Felügyelt alkalmazás létrehozása Blob-kivonatok tárolására

Cikk
01/08/2025

Előfeltételek

Azure Storage-fiók
Azure CLI (nem kötelező)
Python-verzió, amelyet az Azure SDK for Python támogat (nem kötelező)

Áttekintés

A bizalmas főkönyv által felügyelt Blob Storage-kivonat alkalmazással garantálható, hogy a blobtárolóban lévő blobok megbízhatók és ne illetéktelenek legyenek. Az alkalmazás, miután csatlakozott egy tárfiókhoz, valós időben nyomon követi a tárfiók minden tárolójához hozzáadott összes blobot a kivonatok kiszámítása és tárolása mellett az Azure Confidential Ledgerben. A blobok érvényességének ellenőrzése és annak biztosítása érdekében, hogy a blobtárolót ne illetéktelenek módosíthassák, bármikor elvégezheti az auditokat.

A felügyelt alkalmazás üzembe helyezése

A felügyelt alkalmazás az Azure Marketplace-en található: Blob Storage Digests Backed by Confidential Ledger (előzetes verzió).

Létrehozandó erőforrások

A szükséges mezők kitöltése és az alkalmazás üzembe helyezése után a következő erőforrások jönnek létre egy felügyelt erőforráscsoportban:

Bizalmas főkönyv
Service Bus-üzenetsor engedélyezett munkamenetekkel
Tárfiók (a Publisher tulajdonában lévő tárfiók, amely a kivonatolási logika és a naplózási előzmények tárolására szolgál)
Függvényalkalmazás
Application Insights

Tárfiók csatlakoztatása a felügyelt alkalmazáshoz

Miután létrehozott egy felügyelt alkalmazást, csatlakoztathatja a felügyelt alkalmazást a tárfiókhoz, hogy megkezdhesse a Blob Container-kivonatok feldolgozását és rögzítését az Azure Confidential Ledgerbe.

Témakör- és esemény-előfizetés létrehozása a tárfiókhoz

A felügyelt alkalmazás egy Azure Service Bus-üzenetsor használatával nyomon követi és rögzíti az összes Blob-létrehozási és -törlési blobeseményt . A felügyelt alkalmazás által a felügyelt erőforráscsoportban létrehozott üzenetsort fogja használni, és esemény-előfizetőként fogja hozzáadni minden olyan tárfiókhoz, amelyhez blobokat hoz létre. Emellett győződjön meg arról, hogy a System Topic Name nyomon követett tárfiókhoz társított fiók hozzá van rendelve a Azure Service Bus Data Sender felügyelt alkalmazás által létrehozott Azure Service Bus-üzenetsorhoz.

Azure Portalra
Parancssori felület

Az Azure Portalon keresse meg azt a tárfiókot, amely számára blobemésztőket szeretne létrehozni, és lépjen a Events panelre. Itt létrehozhat egy esemény-előfizetést, és csatlakoztathatja az Azure Service Bus-üzenetsorvégponthoz. Ügyeljen arra, hogy megjelölje a Managed identity type következőt: System Assigned.

Az üzenetsor munkameneteket használ a több tárfiók közötti rendezés fenntartásához, ezért a Delivery Properties lapra kell lépnie, és meg kell adnia egy egyedi munkamenet-azonosítót ehhez az esemény-előfizetéshez.

Az eseménytéma létrehozása:

az eventgrid system-topic create \
  --resource-group {resource_group} \
  --name {sample_topic_name} \
  --location {location} \
  --topic-type microsoft.storage.storageaccounts \
  --source /subscriptions/{subscription}/resourceGroups/{resource_group}/providers/Microsoft.Storage/storageAccounts/{storage_account_name} \
  --identity SystemAssigned

resource-group – Erőforráscsoport, ahol a témakört létre kell hozni

name - Létrehozandó témakör neve

location – A létrehozandó témakör helye

source – Tárfiók erőforrás-azonosítója a témakör létrehozásához

Az esemény-előfizetés létrehozása:

