Dapr 入門チュートリアル: キーストレージ

Dapr 入門チュートリアル: キーストレージ

アプリケーションは通常、専用のシークレット ストアを使用して、キーやトークン、データベース、サービス、外部システムでの認証に使用されるシークレットなどの機密情報を保存します。通常、これには​Azure Key Vault​​Hashicorp Vault​などのシークレット ストアを設定し、そこにアプリケーション レベルのプライベート データを保存することが含まれます。これらのシークレット ストアにアクセスするには、アプリケーションはシークレット ストアの SDK をインポートし、それを使用してプライベート データにアクセスする必要があります。これには、アプリケーションの実際のビジネス ドメインに関連しない大量のコードが必要になる可能性があるため、異なるベンダー固有のシークレット ストアを使用する可能性のあるマルチクラウド シナリオでは、これが大きな課題になります。

開発者がアプリケーションのプライベート データを簡単に使用できるようにするために、Dapr には専用の Secret ビルディング ブロック API があり、開発者はこれを使用して Secret ストレージからプライベート データを取得できます。 Dapr の Secret ストレージ ビルディング ブロックを使用するには、通常、次の手順に従います。

  • 特定のシークレット ストレージ ソリューション用のコンポーネントを設定します。
  • アプリケーション コードで Dapr の Secret API を使用して、秘密データを取得します。
  • (オプション) Dapr コンポーネント ファイル内のシークレットを参照します。

デフォルトでは、Dapr は、Helm または dapr init -k を介して Kubernetes モードでデプロイされると、組み込みの Kubernetes Secret ストアを有効にします。別のシークレット ストアを使用する場合は、disable-builtin-k8s-secret-store 設定を使用して Dapr Kubernetes シークレット ストアを無効にすることができます。

アプリケーション コードは、Secret ビルディング ブロック API を呼び出して、コード内で使用できる Dapr 対応の Secret ストアからプライベート データを取得できます。たとえば、次の図は、構成されたクラウド シークレット ストア内の vault という名前のシークレット ストアから mysecret という名前のシークレット データを要求するアプリケーションを示しています。

ダプルシークレット

アプリケーションは、シークレット API を使用して、Kubernetes シークレット ストアからプライベート データにアクセスできます。次の例では、アプリケーションは Kubernetes Secret ストアから同じ mysecret を取得します。

K8s の Dapr シークレット

ローカル環境でのシークレットの使用

ここでも、説明のためにクイックスタート リポジトリを使用します。

 gitクローン [-b <dapr_version_tag>] https://github.com/dapr/quickstarts.git
cdクイックスタート

次に、secretstore ディレクトリの下のノード フォルダーを見つけます。

 $ cdチュートリアル/シークレットストア/ノード

app.js は、いくつかのルートとハンドラーを公開するシンプルな Express アプリケーションです。まず、ファイル内の次の内容を確認します。

定数 daprPort = process.env.DAPR_HTTP_PORT || 3500 ;
const secretStoreName = process.env.SECRET_STORE;
const secretName = "mysecret" ;

secretStoreName は環境変数 SECRET_STORE から読み取られ、Kubernetes デプロイメントの場合は値 kubernetes が挿入されます。ローカル開発の場合、環境変数を localsecretstore の値に設定する必要があります。

次に、getsecret ハンドラー コードを見てみましょう。

 app.get( "/getsecret" , (_req, res) = > {
const url = ` ${secretsUrl} / ${secretStoreName} / ${secretName} ?metadata.namespace=default` ;
console.log( "URL を取得中: %s" , url);
フェッチ(url)
.then((res) = > res.json())
.then((json) = > {
secretBuffer = new Buffer(json[ "mysecret" ]); を作成します。
エンコードされたSecret secretBuffer.toString( "base64" )とします。
console.log( "Base64 でエンコードされたシークレットは: %s" , encodingSecret);
res.send(encodedSecret) を返します。
});
});

このコードは、シークレット ストアから mysecret という名前のデータを取得し、そのデータの Base64 エンコード バージョンを表示します。

secrets.json ファイルに mysecret という名前の Secret データを追加します。

 {
「私の秘密」 : 「abcd」
}

また、Secret に対応する Component コンポーネントを追加する必要があります。たとえば、ローカル自己拡張管理モードでは、次のように構成ファイルを作成します。

 APIバージョン: dapr.io/v1alpha1
種類: コンポーネント
メタデータ:
名前: localsecretstore
名前空間: デフォルト
仕様:
タイプ: secretstores.local.file
バージョン: v1
メタデータ:
-名前: secretsFile
値: secrets.json
-名前: ネストされたセパレータ
価値: ":"

