我有一个已锁定的 Azure keyvault,但我需要从 Azure DevOps 访问它。我知道 IP 地址,但在线阅读时,该 IP 地址(或范围)似乎经常变化。有公布的名单/轮换吗?由于要求,我无法公开提供 Keyvault,但我需要从公共 Azure DevOps 访问它,因此我正在寻找一种永久解决方案(如果有的话)。
我可以监控 keyvault 上的日志是否有错误,然后从那里提取公共 IP 地址,但这并不理想。当 IP 更改时,该过程将导致失败。
要填写此问题,这里是 keyvault 日志的 KQL。
AzureDiagnostics
| where ResourceProvider =="MICROSOFT.KEYVAULT"
| where ResultDescription contains "Client address is not authorized."
| project ResultDescription, CallerIPAddress
这将返回两列:ResultDescription 和 CallerIPAddress,其中包含所有必需的信息。此外,自发布以来,我发现了以下文章,其中包含 Azure DevOps 的公共 IP 地址。此外,请参阅此 Github Issue,其中指出了美国北部和南部地区的重复 IP 范围。
假设列出的 IP 实际上是 CIDR 范围,那么很可能可以使用 CLI 将这些 IP 添加到您的 keyvault 中。
az keyvault network-rule add --name "my-key-vault" --resource-group 'my-resource-group' --ip-address @('20.37.194.0/24','20.42.226.0/24','191.235.226.0/24','52.228.82.0/24','20.195.68.0/24','20.41.194.0/24','20.204.197.192/26','20.37.158.0/23','52.150.138.0/24','40.80.187.0/24','40.119.10.0/24','20.42.5.0/24','20.41.6.0/23','40.82.252.0/24','20.42.134.0/23','20.125.155.0/24','40.74.28.0/23','20.166.41.0/24','51.104.26.0/24')
服务之间的规则可能会有所不同,我们需要 DevOps 的人员来帮助,但在 Azure 中,您可以使用此链接,它提供了跨资源的 IP 列表: https://www.microsoft.com/en-us/download/details.aspx?id=56519
需要注意的重要事项:“文件中出现的新范围至少一周内不会在 Azure 中使用。请每周下载新的 json 文件并在您的站点执行必要的更改,以正确识别 Azure 中运行的服务。”