【发布时间】:2021-02-23 21:36:28
【问题描述】:
当我尝试使用专用链接访问我的 Key Vault 时(或者可能不是,不确定),服务返回 403 (Forbidden) 并显示以下消息:
This TCP connection does not allow access to {host}.
这是什么原因造成的?
【问题讨论】:
标签: azure azure-keyvault azure-private-link azure-private-dns-zone
当我尝试使用专用链接访问我的 Key Vault 时(或者可能不是,不确定),服务返回 403 (Forbidden) 并显示以下消息:
This TCP connection does not allow access to {host}.
这是什么原因造成的?
【问题讨论】:
标签: azure azure-keyvault azure-private-link azure-private-dns-zone
这可能是由以下原因引起的:
这是最常见的原因。以下步骤有助于诊断:
nslookup <key-vault-name>.vault.azure.net 或适当的命令来解析IP 地址(host <key-vault-name>.vault.azure.net 适用于大多数 Linux)。nslookup 或 host 命令中获得的匹配。如果不匹配,则必须修复。有关详细说明,请参阅 Azure 文档的 validate-the-dns-resolution 主题。host 标头处发送了错误的值当您访问 Key Vault 时,HTTP host 标头必须始终与 Key Vault 主机名匹配。这是绝大多数客户端的默认行为,但某些客户端允许自定义。此外,如果您使用代理,代理可能会更改此值。
https://contoso.vault.azure.net/,则 host 标头的值必须为 contoso.vault.azure.net。host 标头与您在第 2 步中捕获的标头匹配。这并不常见,但当您从服务端点迁移到专用端点时可能会发生这种情况,并且迁移未完成。以下步骤有助于诊断:
【讨论】: