Solución de problemas de puente de recursos de Azure Arc
En este artículo se proporciona información sobre la solución de problemas que pueden producirse al intentar implementar, utilizar o eliminar el puente de recursos de Azure Arc. El puente de recursos es una máquina virtual empaquetada, la cual hospeda un clúster de Kubernetes de administración. Para obtener información general, consulte Información general del puente de recursos Azure Arc.
Problemas generales
Recopilación de registros
En caso de encontrar problemas con el puente de recursos de Arc, recopile los registros para investigarlos más exhaustivamente mediante el comando az arcappliance logs
de la CLI de Azure. Este comando debe ejecutarse desde la máquina de administración que se usa para implementar el puente de recursos de Arc. Si usa una máquina diferente, la máquina debe cumplir los requisitos de la máquina de administración.
Si hay un problema al recopilar registros, lo más probable es que la máquina de administración no pueda acceder a la máquina virtual del dispositivo. Póngase en contacto con el administrador de red para permitir la comunicación SSH desde la máquina de administración a la máquina virtual del dispositivo en el puerto TCP 22.
Puede recopilar los registros del puente de recursos de Arc pasando la dirección IP de la máquina virtual del dispositivo o kubeconfig en el comando de registros.
Recopilar registros de puente de recursos de Arc en VMware mediante la dirección IP de la máquina virtual del dispositivo:
az arcappliance logs vmware --ip <appliance VM IP> --username <vSphere username> --password <vSphere password> --address <vCenter address> --out-dir <path to output directory>
Para recopilar registros de Arc Resource Bridge para Azure Stack HCI, consulte Recopilación de registros.
Si no está seguro de la dirección IP de la máquina virtual del dispositivo, también hay la opción de usar kubeconfig. Puede recuperar kubeconfig ejecutando el comando get-credentials, a continuación, ejecute el comando logs.
Recuperar la clave de registro y kubeconfig y, luego, recopilar registros de VMware habilitado para Arc desde una máquina diferente a la usada para implementar el puente de recursos de Arc para VMware habilitado para Arc:
az account set -s <subscription id>
az arcappliance get-credentials -n <Arc resource bridge name> -g <resource group name>
az arcappliance logs vmware --kubeconfig kubeconfig --out-dir <path to specified output directory>
La conectividad de descarga y carga no se realizó correctamente
Si la velocidad de red es lenta, es posible que no pueda descargar correctamente la imagen de máquina virtual del puente de recursos de Arc, lo que produce este error: ErrorCode: ValidateKvaError, Error: Pre-deployment validation of your download/upload connectivity was not successful. Timeout error occurred during download and preparation of appliance image to the on-premises fabric storage. Common causes of this timeout error are slow network download