Eseguire la migrazione di un'applicazione per usare connessioni senza password con Hub eventi di Azure per Kafka

Questo articolo illustra come eseguire la migrazione da metodi di autenticazione tradizionali a connessioni senza password più sicure con Hub eventi di Azure per Kafka.

Le richieste dell'applicazione a Hub eventi di Azure per Kafka devono essere autenticate. Hub eventi di Azure per Kafka offre diversi modi per connettersi in modo sicuro alle app. Uno dei modi consiste nell'usare un stringa di connessione. Tuttavia, è consigliabile assegnare priorità alle connessioni senza password nelle applicazioni, quando possibile.

Le connessioni senza password sono supportate a partire da Spring Cloud Azure 4.3.0. Questo articolo è una guida alla migrazione per la rimozione delle credenziali dalle applicazioni Kafka di Spring Cloud Stream.

Confrontare le opzioni di autenticazione

Quando l'applicazione esegue l'autenticazione con Hub eventi di Azure per Kafka, fornisce un'entità autorizzata per connettere lo spazio dei nomi di Hub eventi. I protocolli Apache Kafka forniscono più meccanismi sasl (Simple Authentication and Security Layer) per l'autenticazione. In base ai meccanismi SASL, sono disponibili due opzioni di autenticazione che è possibile usare per autorizzare l'accesso alle risorse protette: autenticazione di Microsoft Entra e autenticazione della firma di accesso condiviso .

Autenticazione Microsoft Entra

L'autenticazione di Microsoft Entra è un meccanismo per la connessione a Hub eventi di Azure per Kafka usando le identità definite in Microsoft Entra ID. Con l'autenticazione Microsoft Entra, è possibile gestire le identità dell'entità servizio e altre servizi Microsoft in una posizione centrale, semplificando la gestione delle autorizzazioni.

L'uso di Microsoft Entra ID per l'autenticazione offre i vantaggi seguenti:

• Autenticazione degli utenti nei servizi di Azure in modo uniforme.
• Gestione dei criteri password e della rotazione delle password in un'unica posizione.
• Più forme di autenticazione supportate da Microsoft Entra ID, che possono eliminare la necessità di archiviare le password.
• I clienti possono gestire le autorizzazioni di Hub eventi usando gruppi esterni (Microsoft Entra ID).
• Supporto per l'autenticazione basata su token per le applicazioni che si connettono a Hub eventi di Azure per Kafka.

Autenticazione con firma di accesso condiviso

Hub eventi fornisce anche firme di accesso condiviso (SAS) per l'accesso delegato a Hub eventi per le risorse Kafka.

Anche se è possibile connettersi a Hub eventi di Azure per Kafka con firma di accesso condiviso, è consigliabile usarlo con cautela. È necessario essere diligenti per non esporre mai i stringa di connessione in una posizione non sicura. Chiunque possa accedere ai stringa di connessione è in grado di eseguire l'autenticazione. Ad esempio, esiste il rischio che un utente malintenzionato possa accedere all'applicazione se un stringa di connessione viene accidentalmente archiviato nel controllo del codice sorgente, inviato tramite un messaggio di posta elettronica non sicuro, incollato nella chat sbagliata o visualizzato da un utente che non deve avere l'autorizzazione. L'autorizzazione dell'accesso tramite il meccanismo basato su token OAuth 2.0 offre invece sicurezza e facilità di utilizzo superiori rispetto alla firma di accesso condiviso. È consigliabile aggiornare l'applicazione per usare connessioni senza password.

Introduzione alle connessioni senza password

Con una connessione senza password, è possibile connettersi ai servizi di Azure senza archiviare credenziali nel codice dell'applicazione, nei relativi file di configurazione o nelle variabili di ambiente.

Molti servizi di Azure supportano connessioni senza password, ad esempio tramite Identità gestita di Azure. Queste tecniche forniscono funzionalità di sicurezza affidabili che è possibile implementare usando DefaultAzureCredential dalle librerie client di Identità di Azure. In questa esercitazione si apprenderà come aggiornare un'applicazione esistente da usare DefaultAzureCredential invece di alternative, ad esempio stringa di connessione.

DefaultAzureCredential supporta più metodi di autenticazione e determina automaticamente quali devono essere usati in fase di esecuzione. Questo approccio consente all'app di usare metodi di autenticazione diversi in ambienti diversi (sviluppo locale e produzione) senza implementare codice specifico dell'ambiente.

