いま結構中途半端って話
コンテナにsecretsがあって、それを別の場所から参照(ref)できる。 これはこれで良いんだけど、シークレットをKVに置くというAzureの基本ができない。 Issue見てると、案がいくつか出てる
- App Service のKV Refみたいのを書けるようにする
- Dapr のsecure storageを使えるようにする
- ask のkv csiみたいのを用意する
- エフェメラボリュームでkvを見えるようにする
たぶん、3と4は同じ。
Managed Identityが使えれば、コードで回避することも簡単だけど、それも使えないので。SP作ってゴチャゴチャしないと行けないし、SPのシークレットを渡す必要もあってイマイチ感が凄い。
今のところ、パラメータでKVを渡す方法を使ってお茶を濁すのが良さそう。 とりあえず、やってみたのがこれ
https://github.com/takekazuomi/container-apps-kv01
もう少し自動的にマッピングを作りたいけど、コードが必要そう。時間があったら考える。