Felügyelt identitások használata Azure-erőforrásokhoz azure-beli virtuális gépen hozzáférési jogkivonat beszerzéséhez
Az Azure-erőforrások felügyelt identitásai a Microsoft Entra ID egyik funkciója. Each of the Azure services that support managed identities for Azure resources are subject to their own timeline. Mielőtt nekikezdene, tekintse át az erőforrásához tartozó felügyelt identitások elérhetőségi állapotát, valamint az ismert problémákat.
Az Azure-erőforrásokhoz tartozó kezelt identitások az Azure-szolgáltatásokat automatikusan kezelt identitással látják el a Microsoft Entra ID-ban. Ezzel az identitással hitelesítést végezhet bármely olyan szolgáltatásban, amely támogatja a Microsoft Entra-hitelesítést anélkül, hogy hitelesítő adatokkal kellene rendelkeznie a kódban.
Ez a cikk különböző kód- és szkript-példákat tartalmaz a jogkivonatok beszerzéséhez. Útmutatást is tartalmaz a jogkivonatok lejárati és HTTP-hibáinak kezelésével kapcsolatban.
Előfeltételek
- Ha még nem ismeri az Azure-erőforrások felügyelt identitására vonatkozó funkciót, tekintse meg ezt az áttekintést. Ha még nincs Azure-fiókja, a folytatás előtt regisztráljon egy ingyenes fiókra.
Ha a cikkben szereplő Azure PowerShell-példákat szeretné használni, mindenképpen telepítse az Azure PowerShell legújabb verzióját.
Fontos
- A cikkben szereplő összes mintakód/szkript feltételezi, hogy az ügyfél egy Azure-erőforrásokhoz tartozó felügyelt identitásokkal rendelkező virtuális gépen fut. Az Azure Portalon a virtuális gép "Csatlakozás" funkciójával távolról csatlakozhat a virtuális géphez. Az Azure-erőforrások felügyelt identitásainak virtuális gépen való engedélyezésével kapcsolatos részletekért lásd : Felügyelt identitások konfigurálása Azure-erőforrásokhoz egy virtuális gépen az Azure Portal használatával, vagy az egyik változatcikk (PowerShell, parancssori felület, sablon vagy Azure SDK használata).
Fontos
- Az Azure-erőforrások felügyelt identitásainak biztonsági határa az az erőforrás, amelyben az identitást használják. A virtuális gépen futó összes kód/szkript lekérhet és lekérhet jogkivonatokat a rajta elérhető felügyelt identitásokhoz.
Áttekintés
Egy ügyfélalkalmazás csak felügyelt identitásalkalmazás hozzáférési jogkivonatot kérhet egy adott erőforrás eléréséhez. A jogkivonat az Azure-erőforrások szolgáltatásnév felügyelt identitásán alapul. Ezért nincs szükség arra, hogy az ügyfél saját szolgáltatásnév alatt szerezzen be hozzáférési jogkivonatot. A jogkivonat alkalmas arra, hogy tulajdonosi jogkivonatként használja az ügyfél hitelesítő adatait igénylő szolgáltatásközi hívásokban.
| Hivatkozás | Leírás |
|---|---|
| Jogkivonat lekérése HTTP használatával | Az Azure-erőforrások tokenvégpontjaihoz tartozó felügyelt identitások protokolladatai |
| Jogkivonat lekérése az Azure.Identity használatával | Jogkivonat lekérése az Azure.Identity-kódtár használatával |
| Jogkivonat lekérése a .NET-hez készült Microsoft.Azure.Services.AppAuthentication kódtár használatával | Példa a Microsoft.Azure.Services.AppAuthentication kódtár .NET-ügyfélről való használatára |
| Jogkivonat lekérése C használatával# | Példa felügyelt identitások használatára az Azure-erőforrások REST-végpontja számára egy C#-ügyfélből |
| Jogkivonat lekérése Java használatával | Példa felügyelt identitások használatára az Azure-erőforrások REST-végpontja számára Java-ügyfélből |
| Jogkivonat lekérése a Go használatával | Példa felügyelt identitások használatára az Azure-erőforrások REST-végpontjához Go-ügyfélből |
| Jogkivonat lekérése a PowerShell használatával | Példa felügyelt identitások használatára az Azure-erőforrások REST-végpontja számára Egy PowerShell-ügyfélről |
| Jogkivonat lekérése a CURL használatával | Példa felügyelt identitások azure-erőforrások REST-végpontjának használatára Bash/CURL-ügyfélről |
| Jogkivonat gyorsítótárazásának kezelése | Útmutató lejárt hozzáférési jogkivonatok kezeléséhez |
| Error handling | Útmutató az Azure-erőforrások jogkivonatvégpontjának felügyelt identitásaiból visszaadott HTTP-hibák kezeléséhez |
| Erőforrás-azonosítók az Azure-szolgáltatásokhoz | Forrásazonosítók lekérése a támogatott Azure-szolgáltatásokhoz |
Jogkivonat lekérése HTTP használatával
A hozzáférési jogkivonatok beszerzésének alapvető felülete a REST-en alapul, így a virtuális gépen futó minden olyan ügyfélalkalmazás számára elérhetővé válik, amely HTTP REST-hívásokat indíthat. Ez a megközelítés hasonló a Microsoft Entra programozási modellhez, kivéve, ha az ügyfél egy végpontot használ a virtuális gépen (szemben a Microsoft Entra-végponttal).
Mintakérés az Azure Instance Metadata Service (IMDS) végpont használatával (ajánlott):
GET 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https://management.azure.com/' HTTP/1.1 Metadata: true
| Elem | Leírás |
|---|---|
GET |
A HTTP-parancs, amely azt jelzi, hogy adatokat szeretne lekérni a végpontról. Ebben az esetben egy OAuth hozzáférési jogkivonat. |
http://169.254.169.254/metadata/identity/oauth2/token |
Az Azure-erőforrások végpontjának felügyelt identitásai a példány metaadat-szolgáltatásához. |
api-version |
Egy lekérdezési sztringparaméter, amely az IMDS-végpont API-verzióját jelzi. Használjon API-verziót vagy újabb verziót 2018-02-01 . |
resource |
Egy lekérdezési sztringparaméter, amely a célerőforrás alkalmazásazonosítójának URI-ját jelzi. A kibocsátott jogkivonat (célközönség) jogcímén is megjelenik aud . Ez a példa egy jogkivonatot kér az Azure Resource Manager eléréséhez, amely az alkalmazásazonosító URI-jával rendelkezik https://management.azure.com/. |
Metadata |
A felügyelt identitások által igényelt HTTP-kérelem fejlécmezője. Ezeket az információkat a rendszer a kiszolgálóoldali hamisítási (SSRF) támadások elhárítására használja. Ennek az értéknek "true" (igaz) értékre kell állítania, minden kisbetű esetén. |
object_id |
(Nem kötelező) Egy lekérdezési sztringparaméter, amely annak a felügyelt identitásnak a object_id jelzi, amelyhez a jogkivonatot meg szeretné adni. Kötelező, ha a virtuális gép több felhasználó által hozzárendelt felügyelt identitást használ. |
client_id |
(Nem kötelező) Egy lekérdezési sztringparaméter, amely annak a felügyelt identitásnak a client_id jelzi, amelyhez a jogkivonatot meg szeretné adni. Kötelező, ha a virtuális gép több felhasználó által hozzárendelt felügyelt identitást használ. |
msi_res_id |
(Nem kötelező) Egy lekérdezési sztringparaméter, amely annak a felügyelt identitásnak a msi_res_id (Azure-erőforrás-azonosítóját) jelzi, amelyhez a jogkivonatot használni szeretné. Kötelező, ha a virtuális gép több felhasználó által hozzárendelt felügyelt identitást használ. |
Mintaválasz:
HTTP/1.1 200 OK
Content-Type: application/json
{
"access_token": "eyJ0eXAi...",
"refresh_token": "",
"expires_in": "3599",
"expires_on": "1506484173",
"not_before": "1506480273",
"resource": "https://management.azure.com/",
"token_type": "Bearer"
}
| Elem | Leírás |
|---|---|
access_token |
A kért hozzáférési jogkivonat. Védett REST API meghívásakor a jogkivonat a Authorization kérelem fejlécmezőjében "tulajdonosi" jogkivonatként van beágyazva, így az API hitelesítheti a hívót. |
refresh_token |
Az Azure-erőforrások felügyelt identitásai nem használják. |
expires_in |
A hozzáférési jogkivonat érvényessége a lejárat előtt a kiállítás időpontjától kezdődően továbbra is érvényes marad. A kiállítás időpontja a jogkivonat jogcímében iat található. |
expires_on |
A hozzáférési jogkivonat lejárati ideje. A dátum a "1970-01-01T0:0:0Z UTC" másodpercek száma (a jogkivonat jogcímének exp felel meg). |
not_before |
A hozzáférési jogkivonat érvénybe lépésekor érvényes és elfogadható idő. A dátum a "1970-01-01T0:0:0Z UTC" másodpercek száma (a jogkivonat jogcímének nbf felel meg). |
resource |
Az az erőforrás, amelyhez a hozzáférési jogkivonatot kérték, amely megfelel a resource kérés lekérdezési sztringparaméterének. |
token_type |
A jogkivonat típusa, amely egy "Tulajdonos" hozzáférési jogkivonat, ami azt jelenti, hogy az erőforrás hozzáférést adhat a jogkivonat tulajdonosának. |
Jogkivonat lekérése az Azure Identity-ügyfélkódtár használatával
A felügyelt identitások használatának ajánlott módja az Azure Identity-ügyfélkódtár használata. Minden Azure SDK integrálva van a Azure.Identity DefaultAzureCredentialt támogató kódtárral. Ez az osztály megkönnyíti a felügyelt identitások Azure SDK-kkal való használatát.Tudj meg többet
Telepítse az Azure.Identity-csomagot és más szükséges Azure SDK-kódtárcsomagokat, például az Azure.Security.KeyVault.Secrets csomagot.
Használja az alábbi mintakódot. Nem kell aggódnia a jogkivonatok beszerzése miatt. Közvetlenül használhatja az Azure SDK-ügyfeleket. A kód bemutatja, hogyan szerezheti be a jogkivonatot, ha szükséges.
using Azure.Core; using Azure.Identity; string userAssignedClientId = "<your managed identity client Id>"; var credential = new DefaultAzureCredential(new DefaultAzureCredentialOptions { ManagedIdentityClientId = userAssignedClientId }); var accessToken = credential.GetToken(new TokenRequestContext(new[] { "https://vault.azure.net" })); // To print the token, you can convert it to string String accessTokenString = accessToken.Token.ToString(); //You can use the credential object directly with Key Vault client. var client = new SecretClient(new Uri("https://myvault.vault.azure.net/"), credential);
Jogkivonat lekérése a .NET-hez készült Microsoft.Azure.Services.AppAuthentication kódtár használatával
A .NET-alkalmazások és -függvények esetében az Azure-erőforrások felügyelt identitásaival a legegyszerűbben a Microsoft.Azure.Services.AppAuthentication csomagon keresztül lehet dolgozni. Ez a kódtár lehetővé teszi a kód helyi tesztelését a fejlesztői gépen. A kódot a Visual Studio felhasználói fiókjával, az Azure CLI-vel vagy az Active Directory integrált hitelesítésével tesztelheti. A kódtár helyi fejlesztési lehetőségeiről a Microsoft.Azure.Services.AppAuthentication referenciájában olvashat bővebben. Ez a szakasz bemutatja, hogyan kezdheti el a kódtár használatát.
Adjon hozzá hivatkozásokat a Microsoft.Azure.Services.AppAuthentication és a Microsoft.Azure.KeyVault NuGet-csomagokra az alkalmazáshoz.
