Azure Container AppsのSecret管理とIaC

Azure Container Appsの Secret管理とIaC 2024/2/26 color is【クラウドLT大会vol.7】フリーテーマ！ @sugar235711

2 Sugar(@sugar235711) 所属: Cyber Agent/AIShift バックエンドエンジニア普段はGoを書いています。最近Azureに入門しました。(歴3ヶ月) 登壇者紹介

3 Agenda 1. Azure Container Appsについて 2. Azure Container AppsとTerraform
2.1. Terraform & Azure 2.2. AzureRMとAzureContainer Apps 2.3. Container AppsでのSecret周りの対応状況 3. Azure Container AppsでのSecret管理パターン 3.1. AzAPIの利用 3.2. Dapr Componentの利用 3.3. 諦めてKey Vaultの対応を待つ 4. まとめ

5 フルマネージドサーバーレスコンテナサービス(2022/5~) Kubernetesを基盤に、Envoy、KEDA、DaprといったOSSが利用できる 1. Azure Container Appsについて https://learn.microsoft.com/en-us/azure/container-apps/microservices-dapr?tabs=bash%2Cazure-cli

7 Azure用に提供されているProviderは主に5つ。リソースの管理には基本的にはAzureRMを使用する。 • AzureRM: 仮想マシン、ストレージアカウント等の管理 • AzureAD: グループ、ユーザー、サービスプリンシパルを管理
• AzureStack: 仮想マシン、DNS等Stack Hub 上のリソースを管理 • AzAPI: Azure Resource Manegerを使用し、直接リソースを管理 • AzureDevops: エージェント、リポジトリ等のリソースの管理 2.1. Terraform & Azure 2. Azure Container AppsとTerraform

8 Azure用に提供されているProviderは主に5つ。リソースの管理には基本的にはAzureRMを使用する。 • AzureRM: 仮想マシン、ストレージアカウント等の管理 • AzureAD: グループ、ユーザー、サービスプリンシパルを管理
• AzureStack: 仮想マシン、DNS等Stack Hub 上のリソースを管理 • AzAPI: Azure Resource Manegerを使用し、直接リソースを管理 • AzureDevops: エージェント、リポジトリ等のリソースの管理 →できればHashiCorp公式のProviderだけで構築できると楽。 2.1. Terraform & Azure 2. Azure Container AppsとTerraform HashiCorp産 Azure産

9 AzureRMを使用し、ContainerAppsを作成 2.2. AzureRMとAzureContainer Apps 2. Azure Container AppsとTerraform Terraform
AzureRM Provider Azure Resource Manager API Create Container Apps

10 アプリケーションの開発が進むと、コンテナ内で何かしらの環境変数を使いたい場面が出てくる • Environment variables直入れ • Secrets経由 ◦ Container
Apps Secret ◦ Key Vault reference 2.3. Container AppsでのSecrets周りの対応状況 2. Azure Container AppsとTerraform

11 アプリケーションの開発が進むと、コンテナ内で何かしらの環境変数を使いたい場面が出てくる • Environment variables直入れ • Secrets経由 ◦ Container
Apps Secret ◦ Key Vault reference →Azure Portal経由で全て設定可能 2.3. Container AppsでのSecrets周りの対応状況 2. Azure Container AppsとTerraform 外に出るとまずい秘匿情報 (DBの接続文字列 / 外部APIのAPI Key等) 秘匿情報でなければOK！(Log Level等)

12 AzureRMの場合は、Secret Blockに書いてあげればOK 2.3. Container AppsでのSecrets周りの対応状況 2. Azure Container AppsとTerraform

Stateに残りませんか？ AzureRMの場合は、Secret Blockに書いてあげればOKではない

15 Variables(sensitive)にしたところで、Secretの中身は平文で丸見え (Key VaultのData Sourceから読んだとしても同様) 2.3. Container AppsでのSecrets周りの対応状況 2. Azure
Container AppsとTerraform

16 2.3. Container AppsでのSecrets周りの対応状況 2. Azure Container AppsとTerraform KeyVault referenceなら大丈夫？
• Environment variables直入れ • Secrets経由 ◦ Container Apps Secret ◦ Key Vault reference →Azure Portal経由で全て設定可能外に出るとまずい秘匿情報 (DBの接続文字列 / 外部APIのAPI Key等) 秘匿情報でなければOK！(Log Level等)

17 2.3. Container AppsでのSecrets周りの対応状況 2. Azure Container AppsとTerraform 2024年2月26日現在Provider側(AzureRM)の開発が追いついていない https://github.com/hashicorp/terraform-provider-azurerm/issues/21739
Potential Terraform Configuration 

19 3.1. AzAPIの利用 3. Azure Container AppsでのSecret管理パターン AzureのResource Managar上にはAPIが存在しているはずなので、 AzAPI経由なら使えるはず。
https://github.com/hashicorp/terraform-provider-azurerm/issues/21739#issuecomment-1716928249 →循環参照になったり結局全体をAzAPIで作り直したというコメントが怖い

20 3.2. Dapr Componentの利用 3. Azure Container AppsでのSecret管理パターン Daprのサイドカーを利用してKey Vaultからシークレットを取得する
→そもそもContainer AppsのSecretに登録しない →Container Apps内からサイドカーのURLにアクセスしてKey Vault内のSecretを読み利用する(アプリケーションがAzureに依存して問題ならこの方法が楽かもしれない ?)

21 3.3. 諦めてKey Vaultの対応を待つ 3. Azure Container AppsでのSecret管理パターンベストプラクティスからは外れてしまうが、一時凌ぎで対応をする ①Apply後でSecretの中身を書き換える
• Apply後にSecretを書き換える(Azure Function等でトリガーすると運用が楽かも) ②運用ルールを定める • 手動作業のためローカルにState Pullして、そのまま何かの弾みで流出が怖い ◦ チームで必ずTerrafrom経由のみでリソース操作を行う合意をする • Remote Stateへに対するアクセス権限を絞る

23 4. まとめ • Azure Container AppsをTerraformで管理しようとするとSecretの管理が悩ましい参考文献 •
セキュアなTerraformの使い方～機密情報をコードに含めず環境構築するにはどうしたらいいの？ • 俺とAzureとTerraform ～2024新春バージョン～ • Azure Container Apps のドキュメント • Azure Container AppsとDapr -Secrets API対応とManaged IDサポートについて-

Azure Container AppsのSecret管理とIaC

Azure Container AppsのSecret管理とIaC

sugar-cat

More Decks by sugar-cat

Featured

Transcript