📌 Giải đề DRAG DROP: Cấu hình Azure Functions với Azure Key Vault và Managed Identity
1. Phân tích đề bài
Bạn đang triển khai một serverless Java application trên Azure với Azure Functions và cần tích hợp Azure Key Vault để quản lý secrets.
📌 Yêu cầu quan trọng:
✅ Tham chiếu Azure Key Vault mà không cần thay đổi mã Java → Dùng Managed Identity để xác thực.
✅ Tự động scale Azure Functions dựa trên sự kiện → Dùng Premium Plan (EPx Series).
✅ Đảm bảo không có Cold Starts → Chỉ có Premium Plan hỗ trợ Always Ready Instances.
✅ Kết nối với VNet → Consumption Plan không hỗ trợ VNet Integration.
✅ Managed Identity phải bị xóa khi Azure Function bị xóa → System-assigned Managed Identity.
Mục tiêu: Cấu hình Azure Functions để có quyền truy cập vào Azure Key Vault theo đúng thứ tự.
2. Các bước triển khai đúng
1️⃣ Tạo Azure Functions với Premium Plan
az functionapp create --name myFunctionApp --storage-account mystorage --consumption-plan-location eastus --resource-group myResourceGroup --plan myPremiumPlan
✅ Chọn Premium Plan vì:
- Hỗ trợ Always Ready Instances (tránh cold starts).
- Hỗ trợ VNet Integration.
- Hỗ trợ Auto-scaling.
- Cho phép Managed Identity để truy cập Azure Key Vault.
2️⃣ Tạo System-assigned Managed Identity cho Azure Functions
az functionapp identity assign --name myFunctionApp --resource-group myResourceGroup
✅ Dùng System-assigned Managed Identity vì:
- Identity bị xóa khi Function App bị xóa (đáp ứng yêu cầu).
- Dễ dàng cấp quyền truy cập Key Vault mà không cần thay đổi mã Java.
3️⃣ Cấp quyền truy cập Azure Key Vault cho Managed Identity
az keyvault set-policy --name myKeyVault --object-id <IDENTITY_ID> --secret-permissions get list
✅ Tạo Access Policy trong Azure Key Vault vì:
- Managed Identity cần quyền “get” và “list” để truy xuất secrets từ Key Vault.
3. Đáp án chính xác
| Thứ tự | Hành động |
|---|---|
| 1️⃣ | Create the Azure Functions app with a Premium plan type. |
| 2️⃣ | Create a system-assigned managed identity for the application. |
| 3️⃣ | Create an access policy in Azure Key Vault for the application identity. |
4. Tại sao không chọn các đáp án khác?
| Hành động | Lý do không chọn |
|---|---|
Create a user-assigned managed identity for the application. | ❌ Không phù hợp vì User-assigned Managed Identity không bị xóa khi Function bị xóa, trái với yêu cầu đề bài. |
Create an SSL certificate in Azure Key Vault for the application identity. | ❌ Không cần thiết trong trường hợp này, vì đề bài yêu cầu quyền truy cập secrets chứ không phải chứng chỉ SSL. |
Create the Azure Functions app with an App Service plan type. | ❌ App Service Plan không phù hợp vì nó không hỗ trợ auto-scaling dựa trên sự kiện và có thể gây cold start. |
Create the Azure Functions app with a Consumption plan type. | ❌ Consumption Plan không hỗ trợ Always Ready Instances hoặc VNet Integration, không đáp ứng yêu cầu. |
5. Kết luận
✅ Thứ tự đúng để triển khai Azure Functions với Azure Key Vault:
- Tạo Azure Functions với Premium Plan (
az functionapp create). - Tạo System-assigned Managed Identity (
az functionapp identity assign). - Cấp quyền truy cập Key Vault (
az keyvault set-policy).
🔥 Đây là cách tối ưu nhất để triển khai Azure Functions với Key Vault theo yêu cầu đề bài! 🚀
