Azure 函数配置对象缓存问题

Question

Azure 函数应用的我的应用程序设置，有 keyvault 引用，如 @Microsoft.KeyVault(SecretUri=https://myvalut.vault.azure.net/secrets/mySecret/)， 每当 keyvault 中引入新版本的“mySecret”时，Azure 函数仍会呈现旧的/陈旧的值，而不是“mySecret”的最新值/版本。

如果我使用 KUDU (https://myhttpfunc.scm.azurewebsites.net/api/settings) 打开应用设置，我可以看到 "mySecret":"onemoretry" 其中 "onemoretry" 是旧值。只有 Azure func 应用重新启动会使用新值更新“mySecret”。

如何使使用 keyvault 引用的 Azure 函数在更新时获取目标 keyvault 机密的最新值/版本，而无需重新启动 Azure 函数？

Answer 1

该参考适用于应用程序配置，通常在启动或首次使用时获取并缓存（在本例中为后者）。它并不打算每次都获取。例如，如果您想通过 ETags 进行生命周期管理，您可以考虑使用 Azure 应用程序配置。如果您需要对这些值进行静态加密，只有有限的一组人可以访问，您将无法以这种方式使用机密，而是必须自己调用 Azure Key Vault，但您仍应缓存有限时间内的价值：Key Vault 的速率限制非常低，因此如果您的函数在短时间内收到大量调用，其中一些调用可能会受到限制并失败（有一个内置的重试策略，但'如果请求继续快速连续排队，则无济于事）。

例如，您可以自己获取秘密（假设 C#，因为不清楚您使用的是什么语言）：

var vaultUri = Environment.GetEnvironmentVariable("AZURE_KEYVAULT_URL") ?? throw new InvalidOperationException();
var client = new SecretClient(new Uri(vaultUri), new DefaultAzureCredential());
KeyVaultSecret secret = await client.GetSecretAsync("my-secret");

根据函数的触发方式，您可以使用多种内存缓存机制，例如每隔一段时间触发并更新密钥本身的计时器。 Key Vault 不支持 ETag，因此无论是否更改，每个请求都将针对该密钥。您可以查询版本是否更改，但这可以节省一点（无论如何您都必须获取完整的秘密，所以这是 2 个请求，您可以在每个间隔的 1 个请求中获取秘密）。

Answer 2

您可以使用Resource Explorer。当您找到要编辑的内容时，它实际上会告诉您必须点击的端点才能与之交互。

应用程序设置将在以下位置提供：
subscriptions -> resourceGroups -> [your app's resource group] -> providers -> Microsoft.Web -> sites -> [your app name] -> config -> appsettings

因此，您可以将 PUT 与提供的端点一起使用，并根据需要更改值。

我没有尝试使用 REST API，它可能无法按您的意愿工作；您更新的值应该覆盖缓存的值。

更多信息：
https://docs.microsoft.com/en-us/rest/api/appservice/WebApps/UpdateApplicationSettings http://blog.davidebbo.com/2015/12/calling-arm-using-plain-rest.html