Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Azure Container AppsのSecret管理とIaC

sugar-cat
February 26, 2024
180

Azure Container AppsのSecret管理とIaC

sugar-cat

February 26, 2024
Tweet

Transcript

  1. 3 Agenda 1. Azure Container Appsについて 2. Azure Container AppsとTerraform

    2.1. Terraform & Azure 2.2. AzureRMとAzureContainer Apps 2.3. Container AppsでのSecret周りの対応状況 3. Azure Container AppsでのSecret管理パターン 3.1. AzAPIの利用 3.2. Dapr Componentの利用 3.3. 諦めてKey Vaultの対応を待つ 4. まとめ
  2. 4 Agenda 1. Azure Container Appsについて 2. Azure Container AppsとTerraform

    2.1. Terraform & Azure 2.2. AzureRMとAzureContainer Apps 2.3. Container AppsでのSecret周りの対応状況 3. Azure Container AppsでのSecret管理パターン 3.1. AzAPIの利用 3.2. Dapr Componentの利用 3.3. 諦めてKey Vaultの対応を待つ 4. まとめ
  3. 6 Agenda 1. Azure Container Appsについて 2. Azure Container AppsとTerraform

    2.1. Terraform & Azure 2.2. AzureRMとAzureContainer Apps 2.3. Container AppsでのSecret周りの対応状況 3. Azure Container AppsでのSecret管理パターン 3.1. AzAPIの利用 3.2. Dapr Componentの利用 3.3. 諦めてKey Vaultの対応を待つ 4. まとめ
  4. 7 Azure用に提供されているProviderは主に5つ。 リソースの管理には基本的にはAzureRMを使用する。 • AzureRM: 仮想マシン、ストレージ アカウント等の管理 • AzureAD: グループ、ユーザー、サービスプリンシパルを管理

    • AzureStack: 仮想マシン、DNS等Stack Hub 上のリソースを管理 • AzAPI: Azure Resource Manegerを使用し、直接リソースを管理 • AzureDevops: エージェント、リポジトリ等のリソースの管理 2.1. Terraform & Azure 2. Azure Container AppsとTerraform
  5. 8 Azure用に提供されているProviderは主に5つ。 リソースの管理には基本的にはAzureRMを使用する。 • AzureRM: 仮想マシン、ストレージ アカウント等の管理 • AzureAD: グループ、ユーザー、サービスプリンシパルを管理

    • AzureStack: 仮想マシン、DNS等Stack Hub 上のリソースを管理 • AzAPI: Azure Resource Manegerを使用し、直接リソースを管理 • AzureDevops: エージェント、リポジトリ等のリソースの管理 →できればHashiCorp公式のProviderだけで構築できると楽。 2.1. Terraform & Azure 2. Azure Container AppsとTerraform HashiCorp産 Azure産
  6. 11 アプリケーションの開発が進むと、コンテナ内で何かしらの環境変数を使いた い場面が出てくる • Environment variables直入れ • Secrets経由 ◦ Container

    Apps Secret ◦ Key Vault reference →Azure Portal経由で全て設定可能 2.3. Container AppsでのSecrets周りの対応状況 2. Azure Container AppsとTerraform 外に出るとまずい秘匿情報 (DBの接続文字列 / 外部APIのAPI Key等) 秘匿情報でなければOK!(Log Level等)
  7. 14 AzureRMの場合は、Secret Blockに書いてあげればOK 2.3. Container AppsでのSecrets周りの対応状況 2. Azure Container AppsとTerraform

    Stateに残りませんか? AzureRMの場合は、Secret Blockに書いてあげればOKではない
  8. 16 2.3. Container AppsでのSecrets周りの対応状況 2. Azure Container AppsとTerraform KeyVault referenceなら大丈夫?

    • Environment variables直入れ • Secrets経由 ◦ Container Apps Secret ◦ Key Vault reference →Azure Portal経由で全て設定可能 外に出るとまずい秘匿情報 (DBの接続文字列 / 外部APIのAPI Key等) 秘匿情報でなければOK!(Log Level等)
  9. 18 Agenda 1. Azure Container Appsについて 2. Azure Container AppsとTerraform

    2.1. Terraform & Azure 2.2. AzureRMとAzureContainer Apps 2.3. Container AppsでのSecret周りの対応状況 3. Azure Container AppsでのSecret管理パターン 3.1. AzAPIの利用 3.2. Dapr Componentの利用 3.3. 諦めてKey Vaultの対応を待つ 4. まとめ
  10. 19 3.1. AzAPIの利用 3. Azure Container AppsでのSecret管理パターン AzureのResource Managar上にはAPIが存在しているはずなので、 AzAPI経由なら使えるはず。

    https://github.com/hashicorp/terraform-provider-azurerm/issues/21739#issuecomment-1716928249 →循環参照になったり結局全体をAzAPIで作り直したというコメントが怖い
  11. 20 3.2. Dapr Componentの利用 3. Azure Container AppsでのSecret管理パターン Daprのサイドカーを利用してKey Vaultからシークレットを取得する

    →そもそもContainer AppsのSecretに登録しない →Container Apps内からサイドカーのURLにアクセスしてKey Vault内のSecretを読み利用す る(アプリケーションがAzureに依存して問題ならこの方法が楽かもしれない ?)
  12. 21 3.3. 諦めてKey Vaultの対応を待つ 3. Azure Container AppsでのSecret管理パターン ベストプラクティスからは外れてしまうが、一時凌ぎで対応をする ①Apply後でSecretの中身を書き換える

    • Apply後にSecretを書き換える(Azure Function等でトリガーすると運用が楽かも) ②運用ルールを定める • 手動作業のためローカルにState Pullして、そのまま何かの弾みで流出が怖い ◦ チームで必ずTerrafrom経由のみでリソース操作を行う合意をする • Remote Stateへに対するアクセス権限を絞る
  13. 22 Agenda 1. Azure Container Appsについて 2. Azure Container AppsとTerraform

    2.1. Terraform & Azure 2.2. AzureRMとAzureContainer Apps 2.3. Container AppsでのSecret周りの対応状況 3. Azure Container AppsでのSecret管理パターン 3.1. AzAPIの利用 3.2. Dapr Componentの利用 3.3. 諦めてKey Vaultの対応を待つ 4. まとめ
  14. 23 4. まとめ • Azure Container AppsをTerraformで管理しようとするとSecretの管 理が悩ましい 参考文献 •

    セキュアなTerraformの使い方 ~ 機密情報をコードに含めず環境構築するにはどう したらいいの? • 俺とAzureとTerraform ~2024新春バージョン~ • Azure Container Apps のドキュメント • Azure Container AppsとDapr -Secrets API対応とManaged IDサポートについ て-