Azure Container Appsの Secret管理とIaC 2024/2/26 color is【クラウドLT大会vol.7】フリーテーマ！ @sugar235711

2 Sugar(@sugar235711) 所属: Cyber Agent/AIShift バックエンドエンジニア 普段はGoを書いています。 最近Azureに入門しました。(歴3ヶ月) 登壇者紹介

3 Agenda 1. Azure Container Appsについて 2. Azure Container AppsとTerraform 2.1. Terraform & Azure 2.2. AzureRMとAzureContainer Apps 2.3. Container AppsでのSecret周りの対応状況 3. Azure Container AppsでのSecret管理パターン 3.1. AzAPIの利用 3.2. Dapr Componentの利用 3.3. 諦めてKey Vaultの対応を待つ 4. まとめ

4 Agenda 1. Azure Container Appsについて 2. Azure Container AppsとTerraform 2.1. Terraform & Azure 2.2. AzureRMとAzureContainer Apps 2.3. Container AppsでのSecret周りの対応状況 3. Azure Container AppsでのSecret管理パターン 3.1. AzAPIの利用 3.2. Dapr Componentの利用 3.3. 諦めてKey Vaultの対応を待つ 4. まとめ

5 フルマネージドサーバーレスコンテナサービス(2022/5~) Kubernetesを基盤に、Envoy、KEDA、DaprといったOSSが利用できる 1. Azure Container Appsについて https://learn.microsoft.com/en-us/azure/container-apps/microservices-dapr?tabs=bash%2Cazure-cli

6 Agenda 1. Azure Container Appsについて 2. Azure Container AppsとTerraform 2.1. Terraform & Azure 2.2. AzureRMとAzureContainer Apps 2.3. Container AppsでのSecret周りの対応状況 3. Azure Container AppsでのSecret管理パターン 3.1. AzAPIの利用 3.2. Dapr Componentの利用 3.3. 諦めてKey Vaultの対応を待つ 4. まとめ

7 Azure用に提供されているProviderは主に5つ。 リソースの管理には基本的にはAzureRMを使用する。 ● AzureRM: 仮想マシン、ストレージ アカウント等の管理 ● AzureAD: グループ、ユーザー、サービスプリンシパルを管理 ● AzureStack: 仮想マシン、DNS等Stack Hub 上のリソースを管理 ● AzAPI: Azure Resource Manegerを使用し、直接リソースを管理 ● AzureDevops: エージェント、リポジトリ等のリソースの管理 2.1. Terraform & Azure 2. Azure Container AppsとTerraform

8 Azure用に提供されているProviderは主に5つ。 リソースの管理には基本的にはAzureRMを使用する。 ● AzureRM: 仮想マシン、ストレージ アカウント等の管理 ● AzureAD: グループ、ユーザー、サービスプリンシパルを管理 ● AzureStack: 仮想マシン、DNS等Stack Hub 上のリソースを管理 ● AzAPI: Azure Resource Manegerを使用し、直接リソースを管理 ● AzureDevops: エージェント、リポジトリ等のリソースの管理 →できればHashiCorp公式のProviderだけで構築できると楽。 2.1. Terraform & Azure 2. Azure Container AppsとTerraform HashiCorp産 Azure産

9 AzureRMを使用し、ContainerAppsを作成 2.2. AzureRMとAzureContainer Apps 2. Azure Container AppsとTerraform Terraform AzureRM Provider Azure Resource Manager API Create Container Apps

10 アプリケーションの開発が進むと、コンテナ内で何かしらの環境変数を使いた い場面が出てくる ● Environment variables直入れ ● Secrets経由 ○ Container Apps Secret ○ Key Vault reference 2.3. Container AppsでのSecrets周りの対応状況 2. Azure Container AppsとTerraform

11 アプリケーションの開発が進むと、コンテナ内で何かしらの環境変数を使いた い場面が出てくる ● Environment variables直入れ ● Secrets経由 ○ Container Apps Secret ○ Key Vault reference →Azure Portal経由で全て設定可能 2.3. Container AppsでのSecrets周りの対応状況 2. Azure Container AppsとTerraform 外に出るとまずい秘匿情報 (DBの接続文字列 / 外部APIのAPI Key等) 秘匿情報でなければOK！(Log Level等)

