Передняя дверца Azure и личный домен

Я пытаюсь настроить личный домен с помощью Azure Front Door Premium, поскольку только он позволяет мне иметь личный домен.

Главный вопрос — сертификат. У меня есть собственный SSL-сертификат. Azure Front Door Premium позволяет выбрать SSL-сертификат только из Azure Key Vault. Итак, я создал один и добавил сертификат. Отлично. Когда я пытаюсь добавить новый домен с помощью этого экрана

Передняя дверца Azure и личный домен

Я могу выбрать секрет из списка. Чтобы добавить сертификат, теперь мне нужно добавить секрет в Azure Front Door из Azure Key Vault. Итак, открываю Секрет, выбираю сертификат и нажимаю Добавить.

Передняя дверца Azure и личный домен

К сожалению, я получаю сообщение об ошибке

Failed to create the secret 'azuksch-CelloSSL-latest'. Error: We don't have permission to access this secret. Go to "Access policies" in your Key Vault account to give Microsoft.AzureFrontDoor-Cdn permission to get secrets.

После документация Майкрософт мне нужно добавить переднюю дверцу Azure в мой Azure Active Directory с помощью этой команды.

az ad sp create --id ad0e1c7e-6d38-4ba4-9efd-0bc77ba9f037 --role Contributor

но команда не работает. Я должен удалить последнюю часть команды, потому что role не распознается.

Передняя дверца Azure и личный домен

Итак, я бегу

az ad sp create --id ad0e1c7e-6d38-4ba4-9efd-0bc77ba9f037

но у меня та же проблема, когда я пытаюсь добавить секрет в Azure Front Door. Я немного погуглил и обнаружил, что мне нужно запустить другую команду для Azure Front Door Premium.

az ad sp create --id 205478c0-bd83-4e1b-a9d6-db63a3e1e1c8

Передняя дверца Azure и личный домен

и выбрал все параметры для всех трех раскрывающихся списков. Теперь у меня много политик доступа

Передняя дверца Azure и личный домен

Результат: я всегда получаю ту же ошибку

Failed to create the secret 'azuksch-CelloSSL-latest'. Error: We don't have permission to access this secret. Go to "Access policies" in your Key Vault account to give Microsoft.AzureFrontDoor-Cdn permission to get secrets.

Могу ли я это исправить?


121
1

Ответ:

Решено

Субъект-служба, который вы изначально создали с помощью идентификатора ad0e1c7e-6d38-4ba4-9efd-0bc77ba9f037, предназначен для Лазурная передняя дверь, а не для Премиум передняя дверца Azure..

Таким образом, он не даст разрешения для Microsoft.AzureFrontDoor-Cdn.. Документация, которую вы используете, также относится к Лазурная передняя дверь, а не к Передняя дверь Azure Premium.

Как упоминалось в этом Документ Майкрософт:

Registering service principal for Azure Front Door can only done once per tenant.

Так что, даже если вы снова создали субъект-службу с этим идентификатором 205478c0-bd83-4e1b-a9d6-db63a3e1e1c8, насколько я понимаю, это не сработает. Попробуйте удалить первый субъект-службу, созданный с помощью идентификатора ad0e1c7e-6d38-4ba4-9efd-0bc77ba9f037

Также обратите внимание на примечание ниже от Документ Майкрософт:

Azure Front Door Standard/Premium (Preview) is currently in public preview. This preview version is provided without a service level agreement, and it's not recommended for production workloads. Certain features might not be supported or might have constrained capabilities. 

Поскольку он все еще находится в предварительной версии, некоторые функции не будут работать. Итак, для обходного пути вы можете использовать Лазурная передняя дверь. Чтобы узнать, как добавить личный домен с помощью Лазурная передняя дверь, просмотрите этот Справка, если он вам поможет.