上記のコンポーネントは、シークレット ファイル パスが secrets.json ファイルであるローカル シークレット リポジトリを定義します。

Secret が JSON を保存するパスは、dapr run を呼び出す場所を基準とします。

次に、上記のシークレット ストア名を環境変数として設定する必要があります。

 エクスポートSECRET_STORE = "localsecretstore"
SECRET_STORE = localsecretstore を設定します

次に、Node アプリケーションの依存関係をインストールします。

 npmインストール

次に、Dapr を使用して、ローカル シークレット ストア コンポーネントを含む Node アプリケーションを実行します。

 $ dapr実行--app -id nodeapp --components -path ./components --app -port 3000 --dapr -http -port 3500 ノードapp.js
ℹ️ ID nodeapp で Dapr を起動しています。 HTTP ポート: 3500 。 gRPC ポート: 58744
INFO[0000] Dapr Runtime を開始--バージョン1 .8.4 --コミット 18575823c74318c811d6cd6f57ffac76d5debe93 app_id = nodeapp インスタンス= MBP2022.local スコープ= dapr.runtime タイプ= log ver = 1 .8.4

INFO[0000]コンポーネントがロードされました。名前: localsecretstore、タイプ: secretstores.local.file/v1 app_id = nodeapp インスタンス= MBP2022.local スコープ= dapr.runtime タイプ= log バージョン= 1 .8.4
INFO[0000] 未処理のコンポーネントがすべて処理されましたapp_id = nodeapp インスタンス= MBP2022.local スコープ= dapr.runtime タイプ= log バージョン= 1 .8.4

= = APP = = Node App はポート3000でリッスンしています。
INFO[0000] ポート3000でアプリケーションが検出されましたapp_id = nodeapp インスタンス= MBP2022.local スコープ= dapr.runtime タイプ= log バージョン= 1.8.4
警告[0000] [非推奨の通知] 受信サービス呼び出し要求にデフォルトのコンテンツ タイプを追加することは非推奨であり、 将来削除される予定です。詳細については、https://docs.dapr.io/operations/support/support-preview-features/ を参照してください。構成オプション`ServiceInvocation.NoDefaultContentType`trueに設定することで、今すぐ新しい動作を選択できます。 app_id = nodeapp インスタンス= MBP2022.local スコープ= dapr.runtime タイプ=ログバージョン= 1 .8.4
INFO[0000] アプリケーション構成がロードされましたapp_id = nodeapp インスタンス= MBP2022.local スコープ= dapr.runtime タイプ= log バージョン= 1 .8.4
INFO[0000] アクター: 状態ストアが構成されていません-クライアントの場合は問題ありませんが、ホストされたアクターを持つサービスは初期化に失敗します。 app_id = nodeapp インスタンス= MBP2022.local スコープ= dapr.runtime タイプ=ログバージョン= 1 .8.4
INFO[0000] アクターランタイムが開始されました。アクターのアイドルタイムアウト: 1時間0分0秒。アクタースキャン間隔: 30 秒app_id = nodeapp インスタンス= MBP2022.local スコープ= dapr.runtime.actor タイプ= log バージョン= 1 .8.4
INFO[0000] daprが初期化されました。ステータス: 実行中。初期化経過時間326 .570000000000005 ミリ秒app_id = nodeapp インスタンス= MBP2022.local スコープ= dapr.runtime タイプ= log バージョン= 1 .8.4
INFO[0000] 配置テーブルが更新されました。バージョン: 0 app_id = nodeapp インスタンス= MBP2022.local スコープ= dapr.runtime.actor.internal.placement タイプ= log バージョン= 1 .8.4
ℹ️ アプリメタデータを更新するコマンド: node app.js
起動して実行中です! Dapr とアプリのログの両方がここに表示されます。

起動後、dapr list を使用してアプリケーション リストを表示できます。

 $ daprリスト
アプリケーション ID HTTP ポート GRPC ポート アプリケーション ポート コマンド 作成日 PID
ノードアプリ3500 58744 3000 ノードアプリ.js 11分2022-09-27 15 : 13.46 5906

起動が完了すると、アプリケーションの getsecret インターフェースに直接アクセスできるようになります。

 $ curl -k http://localhost:3000/getsecret

通常の出力結果は YWJjZA== で、これは上記の abcd を base64 エンコードした後の値です。

次に、アプリケーション ログを確認すると、次のような内容が表示されます。

 = = APP = = URL を取得しています: http://localhost:3500/v1.0/secrets/localsecretstore/mysecret?metadata .namespace = default
= = APP = = Base64でエンコードされたシークレットは: YWJjZA = =

テストが完了したら、dapr stop コマンドを使用してアプリケーションを停止できます。

 dapr を停止--app -id nodeapp

Kubernetes 環境でのシークレットの使用

次に、Dapr が Kubernetes モードで Secrets ストアをどのように使用するかを見てみましょう。もちろん、まず Kubernetes クラスターに Dapr コントロール プレーンをインストールする必要があります。

Dapr は、AWS Secret Manager、Azure Key Vault、GCP Secret Manager、Kubernetes など、さまざまなシークレット ストアを使用してシークレット データを解析できます。ここでは、Kubernetes Secret オブジェクトを直接使用してデモンストレーションを行うことができます。

まず、シークレット データを ./mysecret ファイルに追加します。たとえば、パスワードが abcd の場合、./mysecret ファイルの内容は abcd になります。

次に、./mysecret ファイルに基づいて Kubernetes Secret オブジェクトを作成します。

 $ kubectlシークレットジェネリック mysecret を作成します--from -file ./mysecret

作成された Secret オブジェクトの名前 mysecret をメモします。これは後ほど使用されます。

作成が完了したら、オブジェクト内のデータが期待どおりかどうかを確認できます。

 $ kubectlシークレット mysecret -o yaml を取得します
APIバージョン: v1
データ:
私の秘密: YWJjZAo =
種類: 秘密
メタデータ:
作成タイムスタンプ: "2022-09-27T07:34:31Z"
名前: mysecret
名前空間: デフォルト
リソースバージョン: "5133821"
uid: c9aa573c-5f71-439c-b482-748ac0fe3ae7
タイプ: 不透明

次に、Node.js アプリケーションを Kubernetes クラスターにデプロイします。対応するリソース マニフェスト ファイルは次のとおりです。

種類: サービス
APIバージョン: v1
メタデータ:
名前: ノードアプリ
ラベル:
アプリ: ノード
仕様:
セレクタ:
アプリ: ノード
ポート:
-プロトコル: TCP
ポート: 80
ターゲットポート: 3000
タイプ: ロードバランサー
-- -
APIバージョン: アプリ/v1
種類: デプロイメント
メタデータ:
名前: ノードアプリ
ラベル:
アプリ: ノード
仕様:
セレクタ:
一致ラベル:
アプリ: ノード
テンプレート:
メタデータ:
ラベル:
アプリ: ノード
注釈:
dapr.io/有効: "true"
dapr.io/アプリID: "nodeapp"
dapr.io/アプリポート: "3000"
仕様:
コンテナ:
-名前: ノード
画像: ghcr.io/dapr/samples/secretstorenode:latest
環境:
-名前: SECRET_STORE
値: "kubernetes"
ポート:
-コンテナポート: 3000
imagePullPolicy: 常に

ここで重要な点は、環境変数 SECRET_STORE を構成し、その値を kubernetes に設定して、アプリケーションが Kubernetes を介して Secret データを取得する必要があることを認識できるようにすることです。アプリケーションをデプロイするだけです:

 $ kubectl apply -fデプロイ/node.yaml
$ kubectlポッドを取得する
名前 準備完了 ステータス 再起動 年齢
nodeapp-6cb5b689cf-vtn74 2 /2 実行中0 92
$ kubectl svc を取得します
名前 タイプ クラスター IP 外部 IP ポート 年齢
nodeapp ロードバランサー10 .101.216.73 192 .168.0.50 80 :32719/TCP 13d
nodeapp-dapr ClusterIP なし <なし> 80 /TCP、50001/TCP、50002/TCP、9090/TCP 13d

デプロイが完了すると、EXTERNAL-IP 192.168.0.50 を介してアプリケーションにアクセスできるようになります。

 カール-k http://192.168.0.50/getsecret

通常、上記のリクエストの出力は YWJjZAo= です。 Node アプリケーション ログを表示することもできます。

 $ kubectlログ--selector = app = node -c node
Node アプリはポート3000でリッスンしています。
URL を取得しています: http://localhost:3500/v1.0/secrets/kubernetes/mysecret?metadata .namespace = default
Base64でエンコードされたシークレットは次のとおりです: YWJjZAo =

