Блог

Главная - Вопросы по программированию - Расширение Keyvault для VMSS

Расширение Keyvault для VMSS

#arm #azure-keyvault #azure-vm-scale-set

#arm #azure-keyvault #azure-набор виртуальных машин в масштабе

Вопрос:

Я нашел эту документацию https://devblogs.microsoft.com/aspnet/announcing-an-easier-way-to-use-latest-certificates-from-key-vault/ и некоторые другие ссылки на ARM для добавления расширения Keyvault в VMSS, чтобы обеспечить автоматическую ротацию сертификата. Но, когда я пытаюсь выполнить развертывание, время ожидания расширения просто истекает, не выдавая никакого полезного сообщения об ошибке. Для того, чтобы это работало, существуют ли какие-либо ограничения, например, хранилище ключей и виртуальные машины должны находиться в одной группе ресурсов?? Кто-нибудь знает, что может быть не так с моим шаблоном.

Вот мое расширение: 

 { 
   "name": "KeyVaultForWindows", 
   "location": "[variables('location')]", 
   "properties": { "publisher": "Microsoft.Azure.KeyVault", 
   "type": "KeyVaultForWindows", "typeHandlerVersion": "0.0", 
   "autoUpgradeMinorVersion": true, 
   "settings": 
   { 
      "secretsManagementSettings": { 
          "pollingIntervalInS": "60", 
          "requireInitialSync": true, 
          "certificateStoreName": "MY", 
          "certificateStoreLocation": "LocalMachine", 
          "observedCertificates": ["https:///secrets/"] }
       } 
    }
}```

Комментарии:

1. Вы случайно не используете это расширение с Service Fabric? Вы можете найти журналы расширений в этом каталоге: C:WindowsAzureLogsPluginsMicrosoft . Azure. KeyVault.Edp.KeyVaultForWindows…

2. Спасибо за ваш ответ. Это не сервисная структура. Я использую aks-engine для создания кластера kubernetes, это расширение предназначено для виртуальных экземпляров VMSS. Посмотрим на журналы в этом расположении один раз.

3. Привет, Рич, можем ли мы добавить accesspolicy к keyvault, который находится в другой группе ресурсов?

4. Расширение виртуальной машины может получить доступ к любому хранилищу, независимо от региона, группы ресурсов …, при условии, что политика доступа к этому хранилищу предоставляет разрешение на идентификатор MSI, который использует расширение.

5. Я вижу, что это работает, когда я добавляю политику доступа к keyvault в той же группе ресурсов, она работает, как ожидалось. Но когда я пытаюсь сделать это для keyvault в другой группе ресурсов, он не может найти keyvault, и когда мы явно указываем идентификатор ресурса keyvualt accesspolicy, он терпит неудачу, говоря, что он ожидает идентификатор ресурса с именем текущей группы ресурсов