$AZ_EVENTHUBS_NAMESPACE_NAME.servicebus.windows.net:9093
   

   Megjegyzés:

   A verziótól 4.4.0kezdve ezt a tulajdonságot a rendszer automatikusan hozzáadja, így nem kell manuálisan hozzáadni.

Az alkalmazás futtatása helyben

A kódmódosítások elvégzése után futtassa az alkalmazást helyileg. Az új konfigurációnak át kell vennie a helyi hitelesítő adatokat, feltéve, hogy egy kompatibilis IDE-be vagy parancssori eszközbe van bejelentkezve, például az Azure CLI-be, a Visual Studióba vagy az IntelliJ-be. A helyi fejlesztői felhasználóhoz az Azure-ban hozzárendelt szerepkörök lehetővé teszik, hogy az alkalmazás helyileg csatlakozzon az Azure-szolgáltatáshoz.

3) Az Azure-beli üzemeltetési környezet konfigurálása

Miután az alkalmazás jelszó nélküli kapcsolatok használatára lett konfigurálva, és helyileg fut, ugyanaz a kód hitelesíthető az Azure-szolgáltatásokban az Azure-szolgáltatásokban az Azure-ban való üzembe helyezés után. Egy felügyelt identitással rendelkező Azure Spring Apps-példányon üzembe helyezett alkalmazások például csatlakozhatnak a Kafkához készült Azure Event Hubshoz.

Ebben a szakaszban két lépést kell végrehajtania, hogy az alkalmazás jelszó nélküli azure-beli üzemeltetési környezetben fusson:

• Rendelje hozzá a felügyelt identitást az Azure-beli üzemeltetési környezethez.
• Szerepkörök hozzárendelése a felügyelt identitáshoz.

Megjegyzés:

Az Azure szolgáltatás Csatlakozás or szolgáltatást is biztosít, amely segíthet az üzemeltetési szolgáltatás és az Event Hubs összekapcsolásában. Ha a Service Csatlakozás or konfigurálja az üzemeltetési környezetet, kihagyhatja a szerepkörök felügyelt identitáshoz való hozzárendelésének lépését, mert a Service Csatlakozás or ezt megteszi Ön helyett. A következő szakasz azt ismerteti, hogyan konfigurálhatja az Azure-beli üzemeltetési környezetet kétféleképpen: az egyiket a Service Csatlakozás oron keresztül, a másikat pedig az egyes üzemeltetési környezetek közvetlen konfigurálásával.

Fontos

A szolgáltatás Csatlakozás or parancsaihoz az Azure CLI 2.41.0-s vagy újabb verziója szükséges.

Felügyelt identitás hozzárendelése az Azure-beli üzemeltetési környezethez

Az alábbi lépések bemutatják, hogyan rendelhet hozzá rendszer által hozzárendelt felügyelt identitást a különböző web hosting szolgáltatásokhoz. A felügyelt identitás biztonságosan csatlakozhat más Azure-szolgáltatásokhoz a korábban beállított alkalmazáskonfigurációk használatával.

App Service

1. A Azure-alkalmazás szolgáltatáspéldány fő áttekintő lapján válassza az Identitás lehetőséget a navigációs panelen.

2. A Rendszerhez rendelt lapon állítsa be az Állapot mezőt. A rendszer által hozzárendelt identitásokat az Azure belsőleg kezeli, és rendszergazdai feladatokat kezel Önnek. Az identitás részletei és azonosítói soha nem jelennek meg a kódban.

   

Szolgáltatás Csatlakozás or

A Service Csatlakozás or használatakor segíthet hozzárendelni a rendszer által hozzárendelt felügyelt identitást az Azure-beli üzemeltetési környezethez, majd konfigurálhatja az Azure Event Hubs-adatküldő és az Azure Event Hubs-adatátvevő szerepköröket a felügyelt identitáshoz.

Jelenleg a következő számítási szolgáltatások támogatottak:

• Azure App Service
• Azure Spring Apps
• Azure Container-alkalmazások

Ebben a migrálási útmutatóban az App Service-t fogja használni, de a lépések hasonlóak az Azure Spring Appshez és az Azure Container Appshez.

Megjegyzés:

Az Azure Spring Apps jelenleg csak a Csatlakozás or szolgáltatást támogatja kapcsolati sztring használatával.

1. Az Azure Portalon az App Service-példány fő áttekintő lapján válassza a Service Csatlakozás or lehetőséget a navigációs panelen.

2. Válassza a Létrehozás lehetőséget a főmenüben, és megnyílik a Kapcsolat létrehozása panel. Írja be a következő értékeket:

   • Szolgáltatás típusa: Válassza az Event Hubs lehetőséget.
   • Előfizetés: Válassza ki a használni kívánt előfizetést.
   • Csatlakozás ion name: Adja meg a kapcsolat nevét, például connector_appservice_eventhub.
   • Névtér: Válassza ki a használni kívánt Event Hubs-névteret.
   • Ügyfél típusa: Hagyja bejelölve az alapértelmezett értéket, vagy válassza ki a használni kívánt ügyfelet.

3. Válassza a Következő: Hitelesítés lehetőséget.

   

4. Győződjön meg arról, hogy a rendszer által hozzárendelt felügyelt identitás (ajánlott) ki van jelölve, majd válassza a Tovább: Hálózatkezelés lehetőséget.

5. Hagyja bejelölve az alapértelmezett értékeket, majd válassza a Tovább: Véleményezés + Létrehozás lehetőséget.

6. Miután az Azure érvényesítette a beállításokat, válassza a Létrehozás lehetőséget.

A Szolgáltatás Csatlakozás or automatikusan hozzárendel egy rendszer által hozzárendelt felügyelt identitást az app service-hez. Az összekötő hozzárendeli az Azure Event Hubs-adatküldő és az Azure Event Hubs data receiver felügyelt identitásszerepköreit is a kiválasztott Event Hubs-példányhoz.

Container Apps

1. Az Azure Container Apps-példány fő áttekintő lapján válassza az Identitás lehetőséget a navigációs panelen.

2. A Rendszerhez rendelt lapon állítsa be az Állapot mezőt. A rendszer által hozzárendelt identitásokat az Azure belsőleg kezeli, és rendszergazdai feladatokat kezel Önnek. Az identitás részletei és azonosítói soha nem jelennek meg a kódban.

   

Azure Spring Apps

1. Az Azure Spring Apps-példány fő áttekintési lapján válassza az Identitás lehetőséget a navigációs panelen.

2. A Rendszerhez rendelt lapon állítsa be az Állapot mezőt. A rendszer által hozzárendelt identitásokat az Azure belsőleg kezeli, és rendszergazdai feladatokat kezel Önnek. Az identitás részletei és azonosítói soha nem jelennek meg a kódban.

   

Virtuális gépek

1. A virtuális gép fő áttekintési lapján válassza az Identitás lehetőséget a navigációs panelen.

2. A Rendszerhez rendelt lapon állítsa be az Állapot mezőt. A rendszer által hozzárendelt identitásokat az Azure belsőleg kezeli, és rendszergazdai feladatokat kezel Önnek. Az identitás részletei és azonosítói soha nem jelennek meg a kódban.

   

AKS

Egy Azure Kubernetes Service-fürthöz (AKS) identitásra van szükség az Azure-erőforrások, például a terheléselosztók és a felügyelt lemezek eléréséhez. Ez az identitás lehet felügyelt identitás vagy szolgáltatásnév. AKS-fürt létrehozásakor alapértelmezés szerint a rendszer automatikusan létrehoz egy rendszer által hozzárendelt felügyelt identitást.

Felügyelt identitást is hozzárendelhet egy Azure-beli üzemeltetési környezethez az Azure CLI használatával.

App Service

A felügyelt identitásokat hozzárendelheti egy Azure-alkalmazás szolgáltatáspéldányhoz az az webapp identity assign paranccsal, ahogyan az az alábbi példában is látható.

export AZURE_MANAGED_IDENTITY_ID=$(az webapp identity assign \
    --resource-group $AZ_RESOURCE_GROUP \
    --name <app-service-name> \
    --query principalId \
    --output tsv)

Szolgáltatás Csatlakozás or

Az Azure CLI használatával szolgáltatási Csatlakozás hozhat létre egy Azure számítási üzemeltetési környezet és egy célszolgáltatás között. Az Azure CLI automatikusan kezeli a felügyelt identitások létrehozását, és hozzárendeli a megfelelő szerepkört, amint azt az Azure-beli üzemeltetési környezethez tartozó felügyelt identitás hozzárendelése című szakasz ismerteti.

Először telepítse a Service Csatlakozás or jelszó nélküli bővítményt az Azure CLI-hez:

az extension add --name serviceconnector-passwordless --upgrade

Ha Azure-alkalmazás szolgáltatást használ, használja az az webapp kapcsolati parancsot az alábbi példában látható módon:

az webapp connection create eventhub \
    --resource-group $AZ_RESOURCE_GROUP \
    --name <app-service-name>
    --target-id $AZURE_EVENTHUBS_RESOURCE_ID \
    --client-type kafka-springBoot \
    --system-identity

Ha Az Azure Spring Appst használja, használja a az spring connection parancsot az alábbi példában látható módon:

az spring connection create eventhub \
    --app <spring-app-name> \
    --service <azure-spring-service-name> \
    --resource-group $AZ_RESOURCE_GROUP \
    --deployment <spring-app-deployoment-name> \
    --target-id $AZURE_EVENTHUBS_RESOURCE_ID \
    --client-type kafka-springBoot \
    --system-identity

Az Azure Container Apps használata esetén használja a az containerapp connection parancsot az alábbi példában látható módon:

az containerapp connection create eventhub \
    --resource-group $AZ_RESOURCE_GROUP \
    --name <container-app-name>
    --target-id $AZURE_EVENTHUBS_RESOURCE_ID \
    --client-type kafka-springBoot \
    --system-identity

Container Apps

Felügyelt identitást hozzárendelhet egy Azure Container Apps-példányhoz az az containerapp identity assign paranccsal, ahogyan az az alábbi példában látható:

export AZURE_MANAGED_IDENTITY_ID=$(az containerapp identity assign \
    --resource-group $AZ_RESOURCE_GROUP \
    --name <container-app-name> \
    --system-assigned \
    --query principalId \
    --output tsv)

Azure Spring Apps

Felügyelt identitást hozzárendelhet egy Azure Spring Apps-példányhoz az az spring app identity assign paranccsal, ahogyan az az alábbi példában látható:

export AZURE_MANAGED_IDENTITY_ID=$(az spring app identity assign \
    --resource-group $AZ_RESOURCE_GROUP \
    --name <spring-app-name> \
    --service <spring-apps-service-name> \
    --system-assigned \
    --query identity.principalId \
    --output tsv)

Virtuális gépek

Felügyelt identitást rendelhet egy virtuális géphez az az vm identity assign paranccsal, ahogyan az az alábbi példában látható:

export AZURE_MANAGED_IDENTITY_ID=$(az vm identity assign \
    --resource-group $AZ_RESOURCE_GROUP \
    --name <vm-name> \
    --query principalId \
    --output tsv)

AKS

Felügyelt identitást rendelhet egy Azure Kubernetes Service-példányhoz az az aks update paranccsal, ahogyan az az alábbi példában látható:

export AZURE_MANAGED_IDENTITY_ID=$(az aks update \
    --resource-group $AZ_RESOURCE_GROUP \
    --name <AKS-cluster-name> \
    --enable-managed-identity \
    --query identityProfile.kubeletidentity.clientId \
    --output tsv)

Szerepkörök hozzárendelése a felügyelt identitáshoz

Ezután adjon engedélyeket az Event Hubs-névtér eléréséhez létrehozott felügyelt identitásnak. Engedélyeket úgy adhat meg, hogy hozzárendel egy szerepkört a felügyelt identitáshoz, ugyanúgy, mint a helyi fejlesztőfelhasználóval.

Szolgáltatás Csatlakozás or

Ha a szolgáltatás Csatlakozás or használatával kapcsolta össze a szolgáltatásokat, nem kell elvégeznie ezt a lépést. A rendszer a következő szükséges konfigurációkat kezelte:

• Ha a kapcsolat létrehozásakor kiválasztott egy felügyelt identitást, a rendszer által hozzárendelt felügyelt identitás lett létrehozva az alkalmazáshoz, és hozzárendelte az Azure Event Hubs-adatküldő és az Azure Event Hubs-adatátvevő szerepköröket az Event Hubshoz.

• Ha egy kapcsolati sztring használata mellett döntött, a kapcsolati sztring alkalmazáskörnyezeti változóként lett hozzáadva.

Azure Portal

Megjegyzés:

Ha az Azure Spring Appst használja, az alábbi lépésekkel rendelhet szerepköröket az Azure Spring Appshez.

1. Az Azure Portalon keresse meg az Azure Spring Appst, majd válassza ki a használt alkalmazást.
2. Válassza az Identitás lehetőséget a navigációs menüben, majd a Rendszer által hozzárendelt lapon válassza az Azure-szerepkör-hozzárendeléseket.
3. Válassza a Szerepkör-hozzárendelések hozzáadása lehetőséget, keresse meg az Azure Event Hubs-adatküldőt és az Azure Event Hubs-adatátvevőt, válassza ki a megfelelő eredményt, majd válassza a Mentés lehetőséget.

1. Az Azure Portalon keresse meg az Event Hubs-névteret a fő keresősávon vagy a navigációs panelen.

2. Az Event Hubs áttekintési lapján válassza a Hozzáférés-vezérlés (IAM) lehetőséget a navigációs menüben.

3. A Hozzáférés-vezérlés (IAM) lapon válassza a Szerepkör-hozzárendelések lapot.

4. Válassza a Hozzáadás lehetőséget a főmenüben, majd a legördülő menüBen adja meg a szerepkör-hozzárendelést .

   

5. A keresőmezővel szűrheti az eredményeket a kívánt szerepkörre. Ebben a példában keresse meg az Azure Event Hubs-adatküldőt és az Azure Event Hubs-adatátvevőt, válassza ki az egyező eredményt, majd válassza a Tovább lehetőséget.

6. A Hozzáférés hozzárendelése területen válassza a Felügyelt identitás, majd a Tagok kijelölése lehetőséget.

7. A úszó panelen keresse meg azt az előfizetést, amelyben a szolgáltatói szolgáltatás található. Ezután válassza az Összes rendszer által hozzárendelt felügyelt identitás lehetőséget, és válassza ki az üzemeltetési szolgáltatás felügyelt identitását. Válassza ki a rendszer által hozzárendelt identitást, majd a Kijelölés gombra kattintva zárja be az úszó menüt.

   Megjegyzés:

   Ha az Azure Kubernetes Service-t használja, válassza ki a felhasználó által hozzárendelt felügyelt identitásokat , majd válassza ki a Kubernetes-fürt felügyelt identitását, amelynek neve a következő struktúrával rendelkezik: <your-kubernetes-cluster-name>-agentpool.

8. Néhányszor válassza a Tovább lehetőséget, amíg meg nem tudja adni a Véleményezés + hozzárendelés lehetőséget a szerepkör-hozzárendelés befejezéséhez.

Azure CLI

Ha erőforrásszinten szeretne szerepkört hozzárendelni az Azure CLI-vel, az alábbi parancsokat használhatja:

az role assignment create \
    --assignee $AZURE_MANAGED_IDENTITY_ID \
    --role "Azure Event Hubs Data Receiver" \
    --scope $AZURE_EVENTHUBS_RESOURCE_ID
az role assignment create \
    --assignee $AZURE_MANAGED_IDENTITY_ID \
    --role "Azure Event Hubs Data Sender" \
    --scope $AZURE_EVENTHUBS_RESOURCE_ID

Az alkalmazás tesztelése

Miután végrehajtotta ezeket a kódmódosításokat, keresse meg az üzemeltetett alkalmazást a böngészőben. Az alkalmazásnak sikeresen csatlakoznia kell a Kafkához készült Azure Event Hubshoz. Ne feledje, hogy eltarthat néhány percig, amíg a szerepkör-hozzárendelések propagálása az Azure-környezetben történik. Az alkalmazás mostantól úgy van konfigurálva, hogy helyileg és éles környezetben is fusson anélkül, hogy a fejlesztőknek titkos kulcsokat kellene kezelnie az alkalmazásban.

További lépések

Ebben az oktatóanyagban megtanulta, hogyan migrálhat egy alkalmazást jelszó nélküli kapcsolatokba.

A cikkben tárgyalt fogalmak részletesebb megismeréséhez olvassa el az alábbi forrásokat:

• Blobadatokhoz való hozzáférés engedélyezése felügyelt identitásokkal az Azure-erőforrásokhoz
• Blobok hozzáférésének engedélyezése a Microsoft Entra-azonosítóval