Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Azure Container AppsのSecret管理とIaC
Search
sugar-cat
February 26, 2024
1
180
Azure Container AppsのSecret管理とIaC
sugar-cat
February 26, 2024
Tweet
Share
More Decks by sugar-cat
See All by sugar-cat
Honoで実現するバックエンド開発のイマ
sugarcat7
17
2.2k
GoとWASI~超入門~
sugarcat7
2
200
最近個人開発が熱い ~多言語対応編~
sugarcat7
1
210
ボイラープレート自動生成ツールを使わなくなった話.pdf
sugarcat7
4
480
Using_Hono_in__B2B_SaaS_Application.pdf
sugarcat7
6
330
Introduction to Database Connection Management Patterns in TypeScript.pdf
sugarcat7
1
350
最近個人開発が熱い
sugarcat7
15
14k
新規サービスの バックエンド開発でBun×Honoを使い始めて 2ヶ月経った話
sugarcat7
2
1.3k
gRPCとフロントエンド_Connectを添えて
sugarcat7
2
1.7k
Featured
See All Featured
The Psychology of Web Performance [Beyond Tellerrand 2023]
tammyeverts
41
2.1k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
soudai
167
49k
Adopting Sorbet at Scale
ufuk
73
9k
Building Applications with DynamoDB
mza
90
6.1k
How to Ace a Technical Interview
jacobian
275
23k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
280
13k
XXLCSS - How to scale CSS and keep your sanity
sugarenia
246
1.3M
Java REST API Framework Comparison - PWX 2021
mraible
PRO
28
7.9k
Raft: Consensus for Rubyists
vanstee
136
6.6k
The Illustrated Children's Guide to Kubernetes
chrisshort
48
48k
Designing the Hi-DPI Web
ddemaree
280
34k
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
irinanazarova
4
290
Transcript
Azure Container Appsの Secret管理とIaC 2024/2/26 color is【クラウドLT大会vol.7】フリーテーマ! @sugar235711
2 Sugar(@sugar235711) 所属: Cyber Agent/AIShift バックエンドエンジニア 普段はGoを書いています。 最近Azureに入門しました。(歴3ヶ月) 登壇者紹介
3 Agenda 1. Azure Container Appsについて 2. Azure Container AppsとTerraform
2.1. Terraform & Azure 2.2. AzureRMとAzureContainer Apps 2.3. Container AppsでのSecret周りの対応状況 3. Azure Container AppsでのSecret管理パターン 3.1. AzAPIの利用 3.2. Dapr Componentの利用 3.3. 諦めてKey Vaultの対応を待つ 4. まとめ
4 Agenda 1. Azure Container Appsについて 2. Azure Container AppsとTerraform
2.1. Terraform & Azure 2.2. AzureRMとAzureContainer Apps 2.3. Container AppsでのSecret周りの対応状況 3. Azure Container AppsでのSecret管理パターン 3.1. AzAPIの利用 3.2. Dapr Componentの利用 3.3. 諦めてKey Vaultの対応を待つ 4. まとめ
5 フルマネージドサーバーレスコンテナサービス(2022/5~) Kubernetesを基盤に、Envoy、KEDA、DaprといったOSSが利用できる 1. Azure Container Appsについて https://learn.microsoft.com/en-us/azure/container-apps/microservices-dapr?tabs=bash%2Cazure-cli
6 Agenda 1. Azure Container Appsについて 2. Azure Container AppsとTerraform
2.1. Terraform & Azure 2.2. AzureRMとAzureContainer Apps 2.3. Container AppsでのSecret周りの対応状況 3. Azure Container AppsでのSecret管理パターン 3.1. AzAPIの利用 3.2. Dapr Componentの利用 3.3. 諦めてKey Vaultの対応を待つ 4. まとめ
7 Azure用に提供されているProviderは主に5つ。 リソースの管理には基本的にはAzureRMを使用する。 • AzureRM: 仮想マシン、ストレージ アカウント等の管理 • AzureAD: グループ、ユーザー、サービスプリンシパルを管理
• AzureStack: 仮想マシン、DNS等Stack Hub 上のリソースを管理 • AzAPI: Azure Resource Manegerを使用し、直接リソースを管理 • AzureDevops: エージェント、リポジトリ等のリソースの管理 2.1. Terraform & Azure 2. Azure Container AppsとTerraform
8 Azure用に提供されているProviderは主に5つ。 リソースの管理には基本的にはAzureRMを使用する。 • AzureRM: 仮想マシン、ストレージ アカウント等の管理 • AzureAD: グループ、ユーザー、サービスプリンシパルを管理
• AzureStack: 仮想マシン、DNS等Stack Hub 上のリソースを管理 • AzAPI: Azure Resource Manegerを使用し、直接リソースを管理 • AzureDevops: エージェント、リポジトリ等のリソースの管理 →できればHashiCorp公式のProviderだけで構築できると楽。 2.1. Terraform & Azure 2. Azure Container AppsとTerraform HashiCorp産 Azure産
9 AzureRMを使用し、ContainerAppsを作成 2.2. AzureRMとAzureContainer Apps 2. Azure Container AppsとTerraform Terraform
AzureRM Provider Azure Resource Manager API Create Container Apps
10 アプリケーションの開発が進むと、コンテナ内で何かしらの環境変数を使いた い場面が出てくる • Environment variables直入れ • Secrets経由 ◦ Container
Apps Secret ◦ Key Vault reference 2.3. Container AppsでのSecrets周りの対応状況 2. Azure Container AppsとTerraform
11 アプリケーションの開発が進むと、コンテナ内で何かしらの環境変数を使いた い場面が出てくる • Environment variables直入れ • Secrets経由 ◦ Container
Apps Secret ◦ Key Vault reference →Azure Portal経由で全て設定可能 2.3. Container AppsでのSecrets周りの対応状況 2. Azure Container AppsとTerraform 外に出るとまずい秘匿情報 (DBの接続文字列 / 外部APIのAPI Key等) 秘匿情報でなければOK!(Log Level等)
12 AzureRMの場合は、Secret Blockに書いてあげればOK 2.3. Container AppsでのSecrets周りの対応状況 2. Azure Container AppsとTerraform
13 AzureRMの場合は、Secret Blockに書いてあげればOK 2.3. Container AppsでのSecrets周りの対応状況 2. Azure Container AppsとTerraform
14 AzureRMの場合は、Secret Blockに書いてあげればOK 2.3. Container AppsでのSecrets周りの対応状況 2. Azure Container AppsとTerraform
Stateに残りませんか? AzureRMの場合は、Secret Blockに書いてあげればOKではない
15 Variables(sensitive)にしたところで、Secretの中身は平文で丸見え (Key VaultのData Sourceから読んだとしても同様) 2.3. Container AppsでのSecrets周りの対応状況 2. Azure
Container AppsとTerraform
16 2.3. Container AppsでのSecrets周りの対応状況 2. Azure Container AppsとTerraform KeyVault referenceなら大丈夫?
• Environment variables直入れ • Secrets経由 ◦ Container Apps Secret ◦ Key Vault reference →Azure Portal経由で全て設定可能 外に出るとまずい秘匿情報 (DBの接続文字列 / 外部APIのAPI Key等) 秘匿情報でなければOK!(Log Level等)
17 2.3. Container AppsでのSecrets周りの対応状況 2. Azure Container AppsとTerraform 2024年2月26日現在Provider側(AzureRM)の開発が追いついていない https://github.com/hashicorp/terraform-provider-azurerm/issues/21739
Potential Terraform Configuration
18 Agenda 1. Azure Container Appsについて 2. Azure Container AppsとTerraform
2.1. Terraform & Azure 2.2. AzureRMとAzureContainer Apps 2.3. Container AppsでのSecret周りの対応状況 3. Azure Container AppsでのSecret管理パターン 3.1. AzAPIの利用 3.2. Dapr Componentの利用 3.3. 諦めてKey Vaultの対応を待つ 4. まとめ
19 3.1. AzAPIの利用 3. Azure Container AppsでのSecret管理パターン AzureのResource Managar上にはAPIが存在しているはずなので、 AzAPI経由なら使えるはず。
https://github.com/hashicorp/terraform-provider-azurerm/issues/21739#issuecomment-1716928249 →循環参照になったり結局全体をAzAPIで作り直したというコメントが怖い
20 3.2. Dapr Componentの利用 3. Azure Container AppsでのSecret管理パターン Daprのサイドカーを利用してKey Vaultからシークレットを取得する
→そもそもContainer AppsのSecretに登録しない →Container Apps内からサイドカーのURLにアクセスしてKey Vault内のSecretを読み利用す る(アプリケーションがAzureに依存して問題ならこの方法が楽かもしれない ?)
21 3.3. 諦めてKey Vaultの対応を待つ 3. Azure Container AppsでのSecret管理パターン ベストプラクティスからは外れてしまうが、一時凌ぎで対応をする ①Apply後でSecretの中身を書き換える
• Apply後にSecretを書き換える(Azure Function等でトリガーすると運用が楽かも) ②運用ルールを定める • 手動作業のためローカルにState Pullして、そのまま何かの弾みで流出が怖い ◦ チームで必ずTerrafrom経由のみでリソース操作を行う合意をする • Remote Stateへに対するアクセス権限を絞る
22 Agenda 1. Azure Container Appsについて 2. Azure Container AppsとTerraform
2.1. Terraform & Azure 2.2. AzureRMとAzureContainer Apps 2.3. Container AppsでのSecret周りの対応状況 3. Azure Container AppsでのSecret管理パターン 3.1. AzAPIの利用 3.2. Dapr Componentの利用 3.3. 諦めてKey Vaultの対応を待つ 4. まとめ
23 4. まとめ • Azure Container AppsをTerraformで管理しようとするとSecretの管 理が悩ましい 参考文献 •
セキュアなTerraformの使い方 ~ 機密情報をコードに含めず環境構築するにはどう したらいいの? • 俺とAzureとTerraform ~2024新春バージョン~ • Azure Container Apps のドキュメント • Azure Container AppsとDapr -Secrets API対応とManaged IDサポートについ て-