Azure Data Factory(五)Blob Storage 金鑰管理問題

Grant_Allen發表於2020-11-16

一,引言

  之前講解的ADF 整合Azure DevOps 實現CI/CD,在 Releases Pipeline 階段,我們是將兩個 Blob Storage 的連結字串複製、貼上到 ”Override template parameters“,這樣雖然說實現了對應的功能,但是也暴露出一定的問題,就是將 “UAT”,甚至 “Pro” 環境的連結字串暴露出來了,這樣是很危險的。也是不允許的。

這個時候,有人就說了,可以使用共享訪問簽名,設定有效期等限制。

確實是可以的,但是今天我們使用另外一個方式-----使用 Key Vault 託管 Blob Storage 的金鑰資訊。OK,開始今天的表演!!!!!

--------------------我是分割線--------------------

1,Azure Data Factory(一)入門簡介

2,Azure Data Factory(二)複製資料

3,Azure Data Factory(三)整合 Azure Devops 實現CI/CD

4,Azure Data Factory(四)整合 Logic App 的郵件通知提醒

5,Azure Data Factory(五)Blob Storage 金鑰管理問題

二,正文

  關於金鑰建立配置等問題,我之前有介紹過-----Azure Kay Vault(一).NET Core Console App 獲取金鑰保管庫中的機密資訊 大家可以進行參考,建立Azure Key Vault,並且將兩個 Blob Storage 的連結字串配置到 Azure Key Vault 中

為Azure DevOps 關聯的 sp 配置訪問許可權,點選圖中圈中的 “+ Add Access Policy” 

Configure from template(optional)選擇:“Secret Management”

Key permissions 選擇:“List,Get”

Select principal 選擇:Azure DevOps 管理的 sp

其他選擇預設,點選 “Add” 新增操作

緊接著點選 “Save” 進行儲存操作

接著回到Azure DevOps 中,需要在 Releases Pipeline 配置新增 Key Vault 步驟。

修改當前步驟的相關引數

Display name:“Azure Key Vault: cnbateblog-keyvault-UAT”

Azure subscription:選擇當前 UAT 環境的 Key Vault 所在的訂閱 

Key vault:“cnbateblog-keyvault-UAT”

Secrets filter(機密過濾器):“from-db1-uat,to-db2-uat”(兩個機密名稱用 “,"進行分割開)

以逗號分隔的機密名稱列表,或留下*從選定的金鑰庫下載所有機密

接下來修改 ARM 模板部署中的覆蓋引數,將原有的兩個 Blob 的連線字串改為 key vault 的兩個機密 key 了

-factoryName "ADF-CnBateBlogWeb-UAT" -CnBateBlogFromBlobStorage_connectionString $(from-db1-uat) -CnBateBlobToBlobStorage_connectionString $(to-db2-uat)

修改完成後,點選 ”Save“ 進行儲存

最後,我們可以手動觸發 Releases Pipeline,測試以下結果

 

 Success!!!!!

 

 

 Bingo,今天的分享到此結束

三,結尾

  今天的內容其實很簡單,就是將之前接觸的 Azure Key Vault 結合 Azure Devops 運用起來,這就是一個很好的例子,同時裡面還牽扯到 sp 的內容,雖然說整個 sp 不是我們手動建立的,是Azure Devops 幫我們建立的,但是我們還是需要回顧一下,想想其中的原理。當然,還有很多不完善的地方以及需要持續演進優化的,但是它目前已經滿足了演示的需要。此外,本文所分享的內容也存在著很多我自己的一些理解,因為每個人的經歷和認知都不同吧。

最後,謝謝大家的閱讀!!!!!*★,°*:.☆( ̄▽ ̄)/$:*.°★* 。

作者:Allen 

版權:轉載請在文章明顯位置註明作者及出處。如發現錯誤,歡迎批評指正。

相關文章