Azure - 在 Java Spring Boot 中使用用户管理身份访问 Key Vault : Error Details: ManagedIdentityCredential authentication unavailable?-6ren

Azure - 在 Java Spring Boot 中使用用户管理身份访问 Key Vault : Error Details: ManagedIdentityCredential authentication unavailable?

转载作者：行者123 更新时间：2023-12-02 06:05:31

我有一个 Java Spring boot 应用程序，它仅从 Azure Key Vault 读取 secret ，以下是使用的步骤

创建了应用程序注册

复制了应用注册详细信息

生成的 secret

已授予 Azure Key Vault 访问权限

下面是我的 Java Spring Boot 应用程序

pom.xml

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>
    <parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>2.3.6.RELEASE</version>
        <relativePath/> <!-- lookup parent from repository -->
    </parent>
    <groupId>com.contoso</groupId>
    <artifactId>keyvault</artifactId>
    <version>0.0.1-SNAPSHOT</version>
    <name>keyvault</name>
    <description>Demo project for Spring Boot</description>

    <properties>
        <java.version>11</java.version>
        <azure.version>2.3.5</azure.version>
    </properties>

    <dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>
        <dependency>
            <groupId>com.microsoft.azure</groupId>
            <artifactId>azure-keyvault-secrets-spring-boot-starter</artifactId>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
            <exclusions>
                <exclusion>
                    <groupId>org.junit.vintage</groupId>
                    <artifactId>junit-vintage-engine</artifactId>
                </exclusion>
            </exclusions>
        </dependency>
    </dependencies>

    <dependencyManagement>
        <dependencies>
            <dependency>
                <groupId>com.microsoft.azure</groupId>
                <artifactId>azure-spring-boot-bom</artifactId>
                <version>${azure.version}</version>
                <type>pom</type>
                <scope>import</scope>
            </dependency>
        </dependencies>
    </dependencyManagement>

    <build>
        <plugins>
            <plugin>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-maven-plugin</artifactId>
            </plugin>
        </plugins>
    </build>

</project>

application.properties

azure.keyvault.client-id=7a111923-xxxxxxxx-xxxxxx-31be31d233dd
azure.keyvault.client-key=gt_~k02yF_xxxxxx_vn3r1.GW
azure.keyvault.enabled=true
azure.keyvault.tenant-id=9cef136a-xxxx-xxxx-b7d3-d9d8a5a84182
azure.keyvault.uri=https://contosokvxxx.vault.azure.net/

KeyvaultApplication.java

package com.example.demo;

import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RestController;
import org.springframework.beans.factory.annotation.Value;

@SpringBootApplication
@RestController
public class KeyvaultApplication {

   public static void main(String[] args) {
     SpringApplication.run(KeyvaultApplication.class, args);
   }

  @GetMapping("get")
  public String get() {
    return connectionString;
  }

  @Value("${connectionString}")
  private String connectionString;

  public void run(String... varl) throws Exception {
    System.out.println(String.format("\nConnection String stored in Azure Key Vault:\n%s\n",connectionString));
  }  

}

它有效，我可以从 Azure Key Vault 读取 secret

因此决定从 application.properties 中删除 secret 并评论如下

#azure.keyvault.client-id=7a111923-1xxxxxxxx-31be31d233dd
#azure.keyvault.client-key=gt_~k02yF_xxxxxxxx-Hr6vn3r1.GW
azure.keyvault.enabled=true
#azure.keyvault.tenant-id=9cef136axxxxxxx-3-d9d8a5a84182
azure.keyvault.uri=https://contosokvxxx.vault.azure.net/

并使用 setx 添加了一个环境变量，如下所示

setx AzureServicesAuthConnectionString "RunAs=App;AppId=bb01c08b-xxxxxxxx-106;TenantId=9cef1-xxxxxxx-d9d8a5a84182;AppKey=xxxxxxxx-4Dpg-E3zrj~"

项目编译没有任何问题

>mvn clean compile package

但运行失败

>mvn spring-boot:run

错误:

