Azure Container Apps'ta Azure İşlevleri için gizli bilgileri yönetmek

Azure Container Apps üzerinde Azure İşlevleri çalıştırdığınızda iki tür gizli anahtarla çalışırsınız:

Kategori Açıklama Tarafından tüketilen
Uygulama düzeyinde sırlar veritabanı bağlantı dizeleri, API anahtarları ve tetikleyici/bağlama kimlik bilgileri gibi işlev kodunuzun çalışma zamanında okuduğu yapılandırma değerleri. Kodunuz ve İşlevler çalışma zamanı bağlamaları.
İşlevler erişim anahtarları Ana bilgisayar, konak, işlev ve sistem anahtarları gibi HTTP ile tetiklenen işlev uç noktalarının güvenliğini sağlayan kimlik doğrulama belirteçleri (erişim anahtarları). HTTP işlevlerinizin (hizmetler, web kancaları, geliştiriciler) dış arayanları.

Bu iki kategori yön bakımından farklılık gösterir:

Uygulama düzeyinde gizli anahtarlar İşlevler erişim anahtarları
Yön Giden - İşleviniz diğer hizmetlerde kimlik doğrulaması yapar Gelen - çağıranların işlevinizde kimlik doğrulaması
Sırrı kim saklar? İşlev uygulamanız Arayan (webhook sağlayıcısı, hizmet, geliştirici)
Neleri korur? İşlevinizin bağlandığı şeyler HTTP uç noktanızı kim çağırabilir?
Doğrulayan: Hedef hizmet İşlevler çalışma zamanı

Uygulama düzeyinde gizli anahtarlar

Uygulama düzeyinde gizli diziler, işlev kodunuzun ve bağlamalarınızın dış hizmetlere bağlanması için gereken kimlik bilgileridir. Bunları iki şekilde depolayabilirsiniz:

Option En iyi kullanım alanı: Rotasyon Denetim Guide
Container Apps gizli bilgileri Geliştirme/test, basit tek uygulamalı iş yükleri Manual Yalnızca etkinlik günlükleri Uygulama düzeyinde gizlileri depola
Key Vault referansları Üretim, çoklu uygulama, uyumluluk Otomatik (sürümsüz URI) Tam Key Vault tanılama Uygulama düzeyinde gizlileri depola

Tavsiye

Basitlik için Container Apps gizli bilgileriyle başlayın. Merkezi yönetim, otomatik yenileme veya uyumluluk düzeyinde denetim ihtiyacınız olduğunda Key Vault başvurularına geçin.

İşlevler erişim anahtarları

Erişim anahtarları, HTTP uç noktaları için basit paylaşılan gizli kimlik doğrulaması sağlar. Third-party web kancaları, hizmetler arası çağrılar veya geliştirme sırasında Microsoft Entra ID belirteçleri sunulamadığında erişim anahtarlarını kullanın.

Ortam değişkenini AzureWebJobsSecretStorageType bir depolama arka ucu seçmek için ayarlayın:

Arka uç Ayar değeri En iyi kullanım alanı: Guide
Container Apps gizli anahtar deposu containerapp Çoğu iş yükü - dış bağımlılık yok (Önerilen) Konak anahtarlarını yapılandırma
Azure Key Vault keyvault Merkezi idare, uyumluluk denetimi Konak anahtarlarını yapılandırma
Azure Blob Depolama blob Eski uygulamalar veya mevcut AzureWebJobsStorage bağımlılık Konak anahtarlarını yapılandırma
Yerel dosya sistemi files Container Apps'te önerilmez - uyarıya bakın Mevcut Değil

Uyarı

Azure Container Apps'teki İşlevler için, AzureWebJobsSecretStorageType açıkça ayarlanmadığında platform varsayılan olarak containerapp (Container Apps gizli dizi deposu) kullanır. Bu, erişim anahtarlarının varsayılan olarak Container Apps platformunun yerel gizli dizi deposu tarafından yönetildiğini gösterir. İş yükünüz farklı bir arka uç gerektiriyorsa, AzureWebJobsSecretStorageType değerini keyvault veya blob olarak ayarlayarak bu varsayılanı geçersiz kılabilirsiniz.

Warning

AzureWebJobsSecretStorageType öğesini files olarak ayarlamayın. Azure Container Apps dosya sistemi geçici olur. files arka ucunda depolanan konak anahtarları, her yeniden başlatmada, sıfıra ölçeklenme olayında veya revizyon dağıtımında kaybolur.

Sonraki Adımlar

Yönetmeniz gereken gizli bilgi türüyle eşleşen kılavuzu seçin.