Adja hozzá a következő kódot az alkalmazáshoz:
using Microsoft.Azure.Services.AppAuthentication; using Microsoft.Azure.KeyVault; // ... var azureServiceTokenProvider = new AzureServiceTokenProvider(); string accessToken = await azureServiceTokenProvider.GetAccessTokenAsync("https://management.azure.com/"); // OR var kv = new KeyVaultClient(new KeyVaultClient.AuthenticationCallback(azureServiceTokenProvider.KeyVaultTokenCallback));
A Microsoft.Azure.Services.AppAuthentication szolgáltatásról és az általa elérhető műveletekről a Microsoft.Azure.Services.AppAuthentication referenciában, valamint az Azure-erőforrások felügyelt identitásaival rendelkező App Service és KeyVault .NET-mintában talál további információt.
Jogkivonat lekérése C használatával#
using System;
using System.Collections.Generic;
using System.IO;
using System.Net;
using System.Web.Script.Serialization;
// Build request to acquire managed identities for Azure resources token
HttpWebRequest request = (HttpWebRequest)WebRequest.Create("http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https://management.azure.com/");
request.Headers["Metadata"] = "true";
request.Method = "GET";
try
{
// Call /token endpoint
HttpWebResponse response = (HttpWebResponse)request.GetResponse();
// Pipe response Stream to a StreamReader, and extract access token
StreamReader streamResponse = new StreamReader(response.GetResponseStream());
string stringResponse = streamResponse.ReadToEnd();
JavaScriptSerializer j = new JavaScriptSerializer();
Dictionary<string, string> list = (Dictionary<string, string>) j.Deserialize(stringResponse, typeof(Dictionary<string, string>));
string accessToken = list["access_token"];
}
catch (Exception e)
{
string errorText = String.Format("{0} \n\n{1}", e.Message, e.InnerException != null ? e.InnerException.Message : "Acquire token failed");
}
Jogkivonat lekérése Java használatával
Ezzel a JSON-kódtárzal lekérhet egy jogkivonatot a Java használatával.
import java.io.*;
import java.net.*;
import com.fasterxml.jackson.core.*;
class GetMSIToken {
public static void main(String[] args) throws Exception {
URL msiEndpoint = new URL("http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https://management.azure.com/");
HttpURLConnection con = (HttpURLConnection) msiEndpoint.openConnection();
con.setRequestMethod("GET");
con.setRequestProperty("Metadata", "true");
if (con.getResponseCode()!=200) {
throw new Exception("Error calling managed identity token endpoint.");
}
InputStream responseStream = con.getInputStream();
JsonFactory factory = new JsonFactory();
JsonParser parser = factory.createParser(responseStream);
while(!parser.isClosed()){
JsonToken jsonToken = parser.nextToken();
if(JsonToken.FIELD_NAME.equals(jsonToken)){
String fieldName = parser.getCurrentName();
jsonToken = parser.nextToken();
if("access_token".equals(fieldName)){
String accesstoken = parser.getValueAsString();
System.out.println("Access Token: " + accesstoken.substring(0,5)+ "..." + accesstoken.substring(accesstoken.length()-5));
return;
}
}
}
}
}
Jogkivonat lekérése a Go használatával
package main
import (
"fmt"
"io/ioutil"
"net/http"
"net/url"
"encoding/json"
)
type responseJson struct {
AccessToken string `json:"access_token"`
RefreshToken string `json:"refresh_token"`
ExpiresIn string `json:"expires_in"`
ExpiresOn string `json:"expires_on"`
NotBefore string `json:"not_before"`
Resource string `json:"resource"`
TokenType string `json:"token_type"`
}
func main() {
// Create HTTP request for a managed services for Azure resources token to access Azure Resource Manager
var msi_endpoint *url.URL
msi_endpoint, err := url.Parse("http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01")
if err != nil {
fmt.Println("Error creating URL: ", err)
return
}
msi_parameters := msi_endpoint.Query()
msi_parameters.Add("resource", "https://management.azure.com/")
msi_endpoint.RawQuery = msi_parameters.Encode()
req, err := http.NewRequest("GET", msi_endpoint.String(), nil)
if err != nil {
fmt.Println("Error creating HTTP request: ", err)
return
}
req.Header.Add("Metadata", "true")
// Call managed services for Azure resources token endpoint
client := &http.Client{}
resp, err := client.Do(req)
if err != nil{
fmt.Println("Error calling token endpoint: ", err)
return
}
// Pull out response body
responseBytes,err := ioutil.ReadAll(resp.Body)
defer resp.Body.Close()
if err != nil {
fmt.Println("Error reading response body : ", err)
return
}
// Unmarshall response body into struct
var r responseJson
err = json.Unmarshal(responseBytes, &r)
if err != nil {
fmt.Println("Error unmarshalling the response:", err)
return
}
// Print HTTP response and marshalled response body elements to console
fmt.Println("Response status:", resp.Status)
fmt.Println("access_token: ", r.AccessToken)
fmt.Println("refresh_token: ", r.RefreshToken)
fmt.Println("expires_in: ", r.ExpiresIn)
fmt.Println("expires_on: ", r.ExpiresOn)
fmt.Println("not_before: ", r.NotBefore)
fmt.Println("resource: ", r.Resource)
fmt.Println("token_type: ", r.TokenType)
}
Jogkivonat lekérése a PowerShell használatával
Az alábbi példa bemutatja, hogyan használhatja az Azure-erőforrások REST-végpontjának felügyelt identitásait egy PowerShell-ügyfélből a következőre:
- Hozzáférési jogkivonat beszerzése.
- A hozzáférési jogkivonat használatával meghívhat egy Azure Resource Manager REST API-t, és információkat kérhet le a virtuális gépről. Mindenképpen cserélje le az előfizetés azonosítóját, az erőforráscsoport nevét és a
<SUBSCRIPTION-ID>virtuális gép nevét az ,<RESOURCE-GROUP>és<VM-NAME>a virtuális gép nevére.
Invoke-WebRequest -Uri 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https%3A%2F%2Fmanagement.azure.com%2F' -Headers @{Metadata="true"}
Példa a hozzáférési jogkivonat válaszból való elemzésére:
# Get an access token for managed identities for Azure resources
$response = Invoke-WebRequest -Uri 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https%3A%2F%2Fmanagement.azure.com%2F' `
-Headers @{Metadata="true"}
$content =$response.Content | ConvertFrom-Json
$access_token = $content.access_token
echo "The managed identities for Azure resources access token is $access_token"
# Use the access token to get resource information for the VM
$vmInfoRest = (Invoke-WebRequest -Uri 'https://management.azure.com/subscriptions/<SUBSCRIPTION-ID>/resourceGroups/<RESOURCE-GROUP>/providers/Microsoft.Compute/virtualMachines/<VM-NAME>?api-version=2017-12-01' -Method GET -ContentType "application/json" -Headers @{ Authorization ="Bearer $access_token"}).content
echo "JSON returned from call to get VM info:"
echo $vmInfoRest
Jogkivonat lekérése a CURL használatával
curl 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https%3A%2F%2Fmanagement.azure.com%2F' -H Metadata:true -s
Példa a hozzáférési jogkivonat válaszból való elemzésére:
response=$(curl 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https%3A%2F%2Fmanagement.azure.com%2F' -H Metadata:true -s)
access_token=$(echo $response | python -c 'import sys, json; print (json.load(sys.stdin)["access_token"])')
echo The managed identities for Azure resources access token is $access_token
Jogkivonat gyorsítótárazása
A felügyelt identitások alrendszere gyorsítótárazza a jogkivonatokat, de továbbra is javasoljuk, hogy implementálja a jogkivonatok gyorsítótárazását a kódban. Olyan forgatókönyvekre kell felkészülnie, amelyekben az erőforrás azt jelzi, hogy a jogkivonat lejárt.
