Azure 存储 SAS 令牌在本地主机上工作,但在 Azure Kubernetes 上部署时不工作

【问题标题】:Azure Storage SAS token working on localhost but not when deployed on Azure KubernetesAzure 存储 SAS 令牌在本地主机上工作,但在 Azure Kubernetes 上部署时不工作
【发布时间】:2020-10-19 20:08:54
【问题描述】:

我正在使用 SAS 令牌从 React spa 将文件上传和下载到 Azure 存储。

在本地主机上运行时,一切正常,但是当部署到 Azure 上的 Kubernetes 时,我收到以下身份验证错误。

onError RestError: <?xml version="1.0" encoding="utf-8"?><Error><Code>AuthenticationFailed</Code><Message>Server failed to authenticate the request. Make sure the value of Authorization header is formed correctly including the signature.
RequestId:e6bfca97-c01e-0030-2e29-4e7d7c000000
Time:2020-06-29T15:26:39.7164613Z</Message><AuthenticationErrorDetail>Signature did not match. String to sign used was w

2020-06-29T20:26:39Z
/blob/datalake/container/Natural_Language_Processing.pdf

负责上传的javascript代码是

// upload to Azure
const blobName = file.name;
const accountSas = resp.data.SAS;
const account = resp.data.account;
const containerName = resp.data.container;
const anonymousCredential = new AnonymousCredential();
const blobServiceClient = new BlobServiceClient(
    `https://${account}.blob.core.windows.net?${accountSas}`,
    anonymousCredential
);
// Create a container
const containerClient = blobServiceClient.getContainerClient(
    containerName
);
// Create a blob
const content = file;
const blockBlobClient = containerClient.getBlockBlobClient(blobName);
const uploadBlobResponse = await blockBlobClient.upload(
    content,
    Buffer.byteLength(content)
);

而用于 SAS 令牌生成的后端 Python 代码如下

if content['up_down'] == 'download':
    permission = BlobSasPermissions(read=True)
else:
    permission = BlobSasPermissions(write=True)

account_name = os.getenv("STORAGE_ACCOUNT_NAME")
container_name = metadata.get_container_name()
blob_name = content['filePath']
expiry = datetime.utcnow() + timedelta(hours=5)

options = {
    'account_name': account_name,
    'container_name': container_name,
    'blob_name': blob_name,
    'account_key': os.getenv("STORAGE_ACCESS_KEY"),
    'permission': permission,
    'expiry': expiry
}

SAS = generate_blob_sas(**options)

generate_blob_sas 是从 azure-storage-blob(版本 12.3.1)导入的。

知道如何解决这个问题吗?

【问题讨论】:

  • 我注意到有一个 IP 地址 (84.71.57.183),但我在 options 中没有看到。这可能是问题的原因吗?
  • 感谢@Gaurav Mantri-AIS 的帮助。一开始我尝试不指定客户端IP,但仍然无法正常工作。之后,我尝试在请求 sas 令牌时指定客户端 ip(不包含在上面的 Python sn-p 中),但仍然没有运气。
  • 您如何访问本地的STORAGE_ACCESS_KEY?您是否还将STORAGE_ACCESS_KEY 传递给backend-service 的kubernetes pod?
  • 感谢@Dhruv Shah 的帮助。 STORAGE_ACCESS_KEY 在 Kubernetes 中作为秘密传递并作为环境变量加载。只是为了看看这是否是错误,我暂时返回 STORAGE_ACCESS_KEY 作为 API 响应的一部分,它匹配
  • 您可以编辑您的问题并包含 generate_blod_sas 方法的代码吗?

标签: javascript python azure kubernetes azure-storage


【解决方案1】:

苦苦思索了半天,终于找到了问题所在。

它与访问 blob 的 Python 库无关,而是与 Kubernetes pod 中的环境变量有关。

使用 yaml 文件将环境变量作为机密传递给 Kubernetes(如link 中所述)。 使用这种方法,secret 需要进行 base64 编码。为此,我使用了以下

echo 'secret' | base64
>> c2VjcmV0Cg==

但是,echo 命令默认在输出中附加一个换行符。我应该使用的是

echo -n 'secret' | base64
>> c2VjcmV0

这个错误特别难发现,特别是因为在打印时,错误的解决方案似乎会导致正确的结果

echo 'secret' | base64 | base64 -d
>> secret

不管怎样,我希望我的错误对以后的人有所帮助!

【讨论】:

    猜你喜欢
    • 2023-01-15
    • 2021-05-12
    • 2016-06-20
    • 2013-01-05
    • 2020-05-05
    • 2018-10-27
    • 2021-06-03
    • 2016-09-21
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode