Hantera hemligheter i Azure Container Apps

Artikel
09/03/2023

Med Azure Container Apps kan ditt program lagra känsliga konfigurationsvärden med hög säkerhet. När hemligheter har definierats på programnivå är skyddade värden tillgängliga för revisioner i dina containerappar. Dessutom kan du referera till skyddade värden i skalningsregler. Information om hur du använder hemligheter med Dapr finns i Dapr-integrering.

Hemligheter är begränsade till ett program, utanför specifika revisioner av ett program.
Att lägga till, ta bort eller ändra hemligheter genererar inte nya revisioner.
Varje programrevision kan referera till en eller flera hemligheter.
Flera revisioner kan referera till samma hemlighet eller hemligheter.

En uppdaterad eller borttagen hemlighet påverkar inte automatiskt befintliga revisioner i din app. När en hemlighet uppdateras eller tas bort kan du hantera ändringar på något av två sätt:

Distribuera en ny revision.
Starta om en befintlig revision.

Innan du tar bort en hemlighet måste du distribuera en ny revision som inte längre refererar till den gamla hemligheten. Inaktivera sedan alla revisioner som refererar till hemligheten.

Definiera hemligheter

Hemligheter definieras som en uppsättning namn/värde-par. Värdet för varje hemlighet anges direkt eller som en referens till en hemlighet som lagras i Azure Key Vault.

Lagra hemligt värde i Container Apps

När du definierar hemligheter via portalen eller via olika kommandoradsalternativ.

Gå till containerappen i Azure-portalen.
Under avsnittet Inställningar väljer du Hemligheter.
Markera Lägga till.
I fönstret Lägg till hemlig kontext anger du följande information:
- Namn: Namnet på hemligheten.
- Typ: Välj Container Apps Secret.
- Värde: Värdet för hemligheten.
Markera Lägga till.

Hemligheter definieras på programnivå i resources.properties.configuration.secrets avsnittet .

"resources": [
{
    ...
    "properties": {
        "configuration": {
            "secrets": [
            {
                "name": "queue-connection-string",
                "value": "<MY-CONNECTION-STRING-VALUE>"
            }],
        }
    }
}

Här deklareras en anslutningssträng till ett kölagringskonto i matrisensecrets. I det här exemplet ersätter <MY-CONNECTION-STRING-VALUE> du med värdet för din anslutningssträng.

När du skapar en containerapp definieras hemligheter med hjälp av parametern --secrets .

Parametern accepterar en utrymmesavgränsad uppsättning namn/värde-par.
Varje par avgränsas med ett likhetstecken (=).

az containerapp create \
  --resource-group "my-resource-group" \
  --name queuereader \
  --environment "my-environment-name" \
  --image demos/queuereader:v1 \
  --secrets "queue-connection-string=<CONNECTION_STRING>"

Här deklareras en anslutningssträng till ett kölagringskonto i parametern --secrets . Ersätt <CONNECTION_STRING> med värdet för din anslutningssträng.

När du skapar en containerapp definieras hemligheter som ett eller flera hemliga objekt som skickas via parametern ConfigurationSecrets .

$EnvId = (Get-AzContainerAppManagedEnv -ResourceGroupName my-resource-group -EnvName my-environment-name).Id
$TemplateObj = New-AzContainerAppTemplateObject -Name queuereader -Image demos/queuereader:v1
$SecretObj = New-AzContainerAppSecretObject -Name queue-connection-string -Value $QueueConnectionString

$ContainerAppArgs = @{
    Name = 'my-resource-group'
    Location = '<location>'
    ResourceGroupName = 'my-resource-group'
    ManagedEnvironmentId = $EnvId
    TemplateContainer = $TemplateObj
    ConfigurationSecret = $SecretObj
}

New-AzContainerApp @ContainerAppArgs

Här deklareras en anslutningssträng till ett kölagringskonto. Värdet för queue-connection-string kommer från en miljövariabel med namnet $QueueConnectionString.

Referenshemlighet från Key Vault

När du definierar en hemlighet skapar du en referens till en hemlighet som lagras i Azure Key Vault. Container Apps hämtar automatiskt det hemliga värdet från Key Vault och gör det tillgängligt som en hemlighet i din containerapp.

Om du vill referera till en hemlighet från Key Vault måste du först aktivera hanterad identitet i containerappen och ge identiteten åtkomst till Key Vault-hemligheterna.

Information om hur du aktiverar hanterad identitet i containerappen finns i Hanterade identiteter.

Om du vill ge åtkomst till Key Vault-hemligheter skapar du en åtkomstprincip i Key Vault för den hanterade identitet som du skapade. Aktivera behörigheten Hämta hemlighet för den här principen.