L'ordine e le posizioni in cui DefaultAzureCredential cercare le credenziali sono disponibili nella panoramica della libreria di identità di Azure. Ad esempio, quando si lavora in locale, DefaultAzureCredential in genere si esegue l'autenticazione usando l'account usato dallo sviluppatore per accedere a Visual Studio. Quando l'app viene distribuita in Azure, DefaultAzureCredential passerà automaticamente all'uso di un'identità gestita. Per questa transizione non sono necessarie modifiche al codice.

Per garantire che le connessioni siano senza password, è necessario prendere in considerazione sia lo sviluppo locale che l'ambiente di produzione. Se una stringa di connessione è necessaria in entrambe le posizioni, l'applicazione non è senza password.

Nell'ambiente di sviluppo locale è possibile eseguire l'autenticazione con l'interfaccia della riga di comando di Azure, Azure PowerShell, Visual Studio o plug-in di Azure per Visual Studio Code o IntelliJ. In questo caso, è possibile usare tali credenziali nell'applicazione anziché configurare le proprietà.

Quando si distribuiscono applicazioni in un ambiente di hosting di Azure, ad esempio una macchina virtuale, è possibile assegnare un'identità gestita in tale ambiente. Non sarà quindi necessario fornire le credenziali per connettersi ai servizi di Azure.

Nota

Un'identità gestita fornisce un'identità di sicurezza per rappresentare un'app o un servizio. L'identità viene gestita dalla piattaforma Azure e non è necessario eseguire il provisioning o ruotare alcun segreto. Per altre informazioni sulle identità gestite, vedere la documentazione di panoramica .

Eseguire la migrazione di un'applicazione esistente per usare connessioni senza password

La procedura seguente illustra come eseguire la migrazione di un'applicazione esistente per usare connessioni senza password anziché una soluzione di firma di accesso condiviso.

0) Preparare l'ambiente di lavoro per l'autenticazione di sviluppo locale

Usare prima di tutto il comando seguente per configurare alcune variabili di ambiente.

export AZ_RESOURCE_GROUP=<YOUR_RESOURCE_GROUP>
export AZ_EVENTHUBS_NAMESPACE_NAME=<YOUR_EVENTHUBS_NAMESPACE_NAME>
export AZ_EVENTHUB_NAME=<YOUR_EVENTHUB_NAME>

Sostituire i segnaposto con i valori seguenti, che vengono usati nell'intero articolo:

• <YOUR_RESOURCE_GROUP>: nome del gruppo di risorse che verrà usato.
• <YOUR_EVENTHUBS_NAMESPACE_NAME>: nome dello spazio dei nomi Hub eventi di Azure che verrà usato.
• <YOUR_EVENTHUB_NAME>: nome dell'hub eventi che verrà usato.

1) Concedere l'autorizzazione per Hub eventi di Azure

Se si vuole eseguire questo esempio in locale con l'autenticazione Microsoft Entra, assicurarsi che l'account utente sia stato autenticato tramite Azure Toolkit for IntelliJ, il plug-in dell'account azure di Visual Studio Code o l'interfaccia della riga di comando di Azure. Assicurarsi inoltre che all'account siano state concesse autorizzazioni sufficienti.

Azure portal

1. Nella portale di Azure individuare lo spazio dei nomi di Hub eventi usando la barra di ricerca principale o lo spostamento a sinistra.

2. Nella pagina di panoramica di Hub eventi selezionare Controllo di accesso (IAM) dal menu a sinistra.

3. Nella pagina Controllo di accesso (IAM) selezionare la scheda Assegnazioni di ruolo.

4. Selezionare Aggiungi dal menu in alto e quindi Aggiungi assegnazione di ruolo dal menu a discesa risultante.

   

5. Usare la casella di ricerca per filtrare i risultati in base al ruolo desiderato. Per questo esempio cercare Hub eventi di Azure Mittente dati e Hub eventi di Azure Ricevitore dati, selezionare il risultato corrispondente e quindi scegliere Avanti.

6. In Assegna accesso a selezionare Utente, gruppo o entità servizio e quindi scegliere Seleziona membri.

7. Nella finestra di dialogo cercare il nome utente di Microsoft Entra (in genere l'indirizzo di posta elettronica user@domain ) e quindi scegliere Seleziona nella parte inferiore della finestra di dialogo.

8. Selezionare Rivedi e assegna per passare alla pagina finale e quindi rivedi e assegna per completare il processo.

Interfaccia della riga di comando di Azure

Per eseguire l'autenticazione con l'interfaccia della riga di comando di Azure, seguire questa procedura:

1. Usare il comando seguente per accedere all'account Azure:

   az login
   

2. Usare il comando seguente per impostare il contesto di sottoscrizione corrente. Sostituire ssssssss-ssss-ssss-ssss-ssssssssssss con il GUID per la sottoscrizione che si vuole usare con Azure:

   az account set --subscription ssssssss-ssss-ssss-ssss-ssssssssssss
   

3. Usare il comando seguente per ottenere l'ID risorsa per lo spazio dei nomi Hub eventi di Azure:

   export AZURE_EVENTHUBS_RESOURCE_ID=$(az resource show \
       --resource-group $AZ_RESOURCE_GROUP \
       --name $AZ_EVENTHUBS_NAMESPACE_NAME \
       --resource-type Microsoft.EventHub/Namespaces \
       --query "id" \
       --output tsv)
   

4. Usare il comando seguente per ottenere l'ID oggetto utente dell'account utente dell'interfaccia della riga di comando di Azure:

   export AZURE_AD_ACCOUNT_ID=$(az ad signed-in-user show \
       --query "id" --output tsv)
   

5. Usare i comandi seguenti per assegnare Hub eventi di Azure Mittente dati e Hub eventi di Azure ruoli Ricevitore dati all'account.

   az role assignment create \
       --assignee $AZURE_AD_ACCOUNT_ID \
       --role "Azure Event Hubs Data Receiver" \
       --scope $AZURE_EVENTHUBS_RESOURCE_ID
   az role assignment create \
       --assignee $AZURE_AD_ACCOUNT_ID \
       --role "Azure Event Hubs Data Sender" \
       --scope $AZURE_EVENTHUBS_RESOURCE_ID
   

Per altre informazioni sulla concessione dei ruoli di accesso, vedere Autorizzare l'accesso alle risorse di Hub eventi usando Microsoft Entra ID.

2) Accedere ed eseguire la migrazione del codice dell'app per usare connessioni senza password

Per lo sviluppo locale, assicurarsi di essere autenticati con lo stesso account Microsoft Entra a cui è stato assegnato il ruolo in Hub eventi. È possibile eseguire l'autenticazione tramite l'interfaccia della riga di comando di Azure, Visual Studio, Azure PowerShell o altri strumenti come IntelliJ.

Interfaccia della riga di comando di Azure

Accedere ad Azure tramite l'interfaccia della riga di comando di Azure usando il comando seguente:

az login

PowerShell

Accedere ad Azure usando PowerShell usando il comando seguente:

Connect-AzAccount

Visual Studio

Selezionare il pulsante Accedi nell'angolo superiore destro di Visual Studio.

Accedere usando l'account Microsoft Entra a cui è stato assegnato un ruolo in precedenza.

Visual Studio Code

Assicurarsi di aver installato l'estensione Account Azure.

Usare il tasto di scelta rapida CTRL+MAIUSC+P per aprire il riquadro comandi. Cercare il comando Azure: Accedi e seguire le istruzioni per l'autenticazione. Assicurarsi di usare l'account Microsoft Entra a cui è stato assegnato un ruolo in precedenza dall'account di Archiviazione BLOB.

IntelliJ

Per altre informazioni, vedere Installare Azure Toolkit for IntelliJ e istruzioni di accesso per Azure Toolkit for IntelliJ.

Usare quindi la procedura seguente per aggiornare l'applicazione Spring Kafka per usare connessioni senza password. Anche se concettualmente simile, ogni framework usa dettagli di implementazione diversi.

Java

1. All'interno del progetto aprire il file pom.xml e aggiungere il riferimento seguente:

   <dependency>
      <groupId>com.azure</groupId>
      <artifactId>azure-identity</artifactId>
      <version>1.6.0</version>
   </dependency>
   

2. Dopo la migrazione, implementare AuthenticateCallbackHandler e OAuthBearerToken nel progetto per l'autenticazione OAuth2, come illustrato nell'esempio seguente.

   public class KafkaOAuth2AuthenticateCallbackHandler implements AuthenticateCallbackHandler {
   
      private static final Duration ACCESS_TOKEN_REQUEST_BLOCK_TIME = Duration.ofSeconds(30);
      private static final String TOKEN_AUDIENCE_FORMAT = "%s://%s/.default";
   
      private Function<TokenCredential, Mono<OAuthBearerTokenImp>> resolveToken;
      private final TokenCredential credential = new DefaultAzureCredentialBuilder().build();
   
