Kihagyás

13

12. Modul: Azure Key Vault (A Titkok Kamrája)

1. Lépés: A Key Vault létrehozása

  1. A sima Key vaults oldalon kattints a + Create gombra.
  2. A Basics fülön állítsd be ezeket:
    • Resource group: rg-azure-training
    • Key vault name: Szokás szerint egyedi név kell (pl. kv-training-mate-123).
    • Region: Használhatod az eddigieket.
    • Pricing tier: Hagyd a Standard opción (ez a lényeg, ez szinte ingyen van).
  3. Kattints a Next: Access configuration fülre.
    • (Fontos apróság: Az Azure ma már alapértelmezetten az "Azure role-based access control (RBAC)" módszert használja. Ezt hagyhatod így, de majd mindjárt adunk magunknak jogot, hogy bele is nézhessünk a széfbe).
  4. Kattints a Review + create, majd a Create gombra.

2. Lépés: Jogosultság adása önmagunknak (RBAC)

Mivel a széf annyira biztonságos, alapból még te magad (a létrehozó) sem láthatod a benne lévő titkokat, amíg nem adsz rá kifejezett engedélyt! 1. Ha létrejött, kattints a Go to resource gombra. 2. A bal oldali menüben kattints az Access control (IAM) menüpontra. 3. Felül kattints a + Add -> Add role assignment gombra. 4. A listából keresd ki és válaszd a Key Vault Secrets Officer (Key Vault-titkok tisztviselője) szerepkört, majd Next. 5. A Members fülön kattints a + Select members-re, keresd meg a saját e-mail címedet/nevedet, válaszd ki, majd alul Select. 6. Kattints a Review + assign gombra kétszer.

3. Lépés: Az OpenAI API kulcs eltárolása (A Titok)

  1. A Key Vault bal oldali menüjében (az Objects alatt) kattints a Secrets (Titkok) menüpontra.
  2. Kattints a felül lévő + Generate/Import gombra.
  3. Töltsd ki az űrlapot:
    • Name: OpenAI-ApiKey (Szóköz nem lehet benne).
    • Value: Ide másold be a korábban kapott OpenAI API kulcsodat (vagy csak gépelj be egy teszt szöveget, pl. SzuperTitkosKulcs123).
  4. Kattints a Create gombra.

Kész is! A titok most már biztonságban csücsül a Microsoft egyik legvédettebb szolgáltatásában.

Hogyan használja ezt a Kubernetes (AKS)?

Sosem írjuk be a jelszót a K8s Deployment YAML fájlba! Ehelyett a folyamat így néz ki a valóságban (ezt most csak elméletben mondom, hogy lásd a "nagy képet"):

  1. Gépi identitás: Az AKS clustered kap egy saját "személyi igazolványt" (Managed Identity) az Azure-tól.
  2. Jogosultság: A Key Vaultban (pont, ahogy az előbb magadnak) adsz egy Key Vault Secrets User (Olvasó) jogot az AKS gépi identitásának.
  3. A varázslat (CSI Driver): Telepítesz a Kubernetesre egy apró kiegészítőt (úgy hívják: Secrets Store CSI Driver).
  4. A YAML fájl módosítása: A podod konfigurációjában megmondod, hogy "Hé K8s, csatlakozz a kv-training-mate-123 nevű széfhez, hozd el az OpenAI-ApiKey nevű titkot, és tedd be a podom fájlrendszerébe vagy környezeti változójába (Environment Variable)".

Amikor a Pod elindul, a K8s a háttérben az Azure biztonságos hálózatán odaszól a Key Vaultnak, hitelesíti magát (jelszó nélkül, certifikátokkal), letölti a kulcsot, és odaadja a kódodnak. Ha a kulcs a széfben megváltozik, a Podod automatikusan a legfrissebbet kapja meg a következő induláskor. Így zárul be a biztonsági kör!