Azure Function 配置未获取最新版本的 Key Vault 机密

Question

该函数从不读取最新版本的密钥。它总是读取它配置使用的第一个，即版本化的。即使在重新启动函数或重新发布它之后，它始终会读取它首先配置为使用的版本化密钥。

使用表单的版本化密钥库参考创建了一个函数：

 TheSecret
   @Microsoft.KeyVault(SecretUri=https://name.vault.azure.net/secrets/TheSecret/__version__)

在函数中：

if (!int.TryParse(Environment.GetEnvironmentVariable("TheSecret"), out int theSecret))
{
    theSecret = 10;
}

函数第一次运行时，它会检索密钥的特定版本。

在 Key Vault 中创建了TheSecret 的新版本，并将功能应用程序配置更改为非版本化类型：

TheSecret
@Microsoft.KeyVault(SecretUri=https://name.vault.azure.net/secrets/TheSecret/)

Answer 1

由于您没有指定版本，因此它使用键值中的最新版本。根据document，当有更新的版本可用时，例如轮换事件，应用程序将自动更新并开始使用最新版本一天内。对应用所做的任何配置更改都会立即更新到所有引用机密的最新版本。

有两种方式可以加载来自 Azure Key Vault 机密（在函数应用中引用）的新值：

1. 如文档中所述，24 小时自动（非强制）发生。

2. 配置更新（强制），在执行站点更新时强制获取最新的机密。最简单的方法是更新 Settings\Configuration 中的任何设置，然后在此刀片上保存。这也将导致重新启动。更多详情here。

Answer 2

关于要尝试的事情，这里有一些；

1. 尝试删除尾部斜杠 - 这可能会混淆它（虽然不太可能）
2. 或者，尝试使用其他语法形式，@Microsoft.KeyVault(VaultName={vault_name};SecretName={secret_name})
3. 停止并启动（而不是重新启动）函数应用（我已经看到这会产生影响，尽管理论上不应该这样做）

如果所有这些都失败，请禁用系统 msi，重新启用并确认在密钥保管库策略中分配了秘密获取权限。 （请注意，执行此操作后您必须停止/启动函数应用程序）