12 AzureRMの場合は、Secret Blockに書いてあげればOK 2.3. Container AppsでのSecrets周りの対応状況 2. Azure Container AppsとTerraform

13 AzureRMの場合は、Secret Blockに書いてあげればOK 2.3. Container AppsでのSecrets周りの対応状況 2. Azure Container AppsとTerraform

14 AzureRMの場合は、Secret Blockに書いてあげればOK 2.3. Container AppsでのSecrets周りの対応状況 2. Azure Container AppsとTerraform Stateに残りませんか？ AzureRMの場合は、Secret Blockに書いてあげればOKではない

15 Variables(sensitive)にしたところで、Secretの中身は平文で丸見え (Key VaultのData Sourceから読んだとしても同様) 2.3. Container AppsでのSecrets周りの対応状況 2. Azure Container AppsとTerraform

16 2.3. Container AppsでのSecrets周りの対応状況 2. Azure Container AppsとTerraform KeyVault referenceなら大丈夫？ ● Environment variables直入れ ● Secrets経由 ○ Container Apps Secret ○ Key Vault reference →Azure Portal経由で全て設定可能 外に出るとまずい秘匿情報 (DBの接続文字列 / 外部APIのAPI Key等) 秘匿情報でなければOK！(Log Level等)

17 2.3. Container AppsでのSecrets周りの対応状況 2. Azure Container AppsとTerraform 2024年2月26日現在Provider側(AzureRM)の開発が追いついていない https://github.com/hashicorp/terraform-provider-azurerm/issues/21739 Potential Terraform Configuration


18 Agenda 1. Azure Container Appsについて 2. Azure Container AppsとTerraform 2.1. Terraform & Azure 2.2. AzureRMとAzureContainer Apps 2.3. Container AppsでのSecret周りの対応状況 3. Azure Container AppsでのSecret管理パターン 3.1. AzAPIの利用 3.2. Dapr Componentの利用 3.3. 諦めてKey Vaultの対応を待つ 4. まとめ

19 3.1. AzAPIの利用 3. Azure Container AppsでのSecret管理パターン AzureのResource Managar上にはAPIが存在しているはずなので、 AzAPI経由なら使えるはず。 https://github.com/hashicorp/terraform-provider-azurerm/issues/21739#issuecomment-1716928249 →循環参照になったり結局全体をAzAPIで作り直したというコメントが怖い

20 3.2. Dapr Componentの利用 3. Azure Container AppsでのSecret管理パターン Daprのサイドカーを利用してKey Vaultからシークレットを取得する →そもそもContainer AppsのSecretに登録しない →Container Apps内からサイドカーのURLにアクセスしてKey Vault内のSecretを読み利用す る(アプリケーションがAzureに依存して問題ならこの方法が楽かもしれない ?)

21 3.3. 諦めてKey Vaultの対応を待つ 3. Azure Container AppsでのSecret管理パターン ベストプラクティスからは外れてしまうが、一時凌ぎで対応をする ①Apply後でSecretの中身を書き換える ● Apply後にSecretを書き換える(Azure Function等でトリガーすると運用が楽かも) ②運用ルールを定める ● 手動作業のためローカルにState Pullして、そのまま何かの弾みで流出が怖い ○ チームで必ずTerrafrom経由のみでリソース操作を行う合意をする ● Remote Stateへに対するアクセス権限を絞る

22 Agenda 1. Azure Container Appsについて 2. Azure Container AppsとTerraform 2.1. Terraform & Azure 2.2. AzureRMとAzureContainer Apps 2.3. Container AppsでのSecret周りの対応状況 3. Azure Container AppsでのSecret管理パターン 3.1. AzAPIの利用 3.2. Dapr Componentの利用 3.3. 諦めてKey Vaultの対応を待つ 4. まとめ

23 4. まとめ ● Azure Container AppsをTerraformで管理しようとするとSecretの管 理が悩ましい 参考文献 ● セキュアなTerraformの使い方 ～ 機密情報をコードに含めず環境構築するにはどう したらいいの？ ● 俺とAzureとTerraform ～2024新春バージョン～ ● Azure Container Apps のドキュメント ● Azure Container AppsとDapr -Secrets API対応とManaged IDサポートについ て-