上記のログから、Node アプリケーションがシークレット ストアからシークレット データを取得するために dapr に要求を行っていることがわかります。 mysecret は上記で作成した Secret オブジェクトの名前であることに注意してください。

もちろん、HashiCorp Vault などの別のシークレット ストアを使用している場合は、次のリソース リストに示すように、secretstores.hashicorp.vault タイプの対応するコンポーネントを作成する必要があります。

 APIバージョン: dapr.io/v1alpha1
種類: コンポーネント
メタデータ:
名前: 金庫
仕様:
タイプ: secretstores.hashicorp.vault
バージョン: v1
メタデータ:
-名前: vaultAddr
値: [vault_address]
-名前: caCert
値: "[ca_cert]"
-名前: caPath
値: "[path_to_ca_cert_file]"
-名前: caPem
値: "[encoded_ca_cert_pem]"
-名前: skipVerify
値: "[skip_tls_verification]"
-名前: tlsServerName
値: "[tls_config_server_name]"
-名前: vaultTokenMountPath
値: "[トークンを含むファイルへのパス]"
-名前: vaultToken
値: "[トークンを含むファイルへのパス]"
-名前: vaultKVPrefix
値: "[vault_prefix]"
-名前: vaultKVUsePrefix
値: "[true/false]"
-名前: エンジンパス
値: "秘密"
-名前: vaultValueType
値: "マップ"

Dapr でサポートされているその他のシークレット ストアの構成プロパティについては、関連情報の公式ドキュメント https://docs.dapr.io/reference/components-reference/supported-secret-stores/ を参照してください。

<<:  効果的なクラウド運用の5つの鍵

>>:  Kubernetes リソースを管理する際に注意すべき 5 つのポイント!

推薦する

Baidu の重みの精度と重みと包含の関係のグラフ分析

百度の重みの進化実は、重みで公式に認められている検索エンジンはGoogleとSogouだけです。Ba...

マルチメディア シングス プレーヤーが、より適切なオーディオおよびビデオ プレーヤーの選び方について語ります

序文近年、HTML5 技術の普及、モバイル デバイスの急速な成長、トラフィック料金の継続的な低下によ...

マイクロソフト リサーチ アジア インテリジェント オペレーション: クラウド サービスのインテリジェントな推進力

この疫病は人々の生産や生活の仕方を変えました。共同作業、リモートワーク、オンライン教育などのシナリオ...

誤ったマーケティング:アリペイがミスを補うために70万元を支払う

7月31日の朝、Alipayが誤って当選SMSを送信し、当初は5元の宝くじが当たるというSMSが、全...

ウェブサイトを無敵にするためにウェブサイトの後半段階で外部リンクを構築する方法

ウェブサイトの構築に関しては、ウェブマスターの 99% は私と同じように生計を立てるためにそれを行っ...

hostus-$2.5/1g メモリ/1g スワップ/50g ハードディスク/1T トラフィック/ダラス

Hostus の OVZ は少し値下がりしました。全体的にハードドライブが大きく値上がりしたので、コ...

クラウドコンピューティングと人工知能が、先進的な企業に前例のない機会を生み出す方法

近年、ますます大規模なデータセットを処理するために SaaS (サービスとしてのソフトウェア) モデ...

マルチクラウド戦略が克服しなければならない 5 つの課題

過去数年間、多くの企業が大量のデータ、アプリケーション、開発作業をクラウド プラットフォームに移行し...

クラウド ネイティブはビジネスにとって何を意味しますか?

クラウドネイティブがビジネスにもたらす意味製造業から運輸業、小売業まで、ほぼすべての業界の企業がクラ...

cloudcone: 年間 10 ドル、Unicom 効果サポート、+2 ドルのサポート 1Tbps の高防御、Alipay

Cloudcone は誰もが知っているブランドです。同社はブラック フライデー プロモーションを実施...

最も重要な7つのDockerコマンド

導入Docker は、開発者がソフトウェアをパッケージ化し、コンテナの形式で実行できるように、オペレ...

ウェブサイトのログからBaidu Spiderの認識を理解する

皆さんは百度スパイダーをよくご存知だと思いますし、ウェブマスターの皆さんもスパイダーの訪問を歓迎して...

Pinduoduoビデオについて話しましょう

動画業界は、止めることのできない勝者総取りの業界となっている(下の図からわかるように、コンテンツとト...

電子商取引オープンプラットフォーム:中小販売業者の愛憎関係

オープンプラットフォームは中国の電子商取引企業の中核戦略になりつつある。プラットフォーム上では、売り...