Sdílet prostřednictvím


Řešení potíží s ACR Transferem

Selhání nebo chyby nasazení šablony

Problémy s přístupem ke službě Key Vault

  • Pokud vaše nasazení pipelineRun selže s chybou 403 Forbidden při přístupu ke službě Azure Key Vault, ověřte, že vaše spravovaná identita kanálu má odpovídající oprávnění.
  • Spuštění kanálu používá spravovanou identitu exportPipeline nebo importPipeline k načtení tajného kódu tokenu SAS ze služby Key Vault. ExportPipelines a importPipelines se zřizují s spravovanou identitou přiřazenou systémem nebo přiřazenou uživatelem. Tato spravovaná identita musí mít secret get oprávnění ke službě Key Vault, aby bylo možné číst tajný klíč tokenu SAS. Ujistěte se, že se do služby Key Vault přidaly zásady přístupu pro spravovanou identitu. Další informace najdete v tématu Poskytnutí přístupu k zásadám služby KeyVault identity ExportPipeline a udělení přístupu k zásadám služby KeyVault identity ImportPipeline.

Problémy s přístupem k úložišti

  • Pokud se zobrazí 403 Forbidden chyba z úložiště, pravděpodobně máte problém s tokenem SAS.
  • Token SAS nemusí být aktuálně platný. Platnost tokenu SAS může vypršela nebo se od vytvoření tokenu SAS mohly změnit klíče účtu úložiště. Ověřte platnost tokenu SAS tím, že se pokusíte použít token SAS k ověření přístupu ke kontejneru účtu úložiště. Můžete například vložit existující koncový bod objektu blob následovaný tokenem SAS do adresního řádku nového okna InPrivate Microsoft Edge nebo nahrát objekt blob do kontejneru pomocí tokenu SAS pomocí az storage blob upload.
  • Token SAS nemusí mít dostatek povolených typů prostředků. Ověřte, že token SAS má udělená oprávnění ke službě, kontejneru a objektu v části Povolené typy prostředků (srt=sco v tokenu SAS).
  • Token SAS nemusí mít dostatečná oprávnění. Pro export kanálů jsou požadovaná oprávnění tokenu SAS oprávnění ke čtení, zápisu, výpisu a přidání. Pro kanály importu jsou požadovaná oprávnění tokenu SAS oprávnění ke čtení, odstranění a výpisu. (Oprávnění Odstranit se vyžaduje jenom v případě, že má kanál importu povolenou DeleteSourceBlobOnSuccess možnost.)
  • Token SAS nemusí být nakonfigurovaný tak, aby fungoval jenom s HTTPS. Ověřte, že je token SAS nakonfigurovaný tak, aby fungoval jenom s HTTPS (spr=https v tokenu SAS).

Problémy s exportem nebo importem objektů blob úložiště

  • Token SAS může být neplatný nebo může mít nedostatečná oprávnění ke zadanému spuštění exportu nebo importu. Viz Problémy s přístupem k úložišti.
  • Existující objekt blob úložiště ve zdrojovém účtu úložiště se nemusí během několika spuštění exportu přepsat. Ověřte, že je ve spuštění exportu nastavená možnost PřepsatBlob a že token SAS má dostatečná oprávnění.
  • Po úspěšném spuštění importu se nemusí odstranit objekt blob úložiště v cílovém účtu úložiště. Ověřte, že je v importu nastavená možnost DeleteBlobOnSuccess a token SAS má dostatečná oprávnění.
  • Objekt blob úložiště se nevytvořil nebo neodstranil. Ověřte, že kontejner zadaný při exportu nebo importu existuje nebo že zadaný objekt blob úložiště existuje pro ruční spuštění importu.

Problémy s importy aktivačních událostí zdroje

  • Token SAS musí mít oprávnění Seznam, aby importy triggerů zdrojového kódu fungovaly.
  • Importy triggeru zdroje se aktivují jenom v případě, že má objekt blob úložiště čas poslední změny za posledních 60 dnů.
  • Objekt blob úložiště musí mít platnou vlastnost ContentMD5, aby ji mohla importovat funkce Trigger zdroje.
  • Objekt blob úložiště musí mít metadata objektu blob "category":"acr-transfer-blob", aby bylo možné importovat pomocí funkce Trigger zdroje. Tato metadata se při exportu spuštění kanálu přidají automaticky, ale při přesunu z účtu úložiště do účtu úložiště se můžou v závislosti na metodě kopírování odstranit.

Problémy s Nástrojem AzCopy

Problémy s přenosem artefaktů

  • Nepřenesou se všechny artefakty nebo žádné. Ověřte pravopis artefaktů při spuštění exportu a název objektu blob při exportu a importu. Ověřte, že přenášíte maximálně 50 artefaktů.
  • Spuštění kanálu pravděpodobně nebylo dokončeno. Spuštění exportu nebo importu může nějakou dobu trvat.
  • V případě jiných problémů s kanály zadejte ID korelace nasazení spuštění exportu nebo importu do týmu služby Azure Container Registry.
  • Pokud chcete vytvořit prostředky ACR Transfer, jako exportPipelinesje například , importPipelines, a pipelineRunsuživatel musí mít alespoň přístup přispěvatele k předplatnému ACR. Jinak uvidí autorizaci k provedení odepřeného přenosu nebo je obor neplatnými chybami.

Problémy s načtením image v fyzicky izolovaném prostředí

  • Pokud se při pokusu o načtení image v fyzicky izolovaném prostředí zobrazí chyby týkající se cizích vrstev nebo pokusů o vyřešení mcr.microsoft.com, bude mít manifest image pravděpodobně ne distribuovatelné vrstvy. Vzhledem k povaze fyzicky izolovaného prostředí se tyto image často nepodaří vyžádat. Můžete ověřit, že se jedná o tento případ, a to tak, že v manifestu image zkontrolujete všechny odkazy na externí registry. Pokud ano, budete muset před nasazením exportu spuštění kanálu pro tuto image odeslat neextribuovatelné vrstvy do služby ACR veřejného cloudu. Pokyny k tomu najdete v tématu Návody nasdílení ne distribuovatelných vrstev do registru?