解决由于 Key Vault 未启用导致 VM 无法启动的问题

coolkili 2017-09-08 09:47:50
现象描述
用户将虚拟机从 ASM 模式迁移到 ARM 模式后,有时会出现虚拟机启动时报错,提示信息如下:
Provisioning failed. Key Vault https://XXXX has not been enabled for deployment or the vault id provided. /subscriptions/XXXX/resourceGroups/demo-Migrated/providers/Microsoft.KeyVault/vaults/demo, does not match the Key Vault's true resource id. KeyVaultAccessForbidden


解决方案
首先,我们需要使用下面的命令来获取受影响的虚拟机所在订阅下的 Key Vault 信息:
#登陆到受影响虚拟机所在的订阅下

PS C:\windows\system32> Login-AzureRmAccount –Environment AzureChinaCloud



Environment           : AzureChinaCloud

Account               : XXX@mcpod.partner.onmschina.cn

TenantId              : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx

SubscriptionId        : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx

SubscriptionName      : <订阅名称>

CurrentStorageAccount :



#查询并找到虚拟机所在资源组对应的 Key Vault 信息

PS C:\windows\system32> Get-AzureRmKeyVault



Vault Name          : <Key Vault 名称>

Resource Group Name : <资源组名称>

Location            : chinaeast

Resource ID         : /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx /resourceGroups/<资源组名称>/providers/Microsoft.KeyVault/vaults/<Key Vault 名称>

Tags                :


使用下述命令来启用虚拟机对应资源组的 Key Vault:
#启用 Key Vault

Set-AzureRmKeyVaultAccessPolicy -VaultName <Key Vault 名称> -ResourceGroupName <资源组名称> -EnabledForDeployment


重新启动受影响的虚拟机,虚拟机可以正常启动。

更多信息,更好的阅读体验,可以点击这里
...全文
626 回复 打赏 收藏 转发到动态 举报
写回复
用AI写文章
回复
切换为时间正序
请发表友善的回复…
发表回复
解决由于Key Vault启用导致VM无法启动问题1
解决由于Key Vault启用导致VM无法启动问题1
harpocrates:在Azure KeyVault中存储和管理机密密码,从而针对各种资源类型(存储帐户,CosmosDb等)启用全周期密码到期和密钥轮换
哈波克拉底 Harpocrates是一种解决方案,旨在自动化各种服务和应用程序机密的生命周期,其调度的轮换以及基于受管系统机密值构建的从属机密的更新,例如可能需要访问密钥或密码的连接字符串。插入更复杂的字符串表达式中。 例如,可以将应用程序设计为利用如下所示的连接字符串:Server = DbServerName; User = MyUser1; Password = P @ ssword @ 1。 在这种情况下,可能需要定期更改密码和用户名的值。 当发生这种更改并且系统更新了这些凭据时,它也必须更新应用程序连接字符串。 Harpocrates依靠Azure Key Vault事件机制来设置到期日期,并根据KV引发的事件触发流程。 它遵循下面描述的高级流程 Harpocrates可以部署到Azure中的许多计算服务,例如AKS,App Service等,以及可以部署到IaaS VM的应
ansible-role-bootstrap-docker:我构建的Ansible角色用于在新VM上快速配置和强化Docker
ansible-role-bootstrap-docker 我构建了一个Ansible角色,用于在新VM上快速配置和强化docker。 如果您在哪里使用此角色,则可能不想使用默认的密码/盐值。 在每个项目中使用唯一值覆盖它们,并使用Ansible Vault安全地存储它们。 在启用userns-remap您将无法再将userns-remap袜子安装在容器的一侧。 为了解决这个问题,我们在以下路径/var/run/docker-userns.sock下使用socat创建套接字的副本。 该副本为根帐户和dockerremap组提供在复制的docker套接字上读写的权限。 我建议不要直接在目标容器(即traefik)中使用此副本,而应将其与结合使用。 这样可以确保目标容器中的套接字上只有很少的可用内容。 角色变量 多变的 描述 默认值 bsd_sshkey_folder 存储bsh_doc
Azure Key Vault (3) 在Azure Windows VM里使用Key Vaule
  《Windows Azure Platform 系列文章目录》   本章我们介绍如何在Azure Windows VM里面,使用.NET使用Azure Key Vault   我们需要对Key Vault进行身份验证,所以需要提供凭据。因此,在启动过程中,这是一个难以兼顾的典型问题。托管服务标识 (MSI) 提供简化该过程的启动标识,可以解决问题。   为 Azure 服务(例...
Azure Key Vault (1) 入门
  《Windows Azure Platform 系列文章目录》   为什么要使用Azure Key Vault?   我们假设在微软云Azure上有1个场景,在Windows VM里面有1个.NET应用程序,这个.NET应用程序通过ADO.NET链接字符串,链接到后端的SQL VM。   如果Windows VM被黑客攻击了,那么黑客在查看ADO.NET的SQL链接字符串,就可以通...
云安全

4,451

社区成员

4,381

社区内容

发帖
与我相关
我的任务
社区描述
云计算 云安全相关讨论
社区管理员
  • 云安全社区
加入社区
  • 近7日
  • 近30日
  • 至今

加载中

查看更多榜单
社区公告
暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章