(提前写,但在5月2日相关文章最终出版时出版。)
我刚刚完成了一个由三部分组成的系列文章,内容是构建一个容器化的ASP.NET核心API,该API使用EF核心进行数据持久化。所有这些都是在vs 2017中完成的,我利用了docker的vs2017工具。
该系列文章将于今年4月出版。5月和6月出版的《MSDN杂志》。
第1部分:码头集装箱化应用程序中的ef核心,2019年4月
第2部分:码头集装箱化应用程序中的ef核心,2019年5月
但我没有足够的空间来完成部署我编写的应用程序的重要任务,尽管我努力工作。好,部署非常简单,但是为了处理存储用于连接到我的Azure SQL数据库的密码,还有一些新的步骤需要完成。我将在这篇博文中转达这些步骤。
我的API使用EF核心并以一个Azure SQL数据库为目标。无论我在本地调试IIS还是Kestrel,在Docker容器内进行本地调试,或者在服务器或云上运行应用程序,我总是可以访问那个数据库。
这意味着我有一个连接字符串要处理,但我想保持密码的秘密。
解的结构在这里。我的ASP.NET核心API项目是DataApidocker。因为我使用docker工具来添加容器编制,我在docker-compose解决方案中有另一个文件夹。
我将在本文的第2部分(2019年5月的一期)中详细介绍,但底线是在docker-compose.yml文件中使用docker环境变量。
版本:“3.4”
服务:
dataapidocker:
图片:$ {DOCKER_REGISTRY -} dataapidocker
建造:
背景:。
dockerfile:dataapidocker/dockerfile
环境:
-布兰达
在环境映射中,我有一个序列项,我在其中定义db_pw键,但不包括值。因为那里没有价值,Docker将查看主机的环境变量。因为我只是在调试,我在系统上用密码值创建了一个临时环境变量,当我从VS2017调试或运行应用程序时,将找到密码变量。环境变量被传递到正在运行的容器中,我的应用程序有读取它的代码,并在teh连接字符串中包含密码。
所以它是独立的,漂亮整洁。
将图像发布到Azure的ACI注册表
一旦你的应用程序运行起来了,是时候发布它了。但我们用的是Docker,所以你不发布应用程序,但可以为你运行应用程序的Docker图像。Docker工具也会对此有所帮助。
右键单击项目并选择“发布”。
然后您将需要创建一个发布概要文件。这个概要文件的一部分是选择在哪里发布图像。这里你有选择。我有一个VIsual Studio订阅,如果我想的话,可以将它发布到Azure容器注册中心或Docker Hub或其他注册中心。
我写这篇博文的目的是把图片放到Azure容器注册表中,所以这是我的选择。您的Azure帐户中可以有多个容器注册。您可以在一个注册表中存储任意数量的图像。好,可能存在技术或财务限制,但关键是,一个注册表中可以有多个图像。我不是来这里为如何管理Azure财务提供建议的,如何完成任务。
这是我让发布工具为我创建的注册表的概述页面。我圈出了链接,以查看可以访问您的图像的存储库。
您可能有不同版本的特定图像,因此每个“集”是不同的存储库。我有三个储存库,我一直在那里进行试验。
DataAPI只有一个图像,发布工具自动将其标记为“最新”给我。我可以在不同的标签下有其他版本。
回到Visual Studio,在浏览了发布工具关于创建新存储库的问题之后,最后一步是进行发布,发布将构建图像并将其推送到目标存储库。请记住,您希望将VS2017设置为运行版本构建,不是调试版本。
如果这是您第一次将此图像推送到存储库,该工具还将推送应用程序DockerFile中列出的ASP.NET核心SDK和运行时映像。
我很惊讶看到这个,想知道为什么Azure不只是从Docker Hub上获取它们,为什么我要直接上传那些大文件。当然,我在推特上表达了我的困惑:
随后微软的RichLander和SteveLasker进行了讨论,他们首先证实了这是预期的行为。
故事还有很多,但它超出了我在这里的目标范围。
从映像运行容器
这个注册表的一个很酷的特性是,您可以右键单击并运行一个图像。如果你不想安排一些图像,这很好,而且与我的情况相匹配。此图像确实独立运行。
右键单击图像并选择“运行实例”。Azure将创建一个容器并将其作为Azure容器实例。尽管首先需要为实例定义规范。
这有点不可思议,因为如果容器是一个简单的应用程序,您不必创建和管理一个虚拟机来运行它。
容器实例的环境变量如何?
该实例将运行,但需要从Azure SQL数据库中读取的杂志控制器将失败,因为我们没有提供容器希望通过主机的环境变量提供的密码。对于我的图像,右键单击并运行还不够。
在这里我要读很多书,研究和实验,直到我找到解决方案。(请记住,如果我在自己设计的虚拟机上运行这个程序,当您手动调用docker run时,您可以直接将变量传递进来。)
有两种方法可以为容器实例提供环境变量。
一,通过入口,表示不是右键单击图像,您需要首先在Azure中创建一个新的容器实例并指向该映像。此路径允许您在配置中最多分配3个环境变量:
另一种方法是通过azure的powershell命令(new azcontainergroup)或azure cli(az container create)创建/运行实例,并将key-value对作为powershell命令的环境变量参数传递。但是还有一个问题,那就是在Azure密钥库中存储密码,然后从那里读取它,将其传递到您运行容器实例的命令中。
我将从Azure门户的云外壳完成所有这些工作。
我需要的powershell命令是new-azcontainergroup
我需要传递一些参数。我将用自己的值填充斜体值。
新AzContainerGroup`
-资源组名称MyRealScGrand”
-注册信用证myCreds”
-名字ContainerNameToCreateOrUpdate”
-图像myImageURI”
-重新启动策略失败`
-EnvironmentVariablemyStoredVariables”
-公共IP地址类型
提示:注意每行末尾的后引号。这样我就可以把线包起来了。否则,这将是一条长长的队伍。
使用动态变量传递到容器中
我将进行第一次传递,创建一个动态变量以传递给environmentvariable。然后我将向您展示如何使用Azure密钥库
EnvironmentVariable需要一个散列表。
创建一个新的变量(我将称之为envvars,以纪念我学习到的资源),并分配一个键值对:
$envvars=@'db_pw'='eiluj'
另一个棘手的部分是提供访问注册表中映像的凭据。在使用门户创建容器时,我们不必这样做,因为我们已经提供了容器。但现在我需要提供它们。
您需要从存储库中获得用户名和密码:
然后,可以使用PowerShell根据密码创建安全字符串,然后使用该安全字符串和用户名创建PowerShell凭据对象。
$secpasswd = ConvertTo-SecureString "myregistrypassword"-AsplainText-力
$mycred=new object system.management.automation.pscredential(“myRegistryUserName”,secpasswd美元)
现在您可以将凭据传递给注册表凭据
下面是当我使用为凭证和环境变量设置的变量时,命令的外观。
新AzContainerGroup`
-资源组名称MyRealScGrand”
-注册信用证美元债券”
-名字ContainerNameToCreateOrUpdate”
-图像myImageURI”
-重新启动策略失败`
-EnvironmentVariable$EVVARS”
-公共IP地址类型
提示:如果您有多个订阅,确保您指向的是目标资源组所在的正确位置。
提示:在cloud shell中,您可以做的一件很酷的事情是键入DIR来列出您的订阅,然后使用CD进入正确的目录!检出的PowerShell云外壳快速启动详情
。
该命令将返回有关运行实例的一些详细信息,包括它的公共IP地址(您也可以通过浏览门户中的容器实例获得该地址)。我将defawult值控制器留在我的测试API中,因为它们不依赖外部资源来工作。所以我浏览到ipaddress/api/values以查看该控制器的运行情况。在正常情况下,使用EF Core和Azure SQL数据库(位于ipaddress/api/ magazine)的控制器也应该可以工作。
小贴士:如果像我一样,为了体验因果关系,你把数据库搞得一团糟,记住在我的示例代码中,在应用程序启动时迁移数据库。如果将它放在容器中,这意味着何时运行容器实例。如果你运行容器,然后删除数据库,在容器再次旋转之前,您不会再次看到数据库。停止和重新启动具有相同的效果。当然,这只是为了测试一下,不生产!再一次,有件事让我困了一个多小时,直到我有了一个“啊哈”的时刻。
创建一个密钥库并添加我的密码
我试着在https://docs.microsoft.com/en-us/azure/key-vault/quick-create-powershell为了使用PowerShell创建Azure密钥库和一个秘密,powershell命令跳过了一个重要步骤。这是默认访问策略的创建。您可以通过另一个命令添加,或者只是在门户中创建一个新的密钥库。
如果你想进一步挖掘,这里还有另一个资源:https://docs.microsoft.com/en-us/azure/architecture/multitenant-identity/key-vault。
这会得到一个默认的访问策略。
然后我必须编辑策略以启用各种特性。我只是启用了一切,因为它是一个演示!
这只是一种查看功能的方式,但说实话,这些婴儿步不适合做严肃的工作。我会为生产做更多的学习和研究。
提示:您创建的每一个新服务都会从Azure帐户中产生费用。我只是在这里试验和学习,所以使用我的免费学分从我的Visual Studio订阅。
现在我可以在密钥库中添加一个秘密,我正在通过PowerShell在Cloud Shell中完成这个操作。
首先我要加密我的密码,就像我之前创建envvals变量时所做的那样:
$ secDBPW = ConvertTo-SecureString“eiluj”-AsplainText–力
然后我把这个添加到新的钥匙库
设置azkeyvaultsecret-vaultname'portalcreatedvault'-name'dbpw'-secretvalue$secdbpw
然后您可以在门户中看到这个秘密。
既然秘密已经存在,我可以读取它并在创建容器实例时使用它。
$getSecret=(get azkeyvaultsecret-vaultname“portalCreatedvault”-名称“dbpw”).secretvaluetext
我确信我应该利用更多的层,因为现在我回到纯文本的密码,它存储在$GetSecret变量中。但是对于我的实验,这就足够了。
我现在可以重新创建$envvars变量
$ envVars = @ {' DB_PW ' = $ getsecret}
并将其传递到创建容器的命令中。就像我上面做的一样。
我的容器被创建,数据库密码被传递到容器实例中,以便在需要新的数据库连接与数据库交互时使用。
现在我需要好好睡一觉!