Dapr + .NET 实战(七)Secrets

最新推荐文章于 2024-08-24 10:00:02 发布
最新推荐文章于 2024-08-24 10:00:02 发布
阅读量897 收藏
点赞数
文章标签: java docker 数据库 vue 大数据
原文链接:https://mp.weixin.qq.com/s?__biz=MzAwNTMxMzg1MA==&mid=2654086080&idx=2&sn=0f0e88826a969026279485de99c2eaba&chksm=80d80795b7af8e83c5e8ef3216701f81130ced9c378e14cc8096495daeb75efeb1aaf9ca7b32&scene=126&&sessionid=0
版权

什么是Secrets

应用程序通常会通过使用专用的存储来存储敏感信息,如连接字符串、密钥等。

通常这需要建立一个密钥存储,如Azure Key Vault、Hashicorp等,并在那里存储应用程序级别的密钥。要访问这些密钥存储,应用程序需要导入密钥存储SDK,并使用它访问这些密钥。这可能需要相当数量的模板代码,这些代码与应用的实际业务领域无关,因此在多云场景中,可能会使用不同厂商特定的密钥存储,这就成为一个更大的挑战。

让开发人员在任何地方更容易访问应用程序密钥, Dapr 提供一个专用的密钥构建块 ,允许开发人员从一个存储获得密钥。

使用 Dapr 的密钥存储构建块通常涉及以下内容:

  1. 设置一个特定的密钥存储解决方案的组件。

  2. 在应用程序代码中使用 Dapr Secrets API 获取密钥。

  3. 在Dapr的Component文件中引用密钥

工作原理

2b2a9e90baff0fb68fa973dfc5ad0dbc.png

  1. 服务A调用 Dapr Secrets API,提供要检索的Serects的名称和要查询的项名字。

  2. Dapr sidecar 从Secrets存储中检索指定的机密。

  3. Dapr sidecar 将Secrets信息返回给服务。

Dapr目前支持的Secrets存储请见存储

使用Secrets时,应用程序与 Dapr sidecar 交互。sidecar 公开Secrets API。可以使用 HTTP 或 gRPC 调用 API。使用以下 URL 调用 HTTP API:

http://localhost:<dapr-port>/v1.0/secrets/<store-name>/<name>?<metadata>

URL 包含以下字段:

  • <dapr-port> 指定 Dapr sidecar 侦听的端口号。

  • <store-name> 指定 Dapr Secrets存储的名称。

  • <name> 指定要检索的密钥的名称。

  • <metadata> 提供Secrets的其他信息。此段是可选的,每个Secrets存储的元数据属性不同。有关元数据属性详细信息

项目实战

通过Dapr SDK获取secrets

仍然使用FrontEnd项目,并使用本地文件存储Secrets,首先在默认component目录C:\Users\<username>\.dapr\components中新建文件secrets01.json,声明密钥内容

{
    "RabbitMQConnectStr": "amqp://admin:123456@192.168.43.101:5672"
}

在此目录新建secrets01.yaml定义store

apiVersion: dapr.io/v1alpha1
kind: Component
metadata:
  name: secrets01
spec:
  type: secretstores.local.file
  version: v1
  metadata:
  - name: secretsFile
    value: C:\Users\username\.dapr\components\secrets01.json
  - name: nestedSeparator
    value: ":"

定义接口获取Secrets01的内容,新建SecretsController

using Dapr.Client;

using Microsoft.AspNetCore.Mvc;
using Microsoft.Extensions.Logging;

using System.Collections.Generic;
using System.Threading.Tasks;

namespace FrontEnd.Controllers
{
    [Route("[controller]")]
    [ApiController]
    public class SecretsController : ControllerBase
    {
        private readonly ILogger<SecretsController> _logger;
        private readonly DaprClient _daprClient;
        public SecretsController(ILogger<SecretsController> logger, DaprClient daprClient)
        {
            _logger = logger;
            _daprClient = daprClient;
        }

        [HttpGet]
        public async Task<ActionResult> GetAsync()
        {
            Dictionary<string, string> secrets = await _daprClient.GetSecretAsync("secrets01", "RabbitMQConnectStr");
            return Ok(secrets);
        }
    }
}

运行Frontend

dapr run --dapr-http-port 3501 --app-port 5001  --app-id frontend dotnet  .\FrontEnd\bin\Debug\net5.0\FrontEnd.dll

验证此api,获取成功

1a42ca8024c16a7393ae391bdc2f28a2.png

通过IConfiguration访问Secrets

Dapr还提供了从IConfiguration中访问Secrets的方法,首先引入nuget包Dapr.Extensions.Config

9d44edfa8aa333329ff84161e5ce74aa.png

在Program.cs中修改注册

public static IHostBuilder CreateHostBuilder(string[] args) =>
            Host.CreateDefaultBuilder(args)
                .ConfigureAppConfiguration(config =>
                {
                    var daprClient = new DaprClientBuilder().Build();
                    var secretDescriptors = new List<DaprSecretDescriptor> { new DaprSecretDescriptor("RabbitMQConnectStr") };
                    config.AddDaprSecretStore("secrets01", secretDescriptors, daprClient);
                })
                .ConfigureWebHostDefaults(webBuilder =>
                {
                    webBuilder.UseStartup<Startup>().UseUrls("http://*:5001");
                });

在SecretsController注入IConfiguration

private readonly ILogger<SecretsController> _logger;
        private readonly DaprClient _daprClient;
        private readonly IConfiguration _configuration;
        public SecretsController(ILogger<SecretsController> logger, DaprClient daprClient, IConfiguration configuration)
        {
            _logger = logger;
            _daprClient = daprClient;
            _configuration = configuration;
        }

在SecretsController中新增接口

[HttpGet("get01")]
        public async Task<ActionResult> Get01Async()
        {
            return Ok(_configuration["RabbitMQConnectStr"]);
        }

调用接口,获取数据成功

954a6a63fa2b6573acbd3bb78ef50ff6.png

其他组件引用Secrets

Dapr的其他组件,同样可以引用Secrets,我们以上节RabbitMQBinding为例,修改rabbitbinding.yaml

apiVersion: dapr.io/v1alpha1
kind: Component
metadata:
  name: RabbitBinding
spec:
  type: bindings.rabbitmq
  version: v1
  metadata:
  - name: queueName
    value: queue1
  - name: host
    secretKeyRef:
      name: RabbitMQConnectStr
      key: RabbitMQConnectStr
  - name: durable
    value: true
  - name: deleteWhenUnused
    value: false
  - name: ttlInSeconds
    value: 60
  - name: prefetchCount
    value: 0
  - name: exclusive
    value: false
  - name: maxPriority
    value: 5
auth:
  secretStore: secrets01

secretKeyRef元素引用指定的密钥。它将替换以前的 明文 值。 在 auth 中找到对应的secretStore。

现在运行Frontend

dapr run --dapr-http-port 3501 --app-port 5001  --app-id frontend dotnet  .\FrontEnd\bin\Debug\net5.0\FrontEnd.dll

在RabbitMQ Management中发送消息,消费成功

== APP == info: FrontEnd.Controllers.RabbitBindingController[0]
== APP ==       .............binding.............11122444

限制Secrets访问权限

我们可以在Dapr的默认配置文件C:\Users\username\.dapr\config.yaml中设置Secrets的访问权限,现在我们尝试禁止secrets01的权限

apiVersion: dapr.io/v1alpha1
kind: Configuration
metadata:
  name: daprConfig
spec:
  tracing:
    samplingRate: "1"
    zipkin:
      endpointAddress: http://localhost:9411/api/v2/spans
  secrets:
    scopes:
      - storeName: secrets01
        defaultAccess: deny

设置之后,Frontend会启动失败,因为我们在Program.cs中设置了读取secrets01。

== APP == Unhandled exception. Dapr.DaprException: Secret operation failed: the Dapr endpoint indicated a failure. See InnerException for details.
== APP ==  ---> Grpc.Core.RpcException: Status(StatusCode="PermissionDenied", Detail="access denied by policy to get "RabbitMQConnectStr" from "secrets01"")
== APP ==    at Dapr.Client.DaprClientGrpc.GetSecretAsync(String storeName, String key, IReadOnlyDictionary`2 metadata, CancellationToken cancellationToken)
== APP ==    --- End of inner exception stack trace ---
== APP ==    at Dapr.Client.DaprClientGrpc.GetSecretAsync(String storeName, String key, IReadOnlyDictionary`2 metadata, CancellationToken cancellationToken)
== APP ==    at Dapr.Extensions.Configuration.DaprSecretStore.DaprSecretStoreConfigurationProvider.LoadAsync()
== APP ==    at Dapr.Extensions.Configuration.DaprSecretStore.DaprSecretStoreConfigurationProvider.Load()
== APP ==    at Microsoft.Extensions.Configuration.ConfigurationRoot..ctor(IList`1 providers)
== APP ==    at Microsoft.Extensions.Configuration.ConfigurationBuilder.Build()
== APP ==    at Microsoft.Extensions.Hosting.HostBuilder.BuildAppConfiguration()
== APP ==    at Microsoft.Extensions.Hosting.HostBuilder.Build()
== APP ==    at FrontEnd.Program.Main(String[] args) in C:\demo\test\DaprBackEnd\FrontEnd\Program.cs:line 20

我们可以修改配置让其允许

apiVersion: dapr.io/v1alpha1
kind: Configuration
metadata:
  name: daprConfig
spec:
  tracing:
    samplingRate: "1"
    zipkin:
      endpointAddress: http://localhost:9411/api/v2/spans
  secrets:
    scopes:
      - storeName: secrets01
        defaultAccess: deny
        allowedSecrets: ["RabbitMQConnectStr"]

重启Frontend成功

以下表格列出了所有可能的访问权限配置

ScenariosdefaultAccessallowedSecretsdeniedSecretspermission
1 - Only default accessdeny/allowemptyemptydeny/allow
2 - Default deny with allowed listdeny[“s1”]emptyonly “s1” can be accessed
3 - Default allow with deneied listallowempty[“s1”]only “s1” cannot be accessed
4 - Default allow with allowed listallow[“s1”]emptyonly “s1” can be accessed
5 - Default deny with denied listdenyempty[“s1”]deny
6 - Default deny/allow with both listsdeny/allow[“s1”][“s2”]only “s1” can be accessed
相关文章:
dotNET跨平台
关注
Demo.DaprPubSub:演示如何将Dapr.NET一起用于pubsub
03-13
Dapr .NET Pub子演示演示如何将Dapr.NET一起用于发布/订阅。先决条件安装运行Linux容器的 。 安装 。 运行dapr init , dapr --version , dapr --version docker ps (用于调试)。参考。 。 。 。 。订户创建一...
Dapr来实现跨多个微服务的跨事务
canduecho的专栏
06-12 861
当我们在分布式系统中执行事务性操作时,需要确保这些操作要么同时成功,要么同时失败。但是,由于多个服务之间的通信可能会在某些情况下失败,从而导致出现问题。因此,实现一个分布式事务是一项具有挑战性的任务。Dapr(Distributed Application Runtime)是一个旨在简化开发微服务应用程序的开源项目。作为一个开源框架,Dapr提供了一系列API和组件来帮助开发人员轻松地构建具有弹性、安全性、可观察性和可扩展性的微服务。在Dapr中,我们可以使用DaprClient和。
Dapr专题之08Secrets
Tom是只好猫的博客
03-08 316
Dapr 绑定 文章目录Dapr 绑定绑定简介以及优势输出绑定输出绑定Cron绑定总结 提示:以下是本篇文章正文内容,下面案例可供参考 绑定简介以及优势 绑定就是处理外部事件或调用外部接口的功能 dapr中的绑定能给我们带来如下好处: 避免连接到消息系统 ( 如队列和消息总线 ) 并进行轮询的复杂性 聚焦于业务逻辑,而不是如何与系统交互 使代码不受 SDK 或外部库的强耦合 处理重试和故障恢复 dapr中的绑定分为三种 输入绑定,处理外部事件 输出绑定,触发外部事件 Cron绑定,定时触发
Dapr 开源项目实战指南
最新发布
gitblog_00593的博客
08-24 448
Dapr 开源项目实战指南 docsDapr user documentation, used to build docs.dapr.io项目地址:https://gitcode.com/gh_mirrors/docs11/docs 项目介绍 Dapr(分布式应用程序构建块)是一个开放源代码的、运行时环境,旨在简化微服务和云原生应用的开发过程。它提供了可插拔的组件模型,支持多种编程语言,通过提供...
.Net 7 轻松上手Dapr之服务调用
m88997766的博客
04-01 175
对于Dapr ,在项目中也有用过一段时间,优缺点并存,但是瑕不掩瑜,目前随着版本的迭代和第三方团队对它的支持也使得我们用得更加得心应手,所以借此也回顾一下Dapr的相关知识以及分享一下项目中用到的第三方库MASA.Framework 对Dapr的完美支持。然后本文只是个人学习与分享,不喜勿喷,谢谢! Dapr 是 Distributed Application Runtime (分布式应用运行时)的缩写。 Dapr是一种可移植的,serverless的,事件驱动的运行时,它使开发人员可以轻松构建弹性,无状态
An error occurred while updating the entries. See the inner exception for details.解决方案
热门推荐
CrakerWei的博客
09-12 4万+
