使用Azure DevOps启用Azure Key Vault防火墙-当KV处于不同订阅中时,最佳方法是什么?

uurv41yg  于 2023-04-07  发布在  其他
关注(0)|答案(2)|浏览(85)

使用Azure DevOps启用Azure Key Vault防火墙-当KV处于不同订阅中时,最佳方法是什么?

  • 要求是将来自keyvault的ssl证书附加到应用服务。
  • 当管道运行时,它始终显示Azure生成代理没有访问权限,错误为[ StatusCode=403 -- Original Error:autorest/azure:服务返回错误。状态=403代码=“禁止”消息=“客户端地址未经授权,调用方不是受信任的服务。InnerError={“code”:“ForbiddenByFirewall”})

有没有最好的方法来实现这一点?我们不能允许所有的MS构建代理IP。

zzlelutf

zzlelutf1#

您无法使用默认代理池归档此代理。您必须在Azure租户中使用自托管代理作为VM或扩展集,然后您可以配置防火墙,甚至在专用网络中使用KV。更多信息请参见https://learn.microsoft.com/en-us/azure/devops/pipelines/agents/scale-set-agents?view=azure-devops for scale-set,在此链接上方,您可以找到如何在单个VM(Linux或Windows)上安装代理

yxyvkwin

yxyvkwin2#

我遇到了同样的问题,正如我所看到的,我们有几个选择:

  • 自托管代理-您拥有自己的虚拟机,其中包含连接到Azure DevOps组织的代理,然后,由于VM具有公共IP,因此您可以将此IP列入Key Vault中的白名单-设置VM需要花费大量精力,但提供了很大的灵活性
  • 将Microsoft托管代理的所有IP地址列入白名单-我最不喜欢的一个
  • 如Panu Oksala在How to Access Restricted Azure Key Vault from Azure DevOps中所述,在管道执行期间将特定IP列入白名单-在一个简单的场景中,我最喜欢这一点,对于大量的管道,我会选择第一个选项

相关问题