az eventgrid system-topic event-subscription create \
--name {sample_subscription_name} \
--system-topic-name {sample_topic_name} \
--resource-group {resource_group} \
--event-delivery-schema EventGridSchema \
--included-event-types Microsoft.Storage.BlobCreated \
--delivery-attribute-mapping sessionId static {sample_session_id} false \
--endpoint-type servicebusqueue \
--endpoint /subscriptions/{subscription}/resourceGroups/{managed_resource_group}/providers/Microsoft.ServiceBus/namespaces/{service_bus_namespace}/queues/{service_bus_queue}

name - Létrehozandó előfizetés neve

system-topic-name - Annak a témakörnek a neve, amelyhez az előfizetés létrejön (meg kell egyeznie az újonnan létrehozott témakörével)

resource-group – Az előfizetés létrehozásának helye szerinti erőforráscsoport

delivery-attribute-mapping - Megfeleltetés a szükséges sessionId mezőhöz. Adjon meg egy egyedi munkamenet-azonosítót

endpoint – A tárfiók témakörére feliratkozó service bus-üzenetsor erőforrás-azonosítója

Szükséges szerepkör hozzáadása tárfiókhoz

A felügyelt alkalmazás megköveteli, hogy a Storage Blob Data Owner szerepkör minden blobhoz olvasson és hozzon létre kivonatokat, és ezt a szerepkört hozzá kell adni a kivonat helyes kiszámításához.

Azure Portalra
Parancssori felület

az role assignment create \
--role "Storage Blob Data Owner" \
--assignee-object-id {function_oid} \
--assignee-principal-type ServicePrincipal\
--scope /subscriptions/{subscription}/resourceGroups/{resource_group}/providers/Microsoft.Storage/storageAccounts/{storage_account_name}

assignee-object-id - A felügyelt alkalmazással létrehozott Azure-függvény OID-címe. Az "Identitás" panelen található

scope – Tárfiók erőforrás-azonosítója a szerepkör létrehozásához

Feljegyzés

Több tárfiók is csatlakoztatható egyetlen felügyelt alkalmazáspéldányhoz. Jelenleg legfeljebb 10 olyan tárfiókot ajánlunk, amelyek magas kihasználtságú blobtárolókat tartalmaznak.

Blobok és kivonatok létrehozása

Ha a tárfiók megfelelően csatlakozik a felügyelt alkalmazáshoz, a blobok elkezdhetők hozzáadni a tárfiókon belüli tárolókhoz. A blobok valós időben lesznek nyomon követve, és a kivonatok kiszámítása és tárolása az Azure Confidential Ledgerben történik.

Tranzakciós és blokktáblák

Minden bloblétrehozási esemény nyomon követhető a felügyelt alkalmazásban tárolt belső táblákban.

A tranzakciós tábla az egyes blobokról tartalmaz információkat, valamint egy egyedi kivonatot, amely a blob metaadatainak és/ vagy tartalmának kombinációjával jön létre.

A blokktábla a blobtárolóhoz létrehozott összes kivonattal kapcsolatos információkat tartalmazza, és a kivonathoz társított tranzakcióazonosítót az Azure Confidential Ledger tárolja.

Kivonatoló beállítások

A felügyelt alkalmazás létrehozásakor néhány kivonatoló beállítás választható. Kiválaszthatja a Hashing Algorithm kivonatok létrehozásához használt elemet, legyen az MD5 vagy SHA256. Az egyes kivonatokban vagy a kivonatokban található blobok számát is kiválaszthatja Digest Size. A kivonatolási méret az egyes blokkokon belül kivonatolt blobok számától és számától 1-16 függ. Végül kiválaszthatja az Hash Contents egyes kivonatok létrehozásakor a kivonatot és a kivonatolást. Ez lehet az File Contents + Metadata egyes blobok vagy csak a File Contents.

Kivonat megtekintése az Azure Confidential Ledgerben

A közvetlenül az Azure Confidential Ledgerben tárolt kivonatokat a Ledger Explorer panelre lépve tekintheti meg.