最近准备学习一下EF框架,在做增删改查的时候,运行到红线处出现bug,代码如下: try { xe.xajh_article.Add(aNewUser); if (xe.SaveChanges(
通过Dapr实现一个简单的基于.net的微服务电商系统()——一步一步教你如何撸Dapr之服务限流...
dotNET跨平台
04-26 460
  在一般的互联网应用中限流是一个比较常见的场景,也有很多常见的方式可以实现对应用的限流比如通过令牌桶通过滑动窗口等等方式都可以实现,也可以在整个请求流程中进行限流比如客户端限流就是在客户...
EDT.Dapr.Sample:带有Dapr的ASP.NET 5的示例代码项目
04-10
EDT.Dapr.Sample是一个以C#编程语言编写的示例项目,主要展示了如何在ASP.NET 5应用程序中集成Dapr(Distributed Application Runtime),这是一个开源的、云原生的运行时,旨在使开发者能够轻松构建可移植、弹性、...
.NET Conf 2021 大会讲师 PDF 资料合集
01-31
这个大会汇聚了众多业界专家和讲师,他们分享了关于 .NET 安全、开源、Dapr 和 Blazor 等领域的深度见解。这次提供的PDF资料合集是大会的重要成果,为.NET爱好者提供了丰富的学习资源。 首先,我们要了解 .NET 技术...
手把手教你学Dapr - 1. .Net开发者的大时代.md
10-27
手把手教你学Dapr - 1. .Net开发者的大时代.md
由Dapr支持的基于eShopOnContainers的示例.NET Core分布式应用程序。-.NET开发
05-27
由Dapr支持的基于eShopOnContainers的示例.NET Core分布式应用程序。 Dapr上的eShop由Dapr支持的基于eShopOnContainers的示例.NET Core分布式应用程序。 此存储库中的代码正在开发中。 目前正在开发随附的名为.NET...
Dapr 集成 Open Policy Agent 实现 接口的访问控制
m0_73257876的博客
09-22 383
大型软件中各个组件都需要进行一些策略控制,比如用户权限校验、创建资源校验、某个时间段允许访问,如果每个组件都需要实现一套策略控制,那么彼此之间会不统一,维护困难。OPA正是解决这个问题,将散落在系统各处的策略进行统一,所有服务直接请求OPA即可。, 这将导致 foo 服务在调用服务bar-service的方法,该方法被为bar-service配置的 OPA 策略阻止。,通过Rego声明式语言实现决策逻辑,当系统需要做出策略时,只需携带请求查询OPA即可,OPA会返回决策结果。那么我们为什么需要OPA?
分布式应用框架 Dapr
dotNET跨平台
11-17 776
微服务架构已成为构建云原生应用程序的标准,微服务架构提供了令人信服的好处,包括可伸缩性,松散的服务耦合和独立部署,但是这种方法的成本很高,需要了解和熟练掌握分布式系统。为...
面向.NET开发人员的Dapr——机密
dotNET跨平台
06-26 386
目录:面向.NET开发人员的Dapr——前言面向.NET开发人员的Dapr——分布式世界面向.NET开发人员的Dapr——俯瞰Dapr面向.NET开发人员的Dapr——入门面向.NET开发...
Dapr + .NET 实战(十-终篇)K8S运行Dapr
dotNET跨平台
10-05 4681
工作原理为了实现在k8s上安装Dapr,Dapr需要部署dapr-sidecar-injector、dapr-operator、dapr-placement和dapr-sentry服务。...
云原生-dapr 入门(一)hello world实践
zhm6422107的专栏
10-08 8538
Dapr是一套开源可移植事件驱动型运行时,能够帮助开发人员轻松构建起能够运行在云端及边缘位置的高弹性、微服务、无状态/有状态应用程序。Dapr当中包含多种编程语言与开发者框架,同时显著简化了应用程序(例如示例中提到的电子商务应用)的构建流程。 为什么要使用Dapr: 解决了以下问题: Distributed App Challenges Hard to incrementally migrate from existing code to a microservices architecture.(
在非容器(集群)环境下运行dapr
dotNET跨平台
05-22 1111
作者:李俱顺原文:https://www.4async.com/2021/03/2021-03-11-running-dapr-without-container/前一段时间一直关注的da...
面向.NET开发人员的Dapr——可观察性
dotNET跨平台
06-26 511
目录:面向.NET开发人员的Dapr——前言面向.NET开发人员的Dapr——分布式世界面向.NET开发人员的Dapr——俯瞰Dapr面向.NET开发人员的Dapr——入门面向.NET开发...
深入探究.NET5与Dapr结合的解决方案
资源摘要信息:"文章标题为《Solution12021-8-1_13_32.rar》的资源文件中,包含了一个标签为'.net5_dapr'的压缩包子文件。这篇文章的完整URL为***。根据这个URL,可以推断出该文章可能是关于.NET 5和Dapr(分布式应用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值