11:40:27.334 [main] ERROR org.springframework.boot.SpringApplication - Application run failed
java.lang.IllegalStateException: Failed to configure KeyVault property source
        at com.microsoft.azure.keyvault.spring.KeyVaultEnvironmentPostProcessorHelper.addKeyVaultPropertySource(KeyVaultEnvironmentPostProcessorHelper.java:110)
        at com.microsoft.azure.keyvault.spring.KeyVaultEnvironmentPostProcessor.postProcessEnvironment(KeyVaultEnvironmentPostProcessor.java:47)

Caused by: java.lang.RuntimeException: Max retries 3 times exceeded. Error Details: ManagedIdentityCredential authentication unavailable. Connection to IMDS endpoint cannot be established, Network is unreachable: no further information.
        at com.azure.core.http.policy.RetryPolicy.lambda$attemptAsync$1(RetryPolicy.java:116)
        at reactor.core.publisher.FluxOnErrorResume$ResumeSubscriber.onError(FluxOnErrorResume.java:88)

最佳答案

Error Details: ManagedIdentityCredential authentication unavailable. Connection to IMDS endpoint cannot be established, Network is unreachable: no further information.

该错误意味着您无法连接到 Azure 实例元数据服务端点，它是一个可通过众所周知的不可路由 IP 地址 (169.254.169.254)、MSI 访问的 REST 端点使用它来获取 token ，它只能从 Azure 服务内访问，例如Web应用程序、VM等。简单地说，您不能在本地使用MSI(托管身份)。

要使用 MSI 从 azure keyvault 获取 secret ，请按照 this 操作要将应用程序部署到 Azure Web 应用，请启用系统分配的标识或用户分配的标识，然后从 application.properties 中删除 azure.keyvault.client-key，将azure.keyvault.client-id更改为MSI的客户端id，将其添加到keyvault的访问策略中，详细信息如下this .

azure.keyvault.client-id=56rqs994-0o66-43o3-9roo-8e3534d0cb23
azure.keyvault.enabled=true
azure.keyvault.tenant-id=72s988os-86s1-41ns-91ab-2q7pq011qo47
azure.keyvault.uri=https://contosokv.vault.azure.net/

引用 - Tutorial: Reading a secret from Azure Key Vault in a Spring Boot application

关于Azure - 在 Java Spring Boot 中使用用户管理身份访问 Key Vault : Error Details: ManagedIdentityCredential authentication unavailable?，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/64887983/

