Я пытаюсь подключить свое консольное приложение C # (.net core 2.1) к хранилищу BLOB-объектов. Я инициализирую клиент хранилища BLOB-объектов несколькими способами. Они есть:
- Строка подключения - полезно во время разработки
- Принцип обслуживания - возможность развертывания в производственной среде
- Аутентификация MSI - более безопасный, ключи автоматически меняются для нас
В моем коде, если строка подключения не задана явно, я генерирую ее, используя принцип службы или MSI, в зависимости от определенных настроек приложения (пример кода инициализации ниже). Независимо от того, какой из трех способов я использую, я в конечном итоге инициализирую клиента, используя строку подключения (либо явно заданную в случае 1., либо сгенерированную моим кодом в случае 2. и 3.).
Приведенный ниже код работает на 100% нормально для 1 (строка подключения) и 2 (принцип обслуживания), НО я получаю сообщение об ошибке при попытке достичь 3 (MSI).
При локальном запуске я получаю эту ошибку:
Маркер доступа получен от неправильного эмитента: https://sts.windows.net/f8cdef31-a31e-4b4a-93e4-5f571e91255a/ '. Он должен соответствовать клиенту https://sts.windows.net/ {my-subscription-id} / ', связанный с этой подпиской. Используйте авторитет (URL) 'https://login.windows.net/ {my-subscription- id} ', чтобы получить токен. Обратите внимание: если подписка передается другому клиенту, это не повлияет на услуги, но для распространения информации о новом арендаторе может потребоваться время (до часа). Если вы только что перенесли подписку и видите это сообщение об ошибке, повторите попытку позже.
При этом я понятия не имею, откуда взялось «f8cdef31-a31e-4b4a-93e4-5f571e91255a», это может быть глобальный экземпляр Microsoft. Я попытался смягчить это, запустив свой код в веб-задании в Azure с включенным MSI, чтобы проверить, работает ли это, я получаю:
System.AggregateException: произошла одна или несколько ошибок. (Исключение произошло во время подключения службы, см. Подробности во внутреннем исключении) ---> System.Exception: исключение произошло во время подключения службы, см. Подробности во внутреннем исключении ---> Microsoft.Rest.Azure.CloudException: клиент '{my-subscription-id}' с идентификатором объекта '{my-subscription-id}' не авторизован для выполнения действия 'Microsoft.Storage/storageAccounts/read' over scope '/ subscriptions / {my-subscription-id} '.
(примечание У меня установлена учетная запись MSI как «владелец» и «ключевой оператор учетной записи хранения» хранилища BLOB-объектов)
Я инициализирую клиент CloudStorageAccount следующим образом:
public void InitializeClient()
{
// Always using the connection string, no matter how it's generated.
if (ConnectionString.IsNullOrEmpty()) // if not already set, then build.
ConnectionString = BuildStorageConnection().GetAwaiter().GetResult();
CloudStorageAccount.TryParse(ConnectionString, out var storageAccount);
if (storageAccount == null)
throw new InvalidOperationException("Cannot find storage account");
// CloudBlobClient that represents the Blob storage endpoint.
_cloudBlobClient = storageAccount.CreateCloudBlobClient();
}
И создайте строку подключения следующим образом:
internal async Task<string> BuildStorageConnection()
{
try
{
string token = null;
if (Config.UseMsi)
{
// Managed Service Identity (MSI) authentication.
var provider = new AzureServiceTokenProvider();
token = provider.GetAccessTokenAsync("https://management.azure.com/").GetAwaiter().GetResult();
if (string.IsNullOrEmpty(token))
throw new InvalidOperationException("Could not authenticate using Managed Service Identity");
_expiryTime = DateTime.Now.AddDays(1);
}
else
{
// Service Principle authentication
// Grab an authentication token from Azure.
var context = new AuthenticationContext("https://login.windows.net/" + Config.TenantId);
var credential = new ClientCredential(Config.AppId, Config.AppSecret);
var tokenResult = context.AcquireTokenAsync("https://management.azure.com/", credential).GetAwaiter().GetResult();
if (tokenResult == null || tokenResult.AccessToken == null)
throw new InvalidOperationException($"Could not authenticate using Service Principle");
_expiryTime = tokenResult.ExpiresOn;
token = tokenResult.AccessToken;
}
// Set credentials and grab the authenticated REST client.
var tokenCredentials = new TokenCredentials(token);
var client = RestClient.Configure()
.WithEnvironment(AzureEnvironment.AzureGlobalCloud)
.WithLogLevel(HttpLoggingDelegatingHandler.Level.BodyAndHeaders)
.WithCredentials(new AzureCredentials(tokenCredentials, tokenCredentials, string.Empty, AzureEnvironment.AzureGlobalCloud))
.WithRetryPolicy(new RetryPolicy(new HttpStatusCodeErrorDetectionStrategy(), new FixedIntervalRetryStrategy(3, TimeSpan.FromMilliseconds(500))))
.Build();
// Authenticate against the management layer.
var azureManagement = Azure.Authenticate(client, string.Empty).WithSubscription(Config.SubscriptionId);
// Get the storage namespace for the passed in instance name.
var storageNamespace = azureManagement.StorageAccounts.List().FirstOrDefault(n => n.Name == Config.StorageInstanceName);
// If we cant find that name, throw an exception.
if (storageNamespace == null)
{
throw new InvalidOperationException($"Could not find the storage instance {Config.StorageInstanceName} in the subscription with ID {Config.SubscriptionId}");
}
// Storage accounts use access keys - this will be used to build a connection string.
var accessKeys = await storageNamespace.GetKeysAsync();
// If the access keys are not found (not configured for some reason), throw an exception.
if (accessKeys == null)
{
throw new InvalidOperationException($"Could not find access keys for the storage instance {Config.StorageInstanceName}");
}
// We just default to the first key.
var key = accessKeys[0].Value;
// Build and return the connection string.
return $"DefaultEndpointsProtocol=https;AccountName={Config.StorageInstanceName};AccountKey={key};EndpointSuffix=core.windows.net";
}
catch (Exception e)
{
Logger?.LogError(e, "An exception occured during connection to blob storage");
throw new Exception("An exception occurred during service connection, see inner exception for more detail", e);
}
}
Основное различие в том, как я получаю токен доступа, заключается в том, что при использовании принципа службы у меня есть контекст аутентификации, а при использовании MSI - нет. Влияет ли это на объем аутентификации? Любая помощь и совет с этим очень ценятся!