Azure 容器应用程序 - 如何使客户端证书可用
问题描述 投票:0回答:1
我通过 Azure 容器应用程序公开端点(仅端口 8080)。 我首先需要执行的第一步是验证 http 请求客户端证书。
我有以下可以在本地运行的代码:
// Attempt to get the certificate from the connection
var clientCertificate = httpContext.Connection?.ClientCertificate;
if (clientCertificate != null)
return clientCertificate;
// Check if the X-ARR-ClientCert header is present
if (httpContext.Request.Headers.TryGetValue("X-ARR-ClientCert", out var certHeader) && !string.IsNullOrWhiteSpace(certHeader))
{
try
{
byte[] certBytes = Convert.FromBase64String(certHeader!);
clientCertificate = new X509Certificate2(certBytes);
return clientCertificate;
}
catch (Exception ex)
{
logger.LogError(ex, "Unable to parse certificate from header 'X-ARR-ClientCert'.");
}
}
本地运行时
httpContext.Connection?.ClientCertificatehttpContext.Request.Headers.TryGetValue("X-ARR-ClientCert", out var certHeader)我已经按照this并将值设置为“接受”。
我的 ACA 位于 vnet 内部,起初我以为可能是网关或其他东西正在删除证书,但当我尝试直接端点(从 vnet 内部)时,我遇到了完全相同的问题。
有什么想法吗?我是否缺少一些配置?
1个回答
0
投票
投票
如果您需要在 Azure 容器应用上设置 mTLS,一种有效的方法是使用 NGINX 作为反向代理。
您需要三种类型的证书:CA 证书、服务器证书和客户端证书。
现在,创建一个 NGINX 配置文件(例如 nginx.conf)
events {}
http {
server {
listen 8080 ssl;
ssl_certificate /etc/nginx/certs/server.crt;
ssl_certificate_key /etc/nginx/certs/server.key;
ssl_client_certificate /etc/nginx/certs/ca.crt;
ssl_verify_client on;
location / {
proxy_pass http://127.0.0.1:8081;
}
}
}
配置准备就绪后,为 NGINX 服务器和 FastAPI 应用程序创建 Dockerfiles
对于 nginx
FROM nginx:stable
COPY nginx.conf /etc/nginx/nginx.conf
COPY server.crt /etc/nginx/certs/server.crt
COPY server.key /etc/nginx/certs/server.key
COPY ca.crt /etc/nginx/certs/ca.crt
对于fastapi
FROM python:3.10-slim
RUN pip install fastapi uvicorn
COPY app.py /app/app.py
WORKDIR /app
EXPOSE 8081
CMD ["uvicorn", "app:app", "--host", "0.0.0.0", "--port", "8081"]
现在构建这些镜像,将它们推送到您的 acr,然后将它们部署到容器应用程序上
az containerapp create \
--name nginx-mtls-proxy \
--resource-group your-resource-group \
--environment your-environment \
--image your-acr-name.azurecr.io/nginx-mtls:latest \
--target-port 8080 \
--ingress external \
--registry-server your-acr-name.azurecr.io \
--registry-identity system
对 fastapi 重复相同的方式
完成。这应该使用 mTLS 保护您的应用程序。这里,nginx 反向代理在请求到达您的应用程序之前验证客户端证书。
最新问题
- 错误:手动编辑差异时“补丁不适用”
- Delphi 11,IMAP,命令参数错误。 Windows Server 2016 上为 12
- 无法将 CSS 样式应用到嵌套组件中的 Angular Material mat-icon
- S形曲线形状数据的优化拟合
- 您在哪里存储 CakePHP 4 Mailer 的配置文件?
- GKE Fluent 位部分日志
- 不循环计算给定数字的负二进制表示
- Grafana,如何将时间列从时间戳转换为日期
- 在 Azure Pipelines 中创建(并使用)本地 Docker 映像
- 如何创建与文件大小相同的缓冲区?
- jsDoc typedef 属性参考
- 带有 MAUI 的 iOS 点播资源
- 仅当满足另一个条件时才计算单元格值
- “向前/向后通道尺寸”对于pytorch模型(Yolov3)来说太大了
- 当从 Supabase 流式传输帖子时,为什么我会在调试控制台中看到“类型‘List<dynamic>’不是类型‘List<Binding>’的子类型”?
- 删除SQL Server中的重复记录?
- 使用 Plotly 的突出显示功能和 ggplotly 控制图例行为
- R Shiny:如何将相同的图分配给两个不同的plotOutput
- 封装类型转换在 Java 中不起作用?
- 不推荐使用 Sanity 客户端而不指定 API 版本
© www.soinside.com 2019 - 2024. All rights reserved.