Использование агента сборки AzureDevOps для безопасного подключения к базе данных SQL Azure из службы приложений с использованием управляемого удостоверения

Моя борьба связана именно с полной автоматизацией с помощью агента сборки AzureDevOps в конфигурации по умолчанию.

Я пытаюсь использовать управляемую идентификацию службы приложений (https://docs.microsoft.com/en-us/azure/app-service/overview-managed-identity) для доступа к базе данных SQL.

Вся группа ресурсов создается агентом сборки AzureDevOps во время одного развертывания.

Упрощенная версия моих развертываний:


New-AzResourceGroup `
    -Name $Env:RESOURCEGROUP_NAME `
    -Location $Env:AZURE_REGION_COMMON `
    -Force

#Create the functionapp
New-AzResource `
    -ResourceGroupName $Env:RESOURCEGROUP_NAME `
    -location $Env:AZURE_REGION_COMMON `
    -ResourceName $Env:APPFUNCTIONS_NAME_SAFE `
    -Kind 'functionapp' `
    -ResourceType 'Microsoft.Web/Sites' `
    -Properties @{} `
    -Force

#Apply the Managed Service Identity
Set-AzWebApp `
    -ResourceGroupName $Env:RESOURCEGROUP_NAME `
    -Name $Env:APPFUNCTIONS_NAME_SAFE `
    -AssignIdentity $true

# Create Sql Server

New-AzSqlServer `
    -ResourceGroupName $Env:RESOURCEGROUP_NAME `
    -location $Env:AZURE_REGION_COMMON `
    -ServerName $Env:SQLSERVER_NAME_SAFE `
    -ServerVersion $Env:SQLSERVER_VERSION `
    -SqlAdministratorCredentials (New-Object `
        -TypeName System.Management.Automation.PSCredential `
        -ArgumentList $Env:SQLSERVER_ADMIN_USERNAME, (ConvertTo-SecureString -String $Env:SQLSERVER_ADMIN_PASSWORD -AsPlainText -Force)) `
    -AssignIdentity

#Update Sql Server Firewall Rules for Azure
New-AzSqlServerFirewallRule `
    -ResourceGroupName $Env:RESOURCEGROUP_NAME `
    -ServerName $Env:SQLSERVER_NAME_SAFE `
    -AllowAllAzureIPs

#Update Sql Server Firewall Rules for non-Azure build machine
$ip = Invoke-RestMethod http://ipinfo.io/json | Select -exp ip
New-AzSqlServerFirewallRule `
    -ResourceGroupName $Env:RESOURCEGROUP_NAME `
    -ServerName $Env:SQLSERVER_NAME_SAFE `
    -FirewallRuleName "BuildMachine" `
    -StartIpAddress $ip `
    -EndIpAddress $ip

#Create Sql Database
New-AzSqlDatabase `
    -ResourceGroupName $Env:RESOURCEGROUP_NAME `
    -ServerName $Env:SQLSERVER_NAME_SAFE `
    -DatabaseName $Env:SQLSERVER_DATABASE_NAME

В этот момент; Я не нахожу ни одной оболочки PowerShell, которую агент сборки может запустить для предоставления разрешений базы данных для удостоверения.

Я нахожу ссылки, предлагающие запустить что-то подобное в базе данных

CREATE USER [$Env:APPFUNCTIONS_NAME_SAFE] FROM EXTERNAL PROVIDER
ALTER ROLE db_datareader ADD MEMBER [$Env:APPFUNCTIONS_NAME_SAFE]
ALTER ROLE db_datawriter ADD MEMBER [$Env:APPFUNCTIONS_NAME_SAFE]

На этом я безуспешно сосредоточил свои усилия.

Когда я вхожу в базу данных как администратор БД (см. SqlAdministratorCredentials выше), я получаю следующее исключение Exception calling "ExecuteNonQuery" with "0" argument(s): "Principal '<value of Env:$APPFUNCTIONS_NAME_SAFE>' could not be created. Only connections established with Active Directory accounts can create other Active Directory users.

Чтобы обойти это, я вручную добавил группу AAD, соединение службы azure DevOps к этой группе. Это позволяет агенту сборки аутентифицироваться через AAD на сервере Sql.

При повторном развертывании получаю System.Management.Automation.MethodInvocationException: Exception calling "Open" with "0" argument(s): "One or more errors occurred." ---> System.AggregateException: One or more errors occurred. ---> System.AggregateException: One or more errors occurred. ---> AdalException: No mapping between account names and security IDs was done.

Это подводит меня к - Как мне автоматизировать аутентификацию идентификатора AppService в базе данных Sql?

использованная литература

Вот как я выполняю SQL как агент сборки

function Get-SqlServer{
    Get-AzSqlServer `
        -ResourceGroupName $Env:RESOURCEGROUP_NAME `
        -ServerName $Env:SQLSERVER_NAME_SAFE `
        -ErrorAction Ignore
}

function Add-User-Sql($database, $sql){

    $server = "tcp:$((Get-SqlServer).FullyQualifiedDomainName),1433"
    $adminName = $Env:SQLSERVER_ADMIN_USERNAME
    $adminPassword = $Env:SQLSERVER_ADMIN_PASSWORD

    $connectionString = "Server=$server;Database=$database;User ID=$adminName;Password=$adminPassword;Encrypt=True;TrustServerCertificate=False;Connection Timeout=30;"
    #$connectionString = "Data Source=$server; Authentication=Active Directory Integrated; Initial Catalog=$database;";
    $connection = New-Object -TypeName System.Data.SqlClient.SqlConnection($connectionString)

    $command = New-Object -TypeName System.Data.SqlClient.SqlCommand($sql, $connection)
    Write-Host "Add User [database=$database] on SqlServer [$Env:SQLSERVER_NAME_SAFE]"
    Write-Host $sql
    $connection.Open()
    $command.ExecuteNonQuery()
    $connection.Close()
}

Сценарий очистки

Remove-AzResourceGroup `
    -Name $Env:RESOURCEGROUP_NAME `
    -Force

azure-devops azure-web-app-service azure-powershell azure-sql-server
person QuinnG    schedule 07.06.2019    source источник

Ответы (1)


arrow_upward
0
arrow_downward

Возможно, мне что-то не хватает, но, учитывая ваше объяснение и AFAIK, последнюю ошибку («Сопоставление между именами учетных записей и идентификаторами безопасности не было выполнено») в потоке, за которым вы следуете, было бы потому, что члены роли недействительны или устарели каким-то образом.

А что касается вашего вопроса о способе автоматизации аутентификации идентификатора AppService в базе данных Sql, попробуйте команду, указанную в этот документ, если вы еще этого не сделали.

Другие ссылки, относящиеся к этой теме:

Использование базы данных SQL Azure из службы приложений с управляемым Идентификация (без изменений кода) /

Защита Базы данных SQL Azure с управляемыми удостоверениями стали еще проще

Надеюсь, эта информация поможет вам в качестве указателя !! Ваше здоровье!!

person KrishnaG-MSFT    schedule 11.06.2019