      @Override
      public void configure(Map<String, ?> configs, String mechanism, List<AppConfigurationEntry> jaasConfigEntries) {
         TokenRequestContext request = buildTokenRequestContext(configs);
         this.resolveToken = tokenCredential -> tokenCredential.getToken(request).map(OAuthBearerTokenImp::new);
      }
   
      private TokenRequestContext buildTokenRequestContext(Map<String, ?> configs) {
         URI uri = buildEventHubsServerUri(configs);
         String tokenAudience = buildTokenAudience(uri);
   
         TokenRequestContext request = new TokenRequestContext();
         request.addScopes(tokenAudience);
         return request;
      }
   
      @SuppressWarnings("unchecked")
      private URI buildEventHubsServerUri(Map<String, ?> configs) {
         String bootstrapServer = Arrays.asList(configs.get(BOOTSTRAP_SERVERS_CONFIG)).get(0).toString();
         bootstrapServer = bootstrapServer.replaceAll("\\[|\\]", "");
         URI uri = URI.create("https://" + bootstrapServer);
         return uri;
      }
   
      private String buildTokenAudience(URI uri) {
         return String.format(TOKEN_AUDIENCE_FORMAT, uri.getScheme(), uri.getHost());
      }
   
      @Override
      public void handle(Callback[] callbacks) throws UnsupportedCallbackException {
         for (Callback callback : callbacks) {
            if (callback instanceof OAuthBearerTokenCallback) {
               OAuthBearerTokenCallback oauthCallback = (OAuthBearerTokenCallback) callback;
               this.resolveToken
                       .apply(credential)
                       .doOnNext(oauthCallback::token)
                       .doOnError(throwable -> oauthCallback.error("invalid_grant", throwable.getMessage(), null))
                       .block(ACCESS_TOKEN_REQUEST_BLOCK_TIME);
            } else {
               throw new UnsupportedCallbackException(callback);
            }
         }
      }
   
      @Override
      public void close() {
         // NOOP
      }
   }
   

   public class OAuthBearerTokenImp implements OAuthBearerToken {
       private final AccessToken accessToken;
       private final JWTClaimsSet claims;
   
       public OAuthBearerTokenImp(AccessToken accessToken) {
           this.accessToken = accessToken;
           try {
               claims = JWTParser.parse(accessToken.getToken()).getJWTClaimsSet();
           } catch (ParseException exception) {
               throw new SaslAuthenticationException("Unable to parse the access token", exception);
           }
       }
   
       @Override
       public String value() {
           return accessToken.getToken();
       }
   
       @Override
       public Long startTimeMs() {
           return claims.getIssueTime().getTime();
       }
   
       @Override
       public long lifetimeMs() {
           return claims.getExpirationTime().getTime();
       }
   
       @Override
       public Set<String> scope() {
           // Referring to https://docs.microsoft.com/azure/active-directory/develop/access-tokens#payload-claims, the scp
           // claim is a String, which is presented as a space separated list.
           return Optional.ofNullable(claims.getClaim("scp"))
                   .map(s -> Arrays.stream(((String) s)
                   .split(" "))
                   .collect(Collectors.toSet()))
                   .orElse(null);
       }
   
       @Override
       public String principalName() {
           return (String) claims.getClaim("upn");
       }
   
       public boolean isExpired() {
           return accessToken.isExpired();
       }
   }
   

3. Quando si crea il producer o il consumer Kafka, aggiungere la configurazione necessaria per supportare il meccanismo SASL/OAUTHBEARER . Gli esempi seguenti illustrano l'aspetto del codice prima e dopo la migrazione. In entrambi gli esempi sostituire il <eventhubs-namespace> segnaposto con il nome dello spazio dei nomi di Hub eventi.

   Prima della migrazione, il codice dovrebbe essere simile all'esempio seguente:

   Properties properties = new Properties();
   properties.put(CommonClientConfigs.BOOTSTRAP_SERVERS_CONFIG, "<eventhubs-namespace>.servicebus.windows.net:9093");
   properties.put(CommonClientConfigs.SECURITY_PROTOCOL_CONFIG, "SASL_SSL");
   properties.put(ProducerConfig.KEY_SERIALIZER_CLASS_CONFIG, StringSerializer.class.getName());
   properties.put(ProducerConfig.VALUE_SERIALIZER_CLASS_CONFIG, StringSerializer.class.getName());
   properties.put(SaslConfigs.SASL_MECHANISM, "PLAIN");
   properties.put(SaslConfigs.SASL_JAAS_CONFIG,
           String.format("org.apache.kafka.common.security.plain.PlainLoginModule required username=\"$ConnectionString\" password=\"%s\";", connectionString));
   return new KafkaProducer<>(properties);
   

   Dopo la migrazione, il codice dovrebbe essere simile all'esempio seguente. In questo esempio sostituire il <path-to-your-KafkaOAuth2AuthenticateCallbackHandler> segnaposto con il nome completo della classe per l'implementazione KafkaOAuth2AuthenticateCallbackHandlerdi .

   Properties properties = new Properties();
   properties.put(CommonClientConfigs.BOOTSTRAP_SERVERS_CONFIG, "<eventhubs-namespace>.servicebus.windows.net:9093");
   properties.put(CommonClientConfigs.SECURITY_PROTOCOL_CONFIG, "SASL_SSL");
   properties.put(SaslConfigs.SASL_MECHANISM, "OAUTHBEARER");
   properties.put(SaslConfigs.SASL_JAAS_CONFIG, "org.apache.kafka.common.security.oauthbearer.OAuthBearerLoginModule required");
   properties.put(SaslConfigs.SASL_LOGIN_CALLBACK_HANDLER_CLASS, "<path-to-your-KafkaOAuth2AuthenticateCallbackHandler>");
   return new KafkaProducer<>(properties);
   

Spring Kafka (applicazione Spring Boot)

1. All'interno del progetto aggiungere il riferimento seguente al com.azure.spring:spring-cloud-azure-starter pacchetto. Questa libreria contiene tutte le entità necessarie per implementare connessioni senza password.

   <dependency>
       <groupId>com.azure.spring</groupId>
       <artifactId>spring-cloud-azure-starter</artifactId>
   </dependency>
   

2. Rimuovere quindi tutte le proprietà Kafka correlate alla connessione o alle credenziali esistenti. Aggiungere solo la proprietà seguente per configurare il server bootstrap Kafka con lo spazio dei nomi Hub eventi di Azure:

   spring.kafka.bootstrap-servers=$AZ_EVENTHUBS_NAMESPACE_NAME.servicebus.windows.net:9093
   

Spring Cloud Stream Kafka Binder

1. All'interno del progetto aggiungere il riferimento seguente al com.azure.spring:spring-cloud-azure-starter pacchetto. Questa libreria contiene tutte le entità necessarie per implementare connessioni senza password.

   <dependency>
       <groupId>com.azure.spring</groupId>
       <artifactId>spring-cloud-azure-starter</artifactId>
   </dependency>
   

2. Rimuovere quindi tutte le proprietà Kafka correlate alla connessione o alle credenziali esistenti. Aggiungere la proprietà seguente per configurare il server bootstrap Kafka con lo spazio dei nomi Hub eventi di Azure:

   spring.cloud.stream.kafka.binder.brokers=$AZ_EVENTHUBS_NAMESPACE_NAME.servicebus.windows.net:9093
   

   Nota

   A partire dalla versione 4.4.0, questa proprietà verrà aggiunta automaticamente, quindi non è necessario aggiungerla manualmente.

Eseguire l'app in locale

Dopo aver apportato queste modifiche al codice, eseguire l'applicazione in locale. La nuova configurazione deve raccogliere le credenziali locali, presupponendo che si sia connessi a un IDE compatibile o a uno strumento da riga di comando, ad esempio l'interfaccia della riga di comando di Azure, Visual Studio o IntelliJ. I ruoli assegnati all'utente di sviluppo locale in Azure consentiranno all'app di connettersi al servizio di Azure in locale.

3) Configurare l'ambiente di hosting di Azure

Dopo che l'applicazione è configurata per l'uso di connessioni senza password e viene eseguita in locale, lo stesso codice può eseguire l'autenticazione ai servizi di Azure dopo la distribuzione in Azure. Ad esempio, un'applicazione distribuita in un'istanza di Azure Spring Apps con un'identità gestita assegnata può connettersi a Hub eventi di Azure per Kafka.

In questa sezione verranno eseguiti due passaggi per consentire l'esecuzione dell'applicazione in un ambiente di hosting di Azure in modo senza password:

• Assegnare l'identità gestita per l'ambiente di hosting di Azure.
• Assegnare ruoli all'identità gestita.

Nota

Azure offre anche service Connessione or, che consente di connettere il servizio di hosting con Hub eventi. Con Service Connessione or per configurare l'ambiente di hosting, è possibile omettere il passaggio di assegnazione dei ruoli all'identità gestita perché service Connessione or lo eseguirà automaticamente. La sezione seguente descrive come configurare l'ambiente di hosting di Azure in due modi: uno tramite service Connessione or e l'altro configurando direttamente ogni ambiente di hosting.

