AKS Pod无法访问Azure密钥库

Question

我有一个Dockerfile，用于构建一个节点项目并运行"az login --service-principal“命令。在此节点项目中，它将从Azure密钥库中检索秘密值。

我尝试在本地运行此docker映像，它可以成功返回我在Azure密钥库上设置的密钥。但是，在我将相同的docker镜像部署到AKS后，它返回403禁止错误。为什么会这样呢？

我知道我可能无法使用此方法获得Azure密钥库的身份验证，但它为什么失败？

Answer 1

403禁止错误意味着请求已通过身份验证(它知道请求的身份)，但该身份无权访问所请求的资源。原因有两个：

• 没有标识的访问策略。
• 在密钥库的防火墙设置中未批准请求资源的IP地址。

由于您可以从本地访问密钥库，这意味着错误是由密钥库的防火墙设置引起的

检查你的Azure Key Vault网络设置。如果允许从所选网络进行访问，请确保在所选网络中添加AKS VMSS scale set虚拟网络

​

​

现在，您可以从AKS pod访问密钥存储库密钥