Menggunakan Identiti Terurus untuk Komunikasi Silang Perkhidmatan Selamat dalam Azure

Identiti terurus adalah penting untuk komunikasi silang perkhidmatan yang selamat dalam Azure. Mereka menghapuskan keperluan untuk mengurus rahsia, kunci atau rentetan sambungan, membolehkan penyepaduan lancar komponen aplikasi. Dalam blog ini, saya akan menunjukkan cara menyambungkan Pangkalan Data Azure SQL kepada bahagian belakang Python yang dijalankan pada Azure App Service menggunakan identiti terurus.

---

Perpustakaan Pengesahan Microsoft

Untuk menyambung ke perkhidmatan Azure menggunakan identiti Entra, anda memerlukan Perpustakaan Pengesahan Microsoft (MSAL). Dalam contoh ini saya menggunakan perpustakaan Python, tetapi jangan risau, MSAL wujud untuk setiap bahasa pengaturcaraan utama.

import msal

Berikut ialah fungsi mudah untuk menyambung ke Pangkalan Data SQL Azure:

def get_db_connection():
    connection_string = f'DRIVER={{ODBC Driver 17 for SQL Server}};SERVER={server}.database.windows.net;PORT=1433;DATABASE={database};Authentication=ActiveDirectoryMsi'
    return pyodbc.connect(connection_string)

Dengan adanya prasyarat ini, anda boleh mewujudkan sambungan pangkalan data dalam kod anda dan melaksanakan pertanyaan, semuanya tanpa mengendalikan rahsia atau rentetan sambungan.

---

Demo Python Backend

Untuk demonstrasi, saya mencipta Python Flask API mudah yang mengembalikan data pekerja seperti nama, jawatan dan gaji. Perhatikan bagaimana fungsi get_db_connection() digunakan untuk membuka sambungan pangkalan data dan menanyakan data.

def get_employees():
    conn = get_db_connection()
    cursor = conn.cursor()
    cursor.execute('SELECT ID, Name, Position, Salary FROM Employees')
    rows = cursor.fetchall()
    conn.close()

    # Convert data to a list of dictionaries.
    employees = []
    for row in rows:
        employees.append({
            'ID': row.ID,
            'Name': row.Name,
            'Position': row.Position,
            'Salary': row.Salary
        })

    return jsonify(employees)

Pendekatan mudah ini memastikan bahagian belakang anda berinteraksi dengan selamat dengan pangkalan data menggunakan identiti terurus.

---

Dockerfile

Jika anda menggunakan aplikasi anda dalam bekas Docker, berikut ialah Fail Docker untuk memasang Pemacu ODBC untuk Pelayan SQL:

FROM python:3.13-slim

COPY . /app
WORKDIR /app

# Install Microsoft ODBC Driver 17 for SQL Server and dependencies
RUN apt-get update \
 && apt-get install -y gnupg curl apt-transport-https \
 && curl https://packages.microsoft.com/keys/microsoft.asc | tee /etc/apt/trusted.gpg.d/microsoft.asc \
 && echo "deb [arch=amd64] https://packages.microsoft.com/debian/11/prod bullseye main" | tee /etc/apt/sources.list.d/mssql-release.list \
 && apt-get update \
 && ACCEPT_EULA=Y apt-get install -y msodbcsql17 unixodbc-dev \
 && apt-get install -y build-essential \
 && apt-get clean -y

# Install Python dependencies
RUN pip install -r requirements.txt

EXPOSE 80

CMD ["gunicorn", "-w", "4", "-b", "0.0.0.0:80", "app:app"]

Persediaan ini memastikan bekas anda bersedia untuk menyambung dengan selamat ke Azure SQL.

---

SQL Server dan Deployment Pangkalan Data

Apabila menggunakan pelayan SQL Azure, konfigurasikan Azure AD Only Authentication. Ini adalah keperluan untuk identiti terurus. Di bawah ialah templat Bicep yang digunakan untuk menggunakan pelayan SQL dan pangkalan data:

resource sqlServer 'Microsoft.Sql/servers@2023-08-01-preview' = {
  name: serverName
  location: location
  tags: {
    workload: 'Sample Backend with SQL Database'
    topic: 'SQL Server'
    environment: 'Production'
  }
  properties: {
    minimalTlsVersion: '1.2'
    administrators: {
      administratorType: 'ActiveDirectory'
      login: sqlAdminName
      sid: sqlAdminObjectId
      tenantId: tenantId
      principalType: principalType
      azureADOnlyAuthentication: azureADOnlyAuthentication
    }
  }
}

resource sqlDB 'Microsoft.Sql/servers/databases@2023-08-01-preview' = {
  parent: sqlServer
  name: sqlDBName
  location: location
  sku: {
    name: sqlDBSkuName
    tier: sqlDBSkuTier
    capacity: capacity
  }
}

Templat ini memastikan pangkalan data dikonfigurasikan dengan selamat dan sedia untuk digunakan.

---

Memberi Peranan Pangkalan Data kepada Identiti Terurus

Untuk membolehkan Perkhidmatan Apl anda mengakses pangkalan data tanpa rahsia, tetapkan peranan pangkalan data yang diperlukan kepada identiti terurus. Anda tidak boleh melakukan langkah ini dengan Bicep atau Terraform. Cipta skrip tersuai atau akses pangkalan data melalui Portal Azure.

CREATE USER [<displayname-of-appservice>] FROM EXTERNAL PROVIDER;
ALTER ROLE db_datareader ADD MEMBER [<displayname-of-appservice>];
ALTER ROLE db_datawriter ADD MEMBER [<displayname-of-appservice>];
ALTER ROLE db_ddladmin ADD MEMBER [<displayname-of-appservice>];
GO

Peranan ini membolehkan identiti terurus melaksanakan operasi membaca, menulis dan mengubah skema mengikut keperluan.

---

Templat Awam di GitHub

Untuk kod lengkap, termasuk penyepaduan CI/CD, lihat templat awam di GitHub. Repositori ini mengandungi semua yang anda perlukan untuk meniru persediaan yang diterangkan dalam blog ini.

Latzox / quickstart-backend-with-sql-database

Persekitaran bahagian belakang yang ringan untuk menguji ciri aplikasi baharu. Ia termasuk segala-galanya daripada mengehos apl kepada mengurus kegigihan data dan menyepadukan CI/CD untuk ujian dan lelaran yang mudah.

Mula Pantas Belakang dengan Sambungan Pangkalan Data SQL

Kes penggunaan ini melibatkan penggunaan Perkhidmatan Aplikasi Azure dengan Pangkalan Data SQL Azure untuk menyediakan persekitaran bahagian belakang yang ringan untuk menguji ciri aplikasi baharu. Ia termasuk segala-galanya daripada mengehos apl kepada mengurus kegigihan data dan menyepadukan CI/CD untuk ujian dan lelaran yang mudah.

Objektif

• Sediakan bahagian belakang web berskala dan selamat pada Azure untuk menguji ciri aplikasi baharu.
• Automasikan penyediaan infrastruktur menggunakan Bicep.
• Sepadukan penggunaan berterusan untuk aplikasi untuk ujian yang kerap dan kemas kini mudah.

Ikhtisar Komponen

• Perkhidmatan Apl Azure - Sediakan API bahagian belakang yang mudah.
• Pangkalan Data SQL Azure - Sediakan pangkalan data SQL untuk kegigihan.
• Pendaftaran Bekas Azure (Pilihan) - Simpan imej bekas untuk versi (jika anda menggunakan versi bekas).
• Integrasi Berterusan/Pengedaran Berterusan (CI/CD) - Automatikkan penggunaan menggunakan Tindakan GitHub.

Lihat di GitHub

---

Menggunakan identiti terurus memudahkan komunikasi silang perkhidmatan dan meningkatkan keselamatan dengan menghapuskan keperluan untuk rahsia. Pendekatan ini amat disyorkan untuk sesiapa sahaja yang membina aplikasi yang selamat dan boleh skala dalam Azure.

Atas ialah kandungan terperinci Menggunakan Identiti Terurus untuk Komunikasi Silang Perkhidmatan Selamat dalam Azure. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!