Importante

I comandi di Connessione or del servizio richiedono l'interfaccia della riga di comando di Azure 2.41.0 o versione successiva.

Assegnare l'identità gestita per l'ambiente di hosting di Azure

I passaggi seguenti illustrano come assegnare un'identità gestita assegnata dal sistema per vari servizi di hosting Web. L'identità gestita può connettersi in modo sicuro ad altri servizi di Azure usando le configurazioni dell'app configurate in precedenza.

Servizio app

1. Nella pagina di panoramica principale dell'istanza del servizio app Azure selezionare Identità nel riquadro di spostamento.

2. Nella scheda Assegnata dal sistema assicurarsi di impostare il campo Stato su attivato. Un'identità assegnata dal sistema viene gestita internamente da Azure e gestisce automaticamente le attività amministrative. I dettagli e gli ID dell'identità non vengono mai esposti nel codice.

   

Connessione or del servizio

Quando si usa Service Connessione or, può essere utile assegnare l'identità gestita assegnata dal sistema all'ambiente di hosting di Azure e quindi configurare i ruoli Hub eventi di Azure Data Sender e Hub eventi di Azure Data Receiver per l'identità gestita.

Sono attualmente supportati i servizi di calcolo seguenti:

• Servizio app di Azure
• Azure Spring Apps
• App contenitore di Azure

Per questa guida alla migrazione si useranno servizio app, ma i passaggi sono simili per App Azure Spring e App Azure Container.

Nota

Azure Spring Apps supporta attualmente solo Connessione or del servizio usando stringa di connessione s.

1. Nella portale di Azure, nella pagina di panoramica principale dell'istanza di servizio app selezionare Service Connessione or nel riquadro di spostamento.

2. Selezionare Crea dal menu principale e verrà aperto il pannello Crea connessione . Immettere i valori seguenti:

   • Tipo di servizio: scegliere Hub eventi.
   • Sottoscrizione: selezionare la sottoscrizione che si vuole usare.
   • nome Connessione ion: immettere un nome per la connessione, ad esempio connector_appservice_eventhub.
   • Spazio dei nomi: selezionare lo spazio dei nomi di Hub eventi che si vuole usare.
   • Tipo di client: lasciare selezionato il valore predefinito o scegliere il client specifico che si vuole usare.

3. Selezionare Avanti: Autenticazione.

   

4. Assicurarsi che l'opzione Identità gestita assegnata dal sistema (scelta consigliata) sia selezionata e quindi selezionare Avanti: Rete.

5. Lasciare selezionati i valori predefiniti e quindi selezionare Avanti: Rivedi e crea.

6. Dopo aver convalidato le impostazioni di Azure, selezionare Crea.

Il Connessione or del servizio assegnerà automaticamente un'identità gestita assegnata dal sistema per il servizio app. Il connettore assegnerà anche i ruoli di identità gestita di Hub eventi di Azure Mittente dati e Hub eventi di Azure Ricevitore dati per l'istanza di Hub eventi selezionata.

App contenitore

1. Nella pagina di panoramica principale dell'istanza di App Azure Container selezionare Identità nel riquadro di spostamento.

2. Nella scheda Assegnata dal sistema assicurarsi di impostare il campo Stato su attivato. Un'identità assegnata dal sistema viene gestita internamente da Azure e gestisce automaticamente le attività amministrative. I dettagli e gli ID dell'identità non vengono mai esposti nel codice.

   

Azure Spring Apps

1. Nella pagina di panoramica principale dell'istanza di Azure Spring Apps selezionare Identità nel riquadro di spostamento.

2. Nella scheda Assegnata dal sistema assicurarsi di impostare il campo Stato su attivato. Un'identità assegnata dal sistema viene gestita internamente da Azure e gestisce automaticamente le attività amministrative. I dettagli e gli ID dell'identità non vengono mai esposti nel codice.

   

Macchine virtuali

1. Nella pagina di panoramica principale della macchina virtuale selezionare Identità nel riquadro di spostamento.

2. Nella scheda Assegnata dal sistema assicurarsi di impostare il campo Stato su attivato. Un'identità assegnata dal sistema viene gestita internamente da Azure e gestisce automaticamente le attività amministrative. I dettagli e gli ID dell'identità non vengono mai esposti nel codice.

