Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Yönetilen kimlik veya Azure Key Vault gizli anahtar depolarını kullanarak Dapr bileşenleri için Azure ve Microsoft olmayan hizmetlere güvenli bağlantılar kurun.
Başlamadan önce , Dapr bileşenleri için sunulan destek hakkında daha fazla bilgi edinin.
Öneriler
En güvenli bağlantı için, mümkün olduğunda yönetilen kimlik desteği sağlayan Azure bileşenleri kullanmanızı öneririz. Yönetilen kimlik doğrulaması desteklenmediğinde Azure Key Vault gizli dizi depolarını only kullanın.
| Hizmet türü | Öneri |
|---|---|
| Yönetilen kimlik desteğine sahip Azure bileşeni | Yönetilen kimlik akışını kullanma (önerilen) |
| Yönetilen kimlik desteği olmayan Azure bileşeni | Azure Key Vault gizli depo kullanın |
| Azure olmayan bileşenler | Azure Key Vault gizli depo kullanın |
Yönetilen kimliği kullanma (önerilen)
Dapr, Azure barındırılan hizmetler için, arka uç hizmet sağlayıcısında kimlik doğrulaması yapmak amacıyla kapsam belirlenmiş kapsayıcı uygulamalarının yönetilen kimliğini kullanabilir. Yönetilen kimliği kullanırken, bileşen bildirimine gizli dizi bilgileri eklemeniz gerekmez. Bileşenlerdeki hassas girişlerin depolanmasını ortadan kaldırdığından ve gizli dizi deposunun yönetilmesini gerektirmediğinden yönetilen kimlik kullanılması önerilir .
Not
Meta azureClientId veri alanı (yönetilen kimliğin istemci kimliği), kullanıcı tarafından atanan yönetilen kimlikle kimlik doğrulaması yapılan tüm bileşenler için gereklidir .
Dapr gizli bilgi deposu bileşeni referansı kullanma
Yönetilen kimlik kimlik doğrulamasını desteklemeyen Entra ID etkin olmayan hizmetler veya bileşenler için Dapr bileşenleri oluşturduğunuzda, bazı meta veri alanları hassas giriş değerleri gerektirir. Bu yaklaşım için gizli bilgilere güvenilir bir şekilde erişen mevcut bir Dapr gizli anahtar deposu bileşenine başvurarak bu gizli anahtarları alın.
Referans ayarlamak için:
- Azure Container Apps şemasını kullanarak
Dapr gizli dizi deposu bileşeni oluşturun. Desteklenen tüm Dapr gizli dizi depoları için bileşen türü secretstoresile başlar. - Hassas meta veri girişini almak için oluşturduğunuz Dapr gizli dizi deposu bileşenine başvuran ek bileşenler (gerektiğinde) oluşturun.
Dapr gizli depo bileşeni oluşturun
Azure Container Apps'da gizli dizi deposu bileşeni oluştururken, meta veriler bölümünde aşağıdaki yollardan biriyle hassas bilgiler sağlayabilirsiniz:
- Azure Key Vault gizli deposu için, bağlantıyı kurmak için yönetilen kimliği kullanın.
- non-Azure gizli dizi depoları için, bileşen bildiriminin doğrudan bir parçası olarak tanımlanan platform tarafından yönetilen Kubernetes gizli dizilerini kullanın.
Azure Key Vault gizli anahtar depoları
Aşağıdaki bileşen şeması, bir Azure Key Vault gizli dizi deposu kullanarak mümkün olan en basit gizli dizi deposu yapılandırmasını gösterir.
publisher-app ve subscriber-app, Azure Key Vault örneğinde uygun izinlere sahip bir sistem veya kullanıcı tarafından atanan yönetilen kimliğe sahip olacak şekilde yapılandırılır.
componentType: secretstores.azure.keyvault
version: v1
metadata:
- name: vaultName
value: [your_keyvault_name]
- name: azureEnvironment
value: "AZUREPUBLICCLOUD"
- name: azureClientId # Only required for authenticating user-assigned managed identity
value: [your_managed_identity_client_id]
scopes:
- publisher-app
- subscriber-app
Platform tarafından yönetilen Kubernetes gizli verileri
Kubernetes gizli dizilerine, yerel ortam değişkenlerine ve yerel Dapr gizli dizi depolarına alternatif olarak Azure Container Apps, Kubernetes gizli dizileri oluşturmak ve kullanmak için platform tarafından yönetilen bir yaklaşım sağlar. Bu yaklaşım, Azure olmayan hizmetlere bağlanmak için kullanılabilir. Öte yandan, geliştirme/test senaryolarında, gizli anahtar deposu veya yönetilen kimlik ayarlamadan bileşenleri CLI aracılığıyla hızla dağıtmak için kullanılabilir.
Bu bileşen yapılandırması, hassas değeri meta veri bölümünden başvurulabilen bir gizli dizi parametresi olarak tanımlar.
componentType: secretstores.azure.keyvault
version: v1
metadata:
- name: vaultName
value: [your_keyvault_name]
- name: azureEnvironment
value: "AZUREPUBLICCLOUD"
- name: azureTenantId
value: "[your_tenant_id]"
- name: azureClientId
value: "[your_client_id]"
- name: azureClientSecret
secretRef: azClientSecret
secrets:
- name: azClientSecret
value: "[your_client_secret]"
scopes:
- publisher-app
- subscriber-app
Referans Dapr gizli depolama bileşenleri
Önceki yaklaşımlardan birini kullanarak bir Dapr gizli dizi deposu oluşturduktan sonra, aynı ortamdaki diğer Dapr bileşenlerinden bu gizli dizi deposuna başvurabilirsiniz. Aşağıdaki örnekte Microsoft Entra ID kimlik doğrulamasının kullanılması gösterilmektedir.
componentType: pubsub.azure.servicebus.queue
version: v1
secretStoreComponent: "[your_secret_store_name]"
metadata:
- name: namespaceName
# Required when using Azure Authentication.
# Must be a fully-qualified domain name
value: "[your_servicebus_namespace.servicebus.windows.net]"
- name: azureTenantId
value: "[your_tenant_id]"
- name: azureClientId
value: "[your_client_id]"
- name: azureClientSecret
secretRef: azClientSecret
scopes:
- publisher-app
- subscriber-app