Naplózás végrehajtása

Ha ellenőrizni szeretné a tárolóhoz hozzáadott blobok érvényességét annak érdekében, hogy ne illetéktelenek legyenek, a naplózás bármikor futtatható. Az audit minden bloblétrehozási eseményt visszajátsz, és újraszámítja a kivonatokat a tárolóban az audit során tárolt blobokkal. Ezután összehasonlítja az újraszámított kivonatokat az Azure Confidentialben tárolt kivonatokkal, és egy jelentést biztosít, amely megjeleníti az összes kivonat összehasonlítását, valamint azt, hogy a blobtároló illetéktelenül van-e módosítva.

Naplózás aktiválása

A naplózás a következő üzenetnek a felügyelt alkalmazáshoz társított Service Bus-üzenetsorba való beírásával indítható el:

{
    "eventType": "PerformAudit",
    "storageAccount": "<storage_account_name>",
    "blobContainer": "<blob_container_name>"
}

Azure Portalra
Python SDK

Ügyeljen arra, hogy egy üzenetsort is tartalmazzon Session ID , mivel az üzenetsoron engedélyezve vannak a munkamenetek.

import json
import uuid
from azure.servicebus import ServiceBusClient, ServiceBusMessage

SERVICE_BUS_CONNECTION_STR = "<service_bus_connection_string>"
QUEUE_NAME = "<service_bus_queue_name>"
STORAGE_ACCOUNT_NAME = "<storage_account_name>"
BLOB_CONTAINER_NAME = "<blob_container_name>"
SESSION_ID = str(uuid.uuid4())

servicebus_client = ServiceBusClient.from_connection_string(conn_str=SERVICE_BUS_CONNECTION_STR, logging_enable=True)
sender = servicebus_client.get_queue_sender(queue_name=QUEUE_NAME)

message = {
    "eventType": "PerformAudit",
    "storageAccount": STORAGE_ACCOUNT_NAME,
    "blobContainer": BLOB_CONTAINER_NAME
}

message = ServiceBusMessage(json.dumps(message), session_id=SESSION_ID)
sender.send_messages(message)

Auditeredmények megtekintése

A naplózás sikeres végrehajtása után a naplózás eredménye egy, a megfelelő tárfiókban található tárolóban <managed-application-name>-audit-records található. Az eredmények tartalmazzák az újraszámított kivonatot, az Azure Confidential Ledgerből lekért kivonatot, valamint azt, hogy a blobok illetéktelenül lettek-e módosítva.

A felügyelt alkalmazás létrehozásakor, ha az e-mail-riasztásokat választja, egy e-mailt fog kapni az e-mail-címére Audit Failure a kiválasztott beállítástól függően.Audit Success and Failure

Naplózás és hibák

A hibanaplók a megfelelő tárfiókban található tárolóban <managed-application-name>-error-logs találhatók. Ha egy bloblétrehozás vagy naplózási folyamat meghiúsul, a rendszer rögzíti és tárolja a hiba okát ebben a tárolóban. Ha kérdése van a hibanaplókkal vagy az alkalmazás működésével kapcsolatban, forduljon az Azure Confidential Ledger támogatási csapatához a felügyelt alkalmazás részletei között.

Felügyelt alkalmazás eltávolítása

Törölheti a felügyelt alkalmazást az összes társított erőforrás törléséhez és eltávolításához. A felügyelt alkalmazás törlése megakadályozza az összes blobtranzakció nyomon követését és az összes kivonat létrehozását. A naplózási jelentések érvényesek maradnak a törlés előtt hozzáadott blobokra.

További erőforrások

A felügyelt alkalmazásokkal és az üzembe helyezett erőforrásokkal kapcsolatos további információkért tekintse meg az alábbi hivatkozásokat:

Következő lépések

A Microsoft Azure bizalmas főkönyvének áttekintése

Megosztás a következőn keresztül: