Azure - Chuỗi kết nối trong Key Vault và Cài đặt ứng dụng

Đối với các Hàm Azure và WebJob, có bất kỳ lợi ích nào khi đặt các chuỗi kết nối làm Bí mật trong Khóa Vault thay vì đặt chúng trực tiếp trong Cài đặt ứng dụng (và tham chiếu chúng bằng Cấu hình Trình quản lý. Kết nốiStrings)? Có phải Bí mật kho tiền khóa Azure chủ yếu dành cho máy ảo và hơn là Chức năng Azure và WebJob không?

Có vẻ như nó chỉ cần thêm một bước bổ sung trong cả hai quá trình phát triển (cập nhật Secret in Key Vault và Secret IDifier trong Cài đặt ứng dụng) và thêm một bước trong thời gian chạy (truy xuất bổ sung từ Key Vault), với lợi ích duy nhất là Bí mật trong Cài đặt ứng dụng là số nhận dạng thay vì Bí mật thực tế. Tôi không thấy lợi ích bảo mật ở đây, trong khi có những bất lợi.

Những lợi ích mà tôi thấy là những lý do chung để sử dụng Azure Key Vault

• Bí mật được lưu trữ tập trung với các tùy chọn cho phép, kiểm toán, v.v.
• Azure có thể được viết kịch bản để cập nhật các bí mật trên bộ đếm thời gian - vì vậy trong trường hợp chuỗi kết nối bị trao nhầm, nó chỉ có hiệu lực trong một ngày (hoặc một tuần hoặc bất cứ điều gì)
• Trong trường hợp bí mật được chia sẻ giữa nhiều ứng dụng, bạn chỉ phải cập nhật nó ở một nơi (không phải là lợi ích lớn nhất, nhưng vẫn tốt đẹp)

Tôi có cùng quan điểm với bạn, tôi thấy không có điểm nào trong việc sử dụng Key Vault trong các tình huống như vậy.

Thay vào đó, tôi sử dụng Cấu hình ứng dụng Azure https://docs.microsoft.com/en-us/azure/azure-app-configuration/overview , nơi tôi chỉ cần lưu trữ tất cả các cài đặt ứng dụng. Và chuỗi duy nhất tôi lưu trữ cùng nhau trong dịch vụ ứng dụng / func / web thực tế, sẽ là chuỗi kết nối để truy cập Cấu hình ứng dụng Azure.

Trong Khởi động nơi cài đặt cấu hình được áp dụng, tôi có thể đọc từ ..sinstall.json và nếu không có (không nên chạy trên Azure), tôi tìm chuỗi kết nối với Cấu hình ứng dụng Azure.

Nếu ..sinstall.json được tìm thấy, điều đó có nghĩa là tôi đang chạy cục bộ.

..sinstall.json được mã hóa nếu nó không có trong tệp gitignore.

Nó trông giống như thế này:

var appConfigEndpoint = Environment.GetEnvironmentVariable("AppConfigEndpoint");
            var appConfigLabel = Environment.GetEnvironmentVariable("AppConfigLabel");

            if (!string.IsNullOrEmpty(appConfigEndpoint))
            {
                config.AddAzureAppConfiguration(options =>
                {
                    options.Connect(appConfigEndpoint);
                    options.Use(keyFilter: "*", labelFilter: appConfigLabel);
                });
            }
            else
            {
                config.AddJsonFile("appsettings.test.json", optional: false);
            }

Việc truy xuất kho tiền chính có thể là một vấn đề hiệu suất. Đọc từ kho tiền mất vài giây. Azure SLA chỉ cho biết sẽ mất ít hơn 5 giây 99,9% thời gian. Nó không đảm bảo thời gian trung bình, nhưng từ kinh nghiệm và tin đồn của tôi, trung bình là khoảng 2 giây.

Trừ khi ứng dụng web của bạn "luôn bật", nó sẽ không được tải nếu không hoạt động trong 5-20 phút. Điều đó có nghĩa là, trừ khi bạn có nhiều lưu lượng truy cập, thời gian phản hồi trang web của bạn sẽ thường xuyên bị hút.

Chúng tôi đang lên kế hoạch sử dụng dưới đây

Bí mật - Azure Key-Vault

• Xoay vòng khóa chính cho các cột luôn được mã hóa
• Kho lưu trữ chứng chỉ (có thể dễ dàng viết một nhà cung cấp bằng .NET)
• Các mục nhạy cảm như chuỗi kết nối (ẩn thông tin tài nguyên khác), mật khẩu, v.v.

Cấu hình - Cấu hình ứng dụng Azure (vẫn ở chế độ xem trước)

• Đồng hồ là một phương pháp tuyệt vời để khám phá dịch vụ, đặc biệt nếu bạn cần cập nhật cờ hoặc giá trị cho các hoạt động sử dụng.
• Không cần phải khởi tạo lại một container hoặc cá thể.