問題描述

App Serive上的應(yīng)用配置了系統(tǒng)標(biāo)識(System Identity)，通過系統(tǒng)標(biāo)識獲取到訪問Key Vault資源的Access Token。但這次確遇見了無法獲取到正常的Access Token。

image.png

驗證問題

1：查看App Service的門戶中是否啟用了系統(tǒng)標(biāo)識

image.png

2：進入App Service的Kudu站點，查看Environment參數(shù)中

IDENTITY_ENDPOINT = http://127.0.0.1:xxxxx/msi/token/

IDENTITY_HEADER = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

image.png

3：在Kudu站點，通過curl資料，訪問IDENTITY_ENDPOINT ，并驗證是否可以正常訪問

curl -H "X-IDENTITY-HEADER: xxxxxxxxxxxxxxxxxxxxxxxxxxxx" -H "Content-Type: application/json" "http://127.0.0.1:41660/msi/token?resource=https://vault.azure.cn&api-version=2019-08-01"

image.png

如果想查看具體的Access Token信息，就可以使用 -o 參數(shù)，把請求響應(yīng)的內(nèi)容輸出到文件中。

如：

image.png

如果第三步中，無法成功獲取到Token信息，則需要收集錯誤信息，然后尋求App Service產(chǎn)品團隊支持。

參考資料

How to use managed identities for App Service and Azure Functions ： https://learn.microsoft.com/en-us/azure/app-service/overview-managed-identity?tabs=portal%2Chttp

curl --help

image.png

當(dāng)在復(fù)雜的環(huán)境中面臨問題，格物之道需：濁而靜之徐清，安以動之徐生。 云中，恰是如此!