A Microsoft Entra ID-ra irányuló bejövő hívások csak akkor következnek be, ha:
- A gyorsítótár-hiba azért fordul elő, mert nincs token az Azure-erőforrások alrendszer-gyorsítótárának felügyelt identitásaiban.
- A gyorsítótárazott jogkivonat lejárt.
Error handling
A felügyelt identitások végpontja a HTTP-válaszüzenet fejlécének állapotkód mezőjén keresztül jelez hibákat 4xx vagy 5xx hibaként:
| Állapotkód | Hiba oka | Kezelés |
|---|---|---|
| 404 Nem található. | Az IMDS-végpont frissül. | Próbálkozzon újra exponenciális visszalépéssel. Lásd az alábbi útmutatást. |
| 410 | Az IMDS frissítéseken megy keresztül | Az IMDS 70 másodpercen belül elérhető lesz |
| 429 Túl sok kérés. | Elérte az IMDS-szabályozás korlátját. | Próbálkozzon újra exponenciális visszalépéssel. Lásd az alábbi útmutatást. |
| 4xx Hiba a kérelemben. | Egy vagy több kérelemparaméter helytelen volt. | Ne próbálkozzon újra. További információkért tekintse meg a hiba részleteit. A 4xx hibák tervezési időből állnak. |
| 5xx Átmeneti hiba a szolgáltatásból. | Az Azure-erőforrások alrendszerének vagy a Microsoft Entra ID-nak a felügyelt identitásai átmeneti hibát eredményeztek. | Legalább 1 másodperc várakozás után újrapróbálkozhat. Ha túl gyorsan vagy túl gyakran próbálkozik újra, előfordulhat, hogy az IMDS és/vagy a Microsoft Entra ID sebességkorlátozási hibát (429) ad vissza. |
| timeout | Az IMDS-végpont frissül. | Próbálkozzon újra exponenciális visszalépéssel. Lásd az alábbi útmutatást. |
Hiba esetén a megfelelő HTTP-válasz törzse tartalmazza a JSON-t a hiba részleteivel:
| Elem | Leírás |
|---|---|
| error | Hibaazonosító. |
| error_description | A hiba részletes leírása. A hibaleírások bármikor változhatnak. Ne írjon olyan kódot, amely a hibaleírásban szereplő értékek alapján ágaz. |
HTTP-válaszhivatkozás
Ez a szakasz a lehetséges hibaválaszokat dokumentálja. A "200 OK" állapot sikeres válasz, és a hozzáférési jogkivonat a válasz törzsében, a JSON-ban, a access_token elemben található.
| Állapotkód | Hiba | Hiba leírása | Megoldás |
|---|---|---|---|
| 400 Hibás kérés | invalid_resource | AADSTS50001: Az URI> nevű< alkalmazás nem található a TENANT-ID> nevű <bérlőben. Ez az üzenet azt jelzi, hogy a bérlői rendszergazda nem telepítette-e az alkalmazást, vagy egy bérlői felhasználó sem járult hozzá. Lehet, hogy nem a megfelelő bérlőnek küldte el a hitelesítési kérelmet.\ | (csak Linux) |
| 400 Hibás kérés | bad_request_102 | Nincs megadva a szükséges metaadat-fejléc | Metadata A kérelem fejlécmezője hiányzik a kérésből, vagy helytelenül van formázva. Az értéket minden kisbetűs értékként truekell megadni. Egy példát az előző REST szakaszban található "Mintakérés" című szakaszban talál. |
| 401 Unauthorized | unknown_source | Ismeretlen forrás <URI-ja> | Ellenőrizze, hogy a HTTP GET-kérelem URI-ja megfelelően van-e formázva. A scheme:host/resource-path részt a következőként http://localhost:50342/oauth2/tokenkell megadni: . Egy példát az előző REST szakaszban található "Mintakérés" című szakaszban talál. |
| invalid_request | A kérés hiányzik egy kötelező paraméterből, érvénytelen paraméterértéket tartalmaz, több paramétert is tartalmaz, vagy más módon helytelenül formázott. | ||
| unauthorized_client | Az ügyfél nem jogosult hozzáférési jogkivonat kérésére ezzel a módszerrel. | Olyan virtuális gépre irányuló kérés okozza, amely nem rendelkezik megfelelően konfigurált Azure-erőforrások felügyelt identitásával. Ha segítségre van szüksége a virtuális gépek konfigurálásához, tekintse meg az Azure-erőforrások felügyelt identitásainak konfigurálása egy virtuális gépen az Azure Portal használatával című témakört. | |
| access_denied | Az erőforrás tulajdonosa vagy engedélyezési kiszolgálója elutasította a kérést. | ||
| unsupported_response_type | Az engedélyezési kiszolgáló nem támogatja a hozzáférési jogkivonat beszerzését ezzel a módszerrel. | ||
| invalid_scope | A kért hatókör érvénytelen, ismeretlen vagy hibás. | ||
| 500 Belső kiszolgálóhiba | ismeretlen | Nem sikerült lekérni a jogkivonatot az Active Directoryból. További részletekért lásd a naplófájlokat a <fájl elérési útján> | Ellenőrizze, hogy a virtuális gép rendelkezik-e engedélyezett Azure-erőforrások felügyelt identitásával. Ha segítségre van szüksége a virtuális gépek konfigurálásához, tekintse meg az Azure-erőforrások felügyelt identitásainak konfigurálása egy virtuális gépen az Azure Portal használatával című témakört. Ellenőrizze azt is, hogy a HTTP GET-kérelem URI-ja megfelelően van-e formázva, különösen a lekérdezési sztringben megadott erőforrás URI-ja. Tekintse meg az előző REST szakaszban található "Mintakérés" című részt egy példához, vagy olyan Azure-szolgáltatásokhoz, amelyek támogatják a Microsoft Entra-hitelesítést a szolgáltatások listájához és a hozzájuk tartozó erőforrás-azonosítókhoz. |
Fontos
- Az IMDS nem proxy mögött használható, és ez nem támogatott. A proxyk megkerülésére vonatkozó példákért tekintse meg az Azure Instance Metadata-mintákat.
Újrapróbálkozás – útmutató
Javasoljuk, hogy próbálkozzon újra, ha 404-, 429- vagy 5xx-ös hibakódot kap (lásd a fenti hibakezelést ). Ha 410-et kap, az azt jelzi, hogy az IMDS frissítéseken megy keresztül, és legfeljebb 70 másodperc alatt lesz elérhető.
A szabályozás korlátai az IMDS-végpontra irányuló hívások számára vonatkoznak. A szabályozási küszöbérték túllépésekor az IMDS-végpont korlátozza a további kéréseket, amíg a szabályozás érvényben van. Ebben az időszakban az IMDS-végpont a 429-es HTTP-állapotkódot adja vissza ("Túl sok kérés"), és a kérések sikertelenek.
Újrapróbálkozáshoz a következő stratégiát javasoljuk:
| Újrapróbálkozási stratégia | Beállítások | Értékek | Működési elv |
|---|---|---|---|
| ExponentialBackoff | Ismétlések száma Visszatartás (min.) Visszatartás (max.) Visszatartás (változás) Első gyors újrapróbálkozás |
5 0 másodperc 60 másodperc 2 másodperc false |
1. kísérlet – 0 mp. késleltetés 2. kísérlet – kb. 2 mp. késleltetés 3. kísérlet – kb. 6 mp. késleltetés 4. kísérlet – kb. 14 mp. késleltetés 5. kísérlet – kb. 30 mp. késleltetés |
Erőforrás-azonosítók az Azure-szolgáltatásokhoz
Az Azure-erőforrások felügyelt identitásait támogató erőforrások listáját a felügyelt identitásokkal rendelkező Azure-szolgáltatásokban találja.
Következő lépések
- Ha azure-beli virtuális gépen szeretné engedélyezni az Azure-erőforrások felügyelt identitását, olvassa el az Azure-erőforrások felügyelt identitásainak konfigurálása virtuális gépen az Azure Portal használatával című témakört.