修复 C# Azure AKS 部署中密钥环会话 Cookie 取消保护中的错误和密钥未找到

Temp mail SuperHeros
修复 C# Azure AKS 部署中密钥环会话 Cookie 取消保护中的错误和密钥未找到
修复 C# Azure AKS 部署中密钥环会话 Cookie 取消保护中的错误和密钥未找到
Daniel Marino
2024年11月2日星期六 下午10:21:09

排查 Azure AKS 中的密钥管理和会话 Cookie 问题

在 Azure Kubernetes 服务 (AKS) 上部署 C# 应用程序时,可能会遇到与密钥管理和数据保护相关的问题。此类错误之一是“在密钥环中未找到密钥”异常,该异常经常与“取消保护会话 cookie 时出错”一起出现。这可能会令人沮丧,尤其是在微服务架构中集成服务时。

在我们的例子中,我们使用 Docker 镜像 mcr.microsoft.com/dotnet/aspnet:8.0 部署应用程序。 AKS 内运行的外部应用负责与另一个服务建立 HTTP 连接。但是,数据保护失败会导致会话 cookie 不受保护,从而导致 Azure App Insights 中记录关键错误。

我们努力建立数据保护系统,包括将其配置为使用 Azure Blob 存储来实现密钥持久化。尽管关注官方 ASP.NET Core 文档 为了保护数据,应用程序仍然会抛出错误,无法从指定的 blob 存储位置获取密钥。

了解这些密钥的来源以及在密钥环中找不到它们的原因对于解决此问题至关重要。本文将探讨问题的根本原因,概述进一步调查的关键步骤,并提供潜在的解决方案以确保在 AKS 部署中正确实施数据保护配置。

命令 使用示例
PersistKeysToAzureBlobStorage() 此方法用于将数据保护密钥保存到指定的 Azure Blob 存储位置。它确保密钥存储在应用程序外部,从而提高跨实例的安全性和持久性。
SetApplicationName() 此命令为数据保护系统设置唯一的应用程序名称,允许共享环境中的应用程序具有隔离的密钥集。
SetDefaultKeyLifetime() 指定关键点在旋转之前保持活动状态的持续时间。这对于管理密钥轮换策略、改善会话数据的安全生命周期至关重要。
UseDataProtection() 该中间件激活应用程序内的数据保护系统。它确保应用程序可以生成并保护会话 cookie 等敏感数据。
ConnectionMultiplexer.Connect() 该方法用于连接到Redis实例。将 Redis 配置为分布式应用程序的关键存储机制时这一点至关重要。
PersistKeysToStackExchangeRedis() 此命令将数据保护密钥存储在 Redis 中,为跨应用程序的多个实例管理密钥提供高度可用且可扩展的存储选项。
IDataProtectionProvider 此接口提供数据保护 API 的入口点。它允许应用程序以编程方式创建数据保护器,确保 cookie 或令牌等数据保持受保护。
IDistributedCache 该接口允许分布式缓存,这在使用 Redis 进行缓存时至关重要。它确保可以跨多个分布式节点完成密钥存储和检索。

了解 Azure AKS 中的数据保护和密钥管理

前面提供的脚本在解决 Azure Kubernetes 服务 (AKS) 上运行的 C# 应用程序中的“密钥环中未找到密钥”错误和相关的“取消保护会话 cookie 时出错”问题方面发挥着至关重要的作用。在第一个脚本中,我们使用 数据保护 用于将密钥保留到 Azure Blob 存储的 API。此配置对于确保用于保护敏感数据(例如 cookie)的密钥安全地存储在容器化应用程序之外是必要的。关键方法 PersistKeysToAzureBlobStorage 确保密钥在应用程序的多个实例中可用,解决在 AKS pod 中找不到密钥环的问题。

我们还使用 设置应用程序名称 方法,这在多个应用程序可能共享相同基础设施的环境中至关重要。设置唯一的应用程序名称可将您的应用程序的密钥环与其他应用程序隔离,从而防止潜在的密钥冲突。还有一个重要的方法, 设置默认密钥生命周期,定义密钥的寿命,之后会生成新的密钥。这有助于定期轮换加密密钥,确保数据保护是最新的,并最大限度地降低由于长期密钥而导致密钥泄露的风险。

第二个脚本展示了使用 Redis 存储数据保护密钥的替代方法。 Redis 方法在需要具有高可用性的分布式密钥存储的场景中特别有用。这 ConnectionMultiplexer.Connect 方法建立与 Redis 实例的连接,并且 PersistKeysToStackExchangeRedis 方法用于将键持久保存在 Redis 中。此方法针对在不同节点上运行多个服务副本的分布式环境进行了优化,确保所有实例都可以安全地访问相同的加密密钥。

为了确保 Blob 和 Redis 配置正常工作,每个脚本中都添加了单元测试。这些测试检查是否 IDataProtectionProvider分布式缓存 在 ASP.NET Core 应用程序中正确配置服务。通过运行这些测试,您可以验证数据保护系统是否已正确设置以及密钥是否已从所需位置存储和检索。测试是至关重要的一步,因为它可以保证配置更改在不同环境中有效,从而解决 Azure AKS 部署中与密钥不可用相关的问题。

解决密钥环中未找到密钥和会话 Cookie 取消保护错误

使用 ASP.NET Core 数据保护和 Blob 存储来实现密钥持久性的 C# 后端解决方案

// Step 1: Configure Data Protection in Startup.cs
public void ConfigureServices(IServiceCollection services)
{
    services.AddDataProtection()
            .PersistKeysToAzureBlobStorage(new Uri("<b>your-blob-uri</b>"))
            .SetApplicationName("<b>your-app-name</b>")
            .SetDefaultKeyLifetime(TimeSpan.FromDays(30));
    services.AddControllersWithViews();
}