Gå till containerappen i Azure-portalen.
Under avsnittet Inställningar väljer du Identitet.
På fliken Systemtilldelade väljer du På.
Välj Spara för att aktivera systemtilldelad hanterad identitet.
Under avsnittet Inställningar väljer du Hemligheter.
Markera Lägga till.
I fönstret Lägg till hemlig kontext anger du följande information:
- Namn: Namnet på hemligheten.
- Typ: Välj Key Vault-referens.
- Url för Key Vault-hemlighet: URI:n för din hemlighet i Key Vault.
- Identitet: Identiteten som ska användas för att hämta hemligheten från Key Vault.
Markera Lägga till.

Hemligheter definieras på programnivå i resources.properties.configuration.secrets avsnittet .

"resources": [
{
    ...
    "properties": {
        "configuration": {
            "secrets": [
            {
                "name": "queue-connection-string",
                "keyVaultUrl": "<KEY-VAULT-SECRET-URI>",
                "identity": "system"
            }],
        }
    }
}

Här deklareras en anslutningssträng till ett kölagringskonto i matrisensecrets. Värdet hämtas automatiskt från Key Vault med den angivna identiteten. Om du vill använda en användarhanterad identitet ersätter system du med identitetens resurs-ID.

Ersätt <KEY-VAULT-SECRET-URI> med URI:n för din hemlighet i Key Vault.

När du skapar en containerapp definieras hemligheter med hjälp av parametern --secrets .

Parametern accepterar en utrymmesavgränsad uppsättning namn/värde-par.
Varje par avgränsas med ett likhetstecken (=).
Om du vill ange en Key Vault-referens använder du formatet <SECRET_NAME>=keyvaultref:<KEY_VAULT_SECRET_URI>,identityref:<MANAGED_IDENTITY_ID>. Till exempel queue-connection-string=keyvaultref:https://mykeyvault.vault.azure.net/secrets/queuereader,identityref:/subscriptions/00000000-0000-0000-0000-000000000000/resourcegroups/my-resource-group/providers/Microsoft.ManagedIdentity/userAssignedIdentities/my-identity.

az containerapp create \
  --resource-group "my-resource-group" \
  --name queuereader \
  --environment "my-environment-name" \
  --image demos/queuereader:v1 \
  --user-assigned "<USER_ASSIGNED_IDENTITY_ID>" \
  --secrets "queue-connection-string=keyvaultref:<KEY_VAULT_SECRET_URI>,identityref:<USER_ASSIGNED_IDENTITY_ID>"

Här deklareras en anslutningssträng till ett kölagringskonto i parametern --secrets . Ersätt <KEY_VAULT_SECRET_URI> med URI:n för din hemlighet i Key Vault. Ersätt <USER_ASSIGNED_IDENTITY_ID> med resurs-ID för den användartilldelade identiteten. För systemtilldelad identitet använder du system i stället för resurs-ID:t.

Kommentar

Den användartilldelade identiteten måste ha åtkomst till att läsa hemligheten i Key Vault. Systemtilldelad identitet kan inte användas med kommandot create eftersom den inte är tillgänglig förrän containerappen har skapats.

Kommentar

Om du använder UDR med Azure Firewall måste du lägga AzureKeyVault till tjänsttaggen och login.microsoft.com FQDN i listan över tillåtna för brandväggen. Se konfigurera UDR med Azure Firewall för att avgöra vilka ytterligare tjänsttaggar du behöver.

Hemlig URI för Key Vault och hemlig rotation

Nyckelvalvets hemliga URI måste ha något av följande format:

https://myvault.vault.azure.net/secrets/mysecret/ec96f02080254f109c51a1f14cdb1931: Referera till en specifik version av en hemlighet.
https://myvault.vault.azure.net/secrets/mysecret: Referera till den senaste versionen av en hemlighet.

Om en version inte anges i URI:n använder appen den senaste versionen som finns i nyckelvalvet. När nyare versioner blir tillgängliga hämtar appen automatiskt den senaste versionen inom 30 minuter. Alla aktiva revisioner som refererar till hemligheten i en miljövariabel startas automatiskt om för att hämta det nya värdet.

Om du vill ha fullständig kontroll över vilken version av en hemlighet som används anger du versionen i URI:n.

Referera till hemligheter i miljövariabler

När du har deklarerat hemligheter på programnivå enligt beskrivningen i avsnittet definiera hemligheter kan du referera till dem i miljövariabler när du skapar en ny revision i containerappen. När en miljövariabel refererar till en hemlighet fylls dess värde med det värde som definierats i hemligheten.

Exempel

I följande exempel visas ett program som deklarerar en anslutningssträng på programnivå. Den här anslutningen refereras i en containermiljövariabel och i en skalningsregel.

När du har definierat en hemlighet i containerappen kan du referera till den i en miljövariabel när du skapar en ny revision.

Gå till containerappen i Azure-portalen.
Öppna sidan Revisionshantering.
Välj Skapa ny revision.
På sidan Skapa och distribuera ny revision väljer du en container.
I avsnittet Miljövariabler väljer du Lägg till.
Ange följande information:
- Namn: Namnet på miljövariabeln.
- Källa: Välj Referera till en hemlighet.
- Värde: Välj den hemlighet som du vill referera till.
Välj Spara.
Välj Skapa för att skapa den nya revisionen.

I det här exemplet deklareras programmet anslutningssträng som queue-connection-string och blir tillgängligt någon annanstans i konfigurationsavsnitten.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-08-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "location": {
            "type": "String"
        },
        "environment_id": {
            "type": "String"
        },
        "queue-connection-string": {
            "type": "String"
        }
    },
    "variables": {},
    "resources": [
    {
        "name": "queuereader",
        "type": "Microsoft.App/containerApps",
        "apiVersion": "2022-03-01",
        "kind": "containerapp",
        "location": "[parameters('location')]",
        "properties": {
            "managedEnvironmentId": "[parameters('environment_id')]",
            "configuration": {
                "activeRevisionsMode": "single",
                "secrets": [
                {
                    "name": "queue-connection-string",
                    "value": "[parameters('queue-connection-string')]"
                }]
            },
            "template": {
                "containers": [
                    {
                        "image": "myregistry/myQueueApp:v1",
                        "name": "myQueueApp",
                        "env": [
                            {
                                "name": "QueueName",
                                "value": "myqueue"
                            },
                            {
                                "name": "ConnectionString",
                                "secretRef": "queue-connection-string"
                            }
                        ]
                    }
                ],
                "scale": {
                    "minReplicas": 0,
                    "maxReplicas": 10,
                    "rules": [
                        {
                            "name": "myqueuerule",
                            "azureQueue": {
                                "queueName": "demoqueue",
                                "queueLength": 100,
                                "auth": [
                                    {
                                        "secretRef": "queue-connection-string",
                                        "triggerParameter": "connection"
                                    }
                                ]
                            }
                        }
                    ]
                }
            }
        }
    }]
}

Här hämtar miljövariabeln med namnet connection-string dess värde från hemligheten på programnivå queue-connection-string . Dessutom använder Azure Queue Storage-skalningsregelns autentiseringskonfiguration hemligheten queue-connection-string för att definiera anslutningen.

Om du vill undvika att checka in hemliga värden till källkontrollen med ARM-mallen skickar du hemliga värden som ARM-mallparametrar.

I det här exemplet skapar du en containerapp med hjälp av Azure CLI med en hemlighet som refereras till i en miljövariabel. Om du vill referera till en hemlighet i en miljövariabel i Azure CLI anger du dess värde till secretref:, följt av namnet på hemligheten.

az containerapp create \
  --resource-group "my-resource-group" \
  --name myQueueApp \
  --environment "my-environment-name" \
  --image demos/myQueueApp:v1 \
  --secrets "queue-connection-string=$CONNECTIONSTRING" \
  --env-vars "QueueName=myqueue" "ConnectionString=secretref:queue-connection-string"

Här hämtar miljövariabeln med namnet connection-string dess värde från hemligheten på programnivå queue-connection-string .

I det här exemplet skapar du en container med Hjälp av Azure PowerShell med en hemlighet som refereras till i en miljövariabel. Om du vill referera till hemligheten i en miljövariabel i PowerShell anger du dess värde till secretref:, följt av namnet på hemligheten.

$EnvId = (Get-AzContainerAppManagedEnv -ResourceGroupName my-resource-group -EnvName my-environment-name).Id

$SecretObj = New-AzContainerAppSecretObject -Name queue-connection-string -Value $QueueConnectionString
$EnvVarObjQueue = New-AzContainerAppEnvironmentVarObject -Name QueueName -Value myqueue
$EnvVarObjConn = New-AzContainerAppEnvironmentVarObject -Name ConnectionString -SecretRef queue-connection-string -Value secretref
$TemplateObj = New-AzContainerAppTemplateObject -Name myQueueApp -Image demos/myQueueApp:v1 -Env $EnvVarObjQueue, $EnvVarObjConn

$ContainerAppArgs = @{
    Name = 'myQueueApp'
    Location = '<location>'
    ResourceGroupName = 'my-resource-group'
    ManagedEnvironmentId = $EnvId
    TemplateContainer = $TemplateObj
    ConfigurationSecret = $SecretObj
}

New-AzContainerApp @ContainerAppArgs

Här hämtar miljövariabeln med namnet ConnectionString dess värde från hemligheten på programnivå $QueueConnectionString .