   

servizio Azure Kubernetes

Un cluster servizio Azure Kubernetes (servizio Azure Kubernetes) richiede un'identità per accedere alle risorse di Azure, ad esempio i servizi di bilanciamento del carico e i dischi gestiti. Questa identità può essere un'identità gestita o un'entità servizio. Per impostazione predefinita, quando si crea un cluster del servizio Azure Kubernetes, viene creata automaticamente un'identità gestita assegnata dal sistema.

È anche possibile assegnare un'identità gestita in un ambiente di hosting di Azure usando l'interfaccia della riga di comando di Azure.

Servizio app

È possibile assegnare un'identità gestita a un'istanza del servizio app Azure con il comando az webapp identity assign, come illustrato nell'esempio seguente.

export AZURE_MANAGED_IDENTITY_ID=$(az webapp identity assign \
    --resource-group $AZ_RESOURCE_GROUP \
    --name <app-service-name> \
    --query principalId \
    --output tsv)

Connessione or del servizio

È possibile creare un servizio Connessione ion tra un ambiente di hosting di calcolo di Azure e un servizio di destinazione usando l'interfaccia della riga di comando di Azure. L'interfaccia della riga di comando di Azure gestisce automaticamente la creazione di un'identità gestita e assegna il ruolo appropriato, come illustrato nella sezione Assegnare l'identità gestita per l'ambiente di hosting di Azure.

Installare prima di tutto l'estensione senza password del servizio Connessione or per l'interfaccia della riga di comando di Azure:

az extension add --name serviceconnector-passwordless --upgrade

Se si usa un servizio app Azure, usare il comando az webapp connection, come illustrato nell'esempio seguente:

az webapp connection create eventhub \
    --resource-group $AZ_RESOURCE_GROUP \
    --name <app-service-name>
    --target-id $AZURE_EVENTHUBS_RESOURCE_ID \
    --client-type kafka-springBoot \
    --system-identity

Se si usa Azure Spring Apps, usare il az spring connection comando , come illustrato nell'esempio seguente:

az spring connection create eventhub \
    --app <spring-app-name> \
    --service <azure-spring-service-name> \
    --resource-group $AZ_RESOURCE_GROUP \
    --deployment <spring-app-deployoment-name> \
    --target-id $AZURE_EVENTHUBS_RESOURCE_ID \
    --client-type kafka-springBoot \
    --system-identity

Se si usa App Azure Container, usare il az containerapp connection comando , come illustrato nell'esempio seguente:

az containerapp connection create eventhub \
    --resource-group $AZ_RESOURCE_GROUP \
    --name <container-app-name>
    --target-id $AZURE_EVENTHUBS_RESOURCE_ID \
    --client-type kafka-springBoot \
    --system-identity

App contenitore

È possibile assegnare un'identità gestita a un'istanza di App Contenitore di Azure con il comando az containerapp identity assign , come illustrato nell'esempio seguente:

export AZURE_MANAGED_IDENTITY_ID=$(az containerapp identity assign \
    --resource-group $AZ_RESOURCE_GROUP \
    --name <container-app-name> \
    --system-assigned \
    --query principalId \
    --output tsv)

Azure Spring Apps

È possibile assegnare un'identità gestita a un'istanza di Azure Spring Apps con il comando az spring app identity assign , come illustrato nell'esempio seguente:

export AZURE_MANAGED_IDENTITY_ID=$(az spring app identity assign \
    --resource-group $AZ_RESOURCE_GROUP \
    --name <spring-app-name> \
    --service <spring-apps-service-name> \
    --system-assigned \
    --query identity.principalId \
    --output tsv)

Macchine virtuali

È possibile assegnare un'identità gestita a una macchina virtuale con il comando az vm identity assign , come illustrato nell'esempio seguente:

export AZURE_MANAGED_IDENTITY_ID=$(az vm identity assign \
    --resource-group $AZ_RESOURCE_GROUP \
    --name <vm-name> \
    --query principalId \
    --output tsv)

servizio Azure Kubernetes

È possibile assegnare un'identità gestita a un'istanza del servizio Azure Kubernetes servizio Azure Kubernetes con il comando az aks update, come illustrato nell'esempio seguente:

export AZURE_MANAGED_IDENTITY_ID=$(az aks update \
    --resource-group $AZ_RESOURCE_GROUP \
    --name <AKS-cluster-name> \
    --enable-managed-identity \
    --query identityProfile.kubeletidentity.clientId \
    --output tsv)

Assegnare ruoli all'identità gestita

Concedere quindi le autorizzazioni all'identità gestita creata per accedere allo spazio dei nomi di Hub eventi. È possibile concedere le autorizzazioni assegnando un ruolo all'identità gestita, proprio come è stato fatto con l'utente di sviluppo locale.

Connessione or del servizio

Se i servizi sono stati connessi tramite il Connessione or del servizio, non è necessario completare questo passaggio. Le configurazioni necessarie seguenti sono state gestite automaticamente:

• Se è stata selezionata un'identità gestita al momento della creazione della connessione, è stata creata un'identità gestita assegnata dal sistema per l'app e sono stati assegnati i ruoli Hub eventi di Azure Mittente dati e Hub eventi di Azure Ricevitore dati in Hub eventi.

• Se si sceglie di usare un stringa di connessione, il stringa di connessione è stato aggiunto come variabile di ambiente dell'app.

Azure portal

Nota

Se si usa Azure Spring Apps, seguire questa procedura per assegnare ruoli in Azure Spring Apps.

1. Nella portale di Azure passare ad Azure Spring Apps e quindi scegliere l'app usata.
2. Selezionare Identità nel menu di spostamento e nella scheda Assegnata dal sistema selezionare Assegnazioni di ruolo di Azure.
3. Selezionare Aggiungi assegnazioni di ruolo, cercare Hub eventi di Azure Mittente dati e Hub eventi di Azure Ricevitore dati, selezionare il risultato corrispondente e quindi selezionare Salva.

1. Nella portale di Azure individuare lo spazio dei nomi di Hub eventi usando la barra di ricerca principale o il riquadro di spostamento.

2. Nella pagina di panoramica di Hub eventi selezionare Controllo di accesso (IAM) dal menu di spostamento.

3. Nella pagina Controllo di accesso (IAM) selezionare la scheda Assegnazioni di ruolo.

4. Selezionare Aggiungi dal menu principale e quindi Aggiungi assegnazione di ruolo dal menu a discesa.

   

5. Usare la casella di ricerca per filtrare i risultati in base al ruolo desiderato. Per questo esempio, cercare Hub eventi di Azure Mittente dati e Hub eventi di Azure Ricevitore dati, selezionare il risultato corrispondente e quindi selezionare Avanti.

6. In Assegna accesso a selezionare Identità gestita e quindi selezionare Seleziona membri.

7. Nel riquadro a comparsa cercare la sottoscrizione in cui si trova il servizio di hosting. Selezionare quindi Tutte le identità gestite assegnate dal sistema e selezionare l'identità gestita del servizio di hosting. Selezionare l'identità assegnata dal sistema e quindi selezionare Seleziona per chiudere il menu a comparsa.

   Nota

   Se si usa servizio Azure Kubernetes, selezionare Identità gestite assegnate dall'utente e quindi selezionare l'identità gestita del cluster Kubernetes, con un nome con la struttura seguente: <your-kubernetes-cluster-name>-agentpool.

8. Selezionare Avanti un paio di volte fino a quando non è possibile selezionare Rivedi e assegna per completare l'assegnazione di ruolo.

Interfaccia della riga di comando di Azure

Per assegnare un ruolo a livello di risorsa usando l'interfaccia della riga di comando di Azure, è possibile usare i comandi seguenti:

az role assignment create \
    --assignee $AZURE_MANAGED_IDENTITY_ID \
    --role "Azure Event Hubs Data Receiver" \
    --scope $AZURE_EVENTHUBS_RESOURCE_ID
az role assignment create \
    --assignee $AZURE_MANAGED_IDENTITY_ID \
    --role "Azure Event Hubs Data Sender" \
    --scope $AZURE_EVENTHUBS_RESOURCE_ID

Testare l'app

Dopo aver apportato queste modifiche al codice, passare all'applicazione ospitata nel browser. L'app dovrebbe essere in grado di connettersi correttamente al Hub eventi di Azure per Kafka. Tenere presente che la propagazione delle assegnazioni di ruolo nell'ambiente di Azure potrebbe richiedere alcuni minuti. L'applicazione è ora configurata per l'esecuzione sia in locale che in un ambiente di produzione senza che gli sviluppatori dover gestire i segreti nell'applicazione stessa.

Passaggi successivi

In questa esercitazione si è appreso come eseguire la migrazione di un'applicazione a connessioni senza password.

È possibile leggere le risorse seguenti per esplorare i concetti illustrati in questo articolo in modo più approfondito:

• Autorizzare l'accesso ai dati BLOB con identità gestite per le risorse di Azure
• Autorizzare l'accesso ai BLOB usando Microsoft Entra ID