// Step 2: Ensure that the Data Protection keys are created in Blob Storage
public class Startup
{
    public void Configure(IApplicationBuilder app, IHostingEnvironment env)
    {
        if (env.IsDevelopment())
        {
            app.UseDeveloperExceptionPage();
        }
        app.UseDataProtection();
        app.UseRouting();
        app.UseEndpoints(endpoints => { endpoints.MapControllers(); });
    }
}

// Step 3: Add Unit Tests to verify Data Protection configuration
[Fact]
public void DataProtection_IsConfiguredCorrectly()
{
    // Arrange
    var dataProtectionProvider = services.GetService<IDataProtectionProvider>();
    Assert.NotNull(dataProtectionProvider);
}

替代解决方案:在 C# ASP.NET Core 中使用 Redis 进行密钥存储

使用 Redis 存储数据保护密钥而不是 Blob 存储的 C# 后端解决方案

// Step 1: Configure Data Protection with Redis in Startup.cs
public void ConfigureServices(IServiceCollection services)
{
    var redis = ConnectionMultiplexer.Connect("<b>redis-connection-string</b>");
    services.AddDataProtection()
            .PersistKeysToStackExchangeRedis(redis, "DataProtection-Keys");
    services.AddControllersWithViews();
}

// Step 2: Implement Redis Cache for Key Storage
public void Configure(IApplicationBuilder app, IWebHostEnvironment env)
{
    if (env.IsDevelopment())
    {
        app.UseDeveloperExceptionPage();
    }
    app.UseRouting();
    app.UseEndpoints(endpoints => { endpoints.MapControllers(); });
}

// Step 3: Add Unit Tests to verify Redis Configuration
[Fact]
public void RedisKeyStorage_IsConfiguredCorrectly()
{
    // Arrange
    var redisCache = services.GetService<IDistributedCache>();
    Assert.NotNull(redisCache);
}

对 Azure Kubernetes 中的数据保护密钥持久性进行故障排除

解决 Azure Kubernetes 服务 (AKS) 中的“密钥环中未找到密钥”错误的一个重要方面是确保环境的配置支持密钥持久性。默认情况下,应用程序可能不会在本地存储密钥,尤其是部署在容器等临时环境中时。在这种情况下,利用外部存储解决方案(例如 Azure Blob 存储或 Redis)至关重要,以确保 数据保护 密钥在 Pod 重新启动后仍然存在。

一个经常被忽视的因素是如何 环境变量 Kubernetes 中的应用程序设置在启用数据保护方面发挥着作用。部署到 AKS 时,通过“appsettings.json”或 Kubernetes 密钥等配置设置来定义关键存储路径或连接(对于 Blob 存储或 Redis)非常重要。如果没有这些配置,数据保护系统可能会回退到尝试将密钥保留在不存在的本地文件系统中的默认行为,从而导致错误。

另一个关键因素是为您的应用程序正确设置基于身份的访问。例如,使用 托管身份 Azure 中支持安全访问外部密钥存储(例如 Blob 存储)。确保应用程序的身份具有从 Blob 存储或 Redis 读取和写入的适当权限对于数据保护系统的工作至关重要。如果缺少这些权限,将无法正确存储或检索密钥,从而导致基于 AKS 的应用程序出现运行时错误。

有关 Azure AKS 中数据保护的常见问题

  1. 是什么原因导致“钥匙圈中未找到钥匙”错误?
  2. 该错误通常发生在以下情况: Data Protection 密钥未正确保存,通常是由于缺少外部存储或配置不正确。
  3. 如何在 AKS 环境中配置密钥存储?
  4. 您可以使用外部存储服务来配置密钥存储,例如 Azure Blob Storage 或者 Redis 为了数据保护密钥的持久性,请确保在“appsettings.json”中正确设置这些密钥。
  5. 托管身份在数据保护中的作用是什么?
  6. 托管身份允许您的应用程序安全地访问资源,例如 Azure Blob Storage 无需手动处理凭据。
  7. Kubernetes 中缺少环境变量对数据保护有何影响?
  8. 如果没有正确配置环境变量或应用程序设置,Data Protection 可能会回退到默认存储方法,从而导致“找不到密钥”错误。
  9. 可以使用Redis代替Blob存储进行密钥管理吗?
  10. 是的, PersistKeysToStackExchangeRedis() 可用于在 Redis 中存储密钥,Redis 是管理密钥的一种高度可用且可扩展的替代方案。

解决数据保护和关键持久性问题

总之,解决“密钥环中未找到密钥”问题需要正确配置外部存储以实现密钥持久性。确保正确集成应用程序的环境设置(例如 Blob 存储或 Redis)至关重要。

此外,利用 托管身份 确保配置必要的权限将允许应用程序安全地存储和检索密钥。正确设置这些组件将有助于避免错误并确保会话 cookie 在所有实例中始终受到保护。

来源和参考文献
  1. 本文引用了有关数据保护的 ASP.NET Core 官方文档,该文档提供了有关配置安全应用程序密钥管理的指南。 ASP.NET Core 数据保护概述
  2. 我们查阅了 Azure 文档来设置和管理外部存储服务,例如用于存储数据保护密钥的 Blob 存储。 Azure Blob 存储文档
  3. 使用 Microsoft 的 StackExchange.Redis 库探索了用于数据保护的 Redis 集成。详细文档可以在这里找到: StackExchange.Redis