Montera hemligheter i en volym

När du har deklarerat hemligheter på programnivå enligt beskrivningen i avsnittet definiera hemligheter kan du referera till dem i volymmonteringar när du skapar en ny revision i containerappen. När du monterar hemligheter i en volym monteras varje hemlighet som en fil i volymen. Filnamnet är namnet på hemligheten och filinnehållet är värdet för hemligheten. Du kan läsa in alla hemligheter i en volymmontering eller läsa in specifika hemligheter.

Exempel

När du har definierat en hemlighet i containerappen kan du referera till den i en volymmontering när du skapar en ny revision.

Gå till containerappen i Azure-portalen.
Öppna sidan Revisionshantering.
Välj Skapa ny revision.
På sidan Skapa och distribuera ny revision .
Välj en container och välj Redigera.
I avsnittet Volymmonteringar expanderar du avsnittet Hemligheter .
Välj Skapa ny volym.
Ange följande information:
- Namn: mysecrets
- Montera alla hemligheter: aktiverat
Kommentar

Om du vill läsa in specifika hemligheter inaktiverar du Montera alla hemligheter och väljer de hemligheter som du vill läsa in.
Markera Lägga till.
Under Volymnamn väljer du mysecrets.
Under Monteringssökväg anger du /mnt/secrets.
Välj Spara.
Välj Skapa för att skapa den nya revisionen med volymmonteringen.

I det här exemplet deklareras två hemligheter på programnivå. Dessa hemligheter monteras i en volym med namnet mysecrets av typen Secret. Volymen monteras på sökvägen /mnt/secrets. Programmet kan sedan referera till hemligheterna i volymmonteringen.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-08-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "location": {
            "type": "String"
        },
        "environment_id": {
            "type": "String"
        },
        "queue-connection-string": {
            "type": "Securestring"
        },
        "api-key": {
            "type": "Securestring"
        }
    },
    "variables": {},
    "resources": [
    {
        "name": "queuereader",
        "type": "Microsoft.App/containerApps",
        "apiVersion": "2022-11-01-preview",
        "kind": "containerapp",
        "location": "[parameters('location')]",
        "properties": {
            "managedEnvironmentId": "[parameters('environment_id')]",
            "configuration": {
                "activeRevisionsMode": "single",
                "secrets": [
                    {
                        "name": "queue-connection-string",
                        "value": "[parameters('queue-connection-string')]"
                    },
                    {
                        "name": "api-key",
                        "value": "[parameters('api-key')]"
                    }
                ]
            },
            "template": {
                "containers": [
                    {
                        "image": "myregistry/myQueueApp:v1",
                        "name": "myQueueApp",
                        "volumeMounts": [
                            {
                                "name": "mysecrets",
                                "mountPath": "/mnt/secrets"
                            }
                        ]
                    }
                ],
                "volumes": [
                    {
                        "name": "mysecrets",
                        "storageType": "Secret"
                    }
                ]
            }
        }
    }]
}

Om du vill läsa in specifika hemligheter och ange deras sökvägar i den monterade volymen definierar du hemligheterna i matrisen secrets för volymobjektet. I följande exempel visas hur du endast läser in hemligheten queue-connection-string i volymmonteringen mysecrets med filnamnet connection-string.txt.

{
    "properties": {
        ...
        "configuration": {
            ...
            "secrets": [
                {
                    "name": "queue-connection-string",
                    "value": "[parameters('queue-connection-string')]"
                },
                {
                    "name": "api-key",
                    "value": "[parameters('api-key')]"
                }
            ]
        },
        "template": {
            "containers": [
                {
                    "image": "myregistry/myQueueApp:v1",
                    "name": "myQueueApp",
                    "volumeMounts": [
                        {
                            "name": "mysecrets",
                            "mountPath": "/mnt/secrets"
                        }
                    ]
                }
            ],
            "volumes": [
                {
                    "name": "mysecrets",
                    "storageType": "Secret",
                    "secrets": [
                        {
                            "secretRef": "queue-connection-string",
                            "path": "connection-string.txt"
                        }
                    ]
                }
            ]
        }
        ...
    }
    ...
}

I din app kan du läsa hemligheten från en fil som finns på /mnt/secrets/connection-string.txt.

az containerapp create \
  --resource-group "my-resource-group" \
  --name myQueueApp \
  --environment "my-environment-name" \
  --image demos/myQueueApp:v1 \
  --secrets "queue-connection-string=$CONNECTIONSTRING" "api-key=$API_KEY" \
  --secret-volume-mount "/mnt/secrets"

Om du vill läsa in specifika hemligheter och ange deras sökvägar i den monterade volymen definierar du din app med YAML.

Nästa steg

Fraktbehållare

Hantera hemligheter i Azure Container Apps

Definiera hemligheter

Lagra hemligt värde i Container Apps

Referenshemlighet från Key Vault

Hemlig URI för Key Vault och hemlig rotation

Referera till hemligheter i miljövariabler

Exempel

Montera hemligheter i en volym

Exempel

Nästa steg

Ytterligare resurser