文章推荐： reactjs - 部署成功仍会进入默认页面

文章推荐： azure - `docker-compose up` 与 `docker compose up` 与环境变量

java - Http session 管理/替代 session 管理(Java 中)
我会尽可能地解释我正在做的事情，以获得最好的可能的建议/解决方案。这一切都是在 java 中完成的。我的客户有一个基于 SWING 的桌面应用程序，它将使用 WebStart 加载。我被指派为用户帐
azure-api-management - 使用 Azure CLI 管理 API 管理 (APIM) 用户、产品、证书、API
看来这个page包含 Azure CLI 支持的与 Azure API 管理相关的所有功能。但它没有展示如何使用 Azure CLI 管理用户、产品、证书、订阅和 API 等实体。 Azure CLI
Hadoop 管理
我设置了一个 Hadoop 1.2.x 版本，双节点集群。第一节点(NameNode、Jobtracker)和第二节点(Secondary NameNode、Datanode、TaskTracker)
MySQL 管理
对于内容驱动的网站，设计好坏的关键是关系型数据库。在这个教程中，我们已经使用了MySQL关系型数据库管理系统(RDBMS)建立了我们的数据库。对于网站的开发者来说，MySQL是一个较受欢迎的选择，这
06、MariaDB 管理
在尝试运行MariaDB之前，首先确定其当前状态，运行或关闭。有三个选项用于启动和停止MariaDB – 运行mysqld（MariaDB脚本）。运行mysqld_safe启动脚本。
具有同一模型的多个内联的 Django 管理
我在管理界面中遇到 StackedInlines 前缀的问题。我会尝试发布所有必要的代码。 models.py(简要) ##### Base classes class BaseItem(models
提升 session 管理
我是新来的。到目前为止，我一直在使用 MVC 模型并使用基本的 session 管理模型，即在 session 中存储一个 token 并检查每个请求。我正在尝试对lift做同样的事情，但我的 se
NHibernate session 管理
我在 win 服务中使用 NHiberante。有时我得到 System.ObjectDisposedException: Session is closed! Object name: 'ISess
HtmlUnit session 管理
我正在尝试使用 HtmlUnit 登录 Facebook 页面并查看其 HTML 内容。我正在尝试通过 HtmlUnit 填写登录凭据，但在单击提交按钮时我没有看到正在执行的 session 。在
javascript - 管理/后端和前端作为一个项目或单独的项目
我正在为一个相当大的项目开发一个带有 reactjs 的前端，该项目有两个主要接口(interface)。主站点的前端和管理员的前端。我应该将它们开发为两个不同的项目还是 reactjs 中的一个项
c# - 动态装配解析/管理
短版我有一个使用插件基础结构的应用程序。插件具有可配置的属性，可帮助它们了解如何完成工作。插件按配置文件分组以定义如何完成任务，配置文件存储在由 DataContractSerializer 序列化
iPhone session 管理
如何管理 iPhone 应用程序中的用户 session ？我在应用程序的第一页上从用户那里获取了用户名和密码。用户可以随时注销。如何像其他 Web 应用程序一样在 iPhone 应用程序中存储 se
Azure API 管理
我正在使用 Azure API 管理，其中包含第三方论坛 (Discourse) 的链接。 api管理提供的默认登录系统用于注册用户。我想知道是否可以对 api 管理和论坛使用单点登录，这样用户就不必
WordPress session 管理
我正在使用 Wordpress 建立一个网站，并且我想利用它的 session 。但我没有找到任何插件，甚至文档。在我开始破解之前有什么建议或引用吗？注意:我问的是 WP 是否以及如何使用标准 PH
Azure session 管理
我已阅读《Azure in Action》一书中的以下内容:“在 Windows Azure 中，状态服务器或进程外 session 状态提供程序，不支持” 谁能告诉我为什么不支持这个。他们在书中没有
Django 管理，过滤内联表单集的对象
我有一个内联表单集，我想排除一些模型对象在表单集中显示。例如。模型 B 具有模型 A 的外键，因此它是 1:n(A 对象有许多 B 对象)关系。现在在 A 管理编辑页面上，我已经获得了 B 的内联。
javascript设置间隔 session 管理
我正在开发一个基于 session 的项目。我在想，与银行类似，我会创建一张支票并为用户提供阻止 session 超时的能力。我正在考虑创建一个 setInterval 来检查需要身份验证的空白页面
Magento:管理 - 产品搜索过滤器
我正在为一位拥有 Magento 商店的客户工作。里面塞满了产品，但这些产品的名称有点乱。他并没有坚持一种命名约定，而是多年来使用了不同的约定。因此，每当他使用“管理”->“管理产品”部分中的“名称”
XSLT 管理 - 将元数据附加到输出和参数的样式表
我使用大约十几个 XSLT 文件来提供大量输出格式。目前，用户必须知道导出的文件格式的扩展名，例如RTF、HTML、TXT。我还想使用参数来允许更多选项。如果我可以将元数据嵌入 XSL 文件本身，那
Azure session 管理
我已阅读《Azure in Action》一书中的以下内容:“在 Windows Azure 中，状态服务器或进程外 session 状态提供程序，不支持” 谁能告诉我为什么不支持这个。他们在书中没有

行者123

个人简介

我是一名优秀的程序员,十分优秀！

作者热门文章

滴滴打车优惠券免费领取

全站热门文章

首页

博学

6Ren·AI

商城

Azure - 在 Java Spring Boot 中使用用户管理身份访问 Key Vault : Error Details: ManagedIdentityCredential authentication unavailable?