思路浅析
在软件开发中,项目安全是重中之重,特别是在多部门或者开源项目中,如何保存我们的密钥,但又不影响本地的开发,更需要我们开发者需要考虑的问题,这里简单的列举了下平时开发中我们做的方案:
1、本地直接采用localhost的形式开发。无论是DB还是ES/Redis/MQ,或者是其他的,都一股脑用本地的参数,然后部署到K8s的时候,使用Configmap的形式挂载。也是一种方案,但是会使dev和prod之间隔离的比较厉害。
2、使用远程配置中心来统一处理本地和生产直接的数据。比如常见的就是Apollo,Azure的Key Vault技术等等。推荐的方式。
3、每次上线都手动修改。这显然是不合理的。
作为经常使用Azure的开发者,决定使用Key Vault技术尝试一波,并在ASP.NetCore和SpringBoot中,来一个Demo尝试。
PS:本文采用的都是世纪互联的azure.cn的。
前期准备账号
首先,需要注册一个Azure账号。
其次,需要注册一个应用程序,注册的时候,填写Client密码,密码要好好保存哟,以后会多次使用。
搜索app registration,注册一个账号
输入应用名称,其他的都默认即可
接下来,在Certificates & secrets中,添加Client secrets
有了应用,就可以在应用内设置密钥了。
这个时候我们已经有两个参数了,分别是ClientId和ClientSecret。
配置key vault
步骤 1 - 添加Key vault服务
继续在顶部搜索Key vault关键字
创建一个全新的key vault服务,选择自己的订阅和资源组,设置下名称
创建完成后,就可以在keyvault的overview页,看到另外两个参数了:
另外两个参数,一个是vault的uri,一个是tenantid也准备好了。
到这里四个参数都已经准备好了。
步骤 2 - 参数设置
点击settings下面的secrets选项,创建或导入配置:
在弹出的新页面中,选择Manual方式,输入name和value,配置数据库的用户名:
然后就创建完成了,可以仿照的把sqlserver的密码也配置一下
现在,万事具备,只差写代码了。
新建一个Core项目
步骤 1 - 创建一个ASP.NetCore5.0 API项目
过程很简单,就不多说了,创建好后,添加nuget包:
<PackageReference Include="Microsoft.Extensions.Configuration.AzureKeyVault" Version="3.1.21" />
<PackageReference Include="Microsoft.VisualStudio.Azure.Containers.Tools.Targets" Version="1.10.9" />然后,将上边四个变量放到环境变量里,本地开发可以在launchSettings.json里
"IIS Express": {
"commandName": "IISExpress",
"launchBrowser": true,
"launchUrl": "swagger",
"environmentVariables": {
"ASPNETCORE_ENVIRONMENT": "Development",
"AZURE_TENANT_ID": "你的tenantid",
"AZURE_CLIENT_ID": "你的客户端id",
"AZURE_CLIENT_SECRET": "你的客户端密钥",
"AZURE_KEY_VAULT_URI": "https://blog-core-keyvault.vault.azure.cn/"
}
}步骤 2 - 配置Program,连接配置中心
在Program.cs里配置
Host.CreateDefaultBuilder(args)
.ConfigureAppConfiguration((hostingContext, config) =>
{
var env = hostingContext.HostingEnvironment;
var tenantId = Environment.GetEnvironmentVariable("AZURE_TENANT_ID");
var clientId = Environment.GetEnvironmentVariable("AZURE_CLIENT_ID");
var clientSecret = Environment.GetEnvironmentVariable("AZURE_CLIENT_SECRET");
config
.AddJsonFile("appsettings.json", true)
.AddJsonFile($"appsettings.{env.EnvironmentName}.json", true)
.AddEnvironmentVariables();
string vaultUri = "https://blog-core-keyvault.vault.azure.cn/";
config.AddAzureKeyVault(vaultUri, clientId, clientSecret);
})
.ConfigureWebHostDefaults(webBuilder =>
{
webBuilder.UseStartup<Startup>();
});如果这个时候,启动应用没有报错的话,那恭喜你,已经连接成功了,接下来就是获取指定的参数了。
步骤 3 - 任何地方获取Key Vault的值
这里使用方法就是和普通的appsettings.json里的一模一样了,注入configuration即可:
_configuration.GetValue<string>("MSSQL-USER-PASSWORD");好啦,在ASP.NETCore应用中,连接Azure Key Vault已经说完了,看看Java如何操作吧。
新建一个JAVA项目
步骤 1 - 创建一个Sring Boot项目
过程也是很简单,可以用Idea创建,也可以使用官方的模板来创建,就不多说了,创建好后,添加pom包:
<dependency>
<groupId>com.azure.spring</groupId>
<artifactId>azure-spring-boot-starter-keyvault-secrets</artifactId>
</dependency然后,将上边四个变量放到配置文件里,
azure.keyvault.enabled=true
azure.keyvault.uri=https://blog-core-keyvault.vault.azure.cn/
azure.keyvault.client-id=你的应用id
azure.keyvault.client-key=你的应用密钥
azure.keyvault.tenant-id=你的tenantid
azure.keyvault.authority-host=https://login.chinacloudapi.cn注意最后一个配置很重要,需要指定host地址,因为默认的是azure.com的,如果你是azure.com的可以不用指定。
步骤 2 - 任何地方获取Key Vault的值
这里使用方法就是和普通的yml里的一模一样了,配置变量,打上@Value注解即可:
@SpringBootApplication
public class KeyvaultApplication implements CommandLineRunner {
@Value("${MSSQL-USER-NAME}")
private String mySecretProperty;
public static void main(String[] args) {
SpringApplication.run(KeyvaultApplication.class, args);
}
@Override
public void run(String... args) {
System.out.println("property your-property-name value is: " + mySecretProperty);
}
}好啦,在JAVA应用中,连接Azure Key Vault也说完了,大家可以尝试动手联系一下哟。
总结
本文以 ASP.NET Core 和 JAVA 为例讲解了如何在 Azure 中连接Key Vault配置,整体流程简单方便,文档特别清晰,再一次为微软Doc文档而欢呼。
*Source Link:
- https://github.com/Azure/azure-sdk-for-java/tree/master/sdk/spring/azure-spring-boot-starter-keyvault-secrets
- https://devblogs.microsoft.com/dotnet/category/net-core/?WT.mc_id=DOP-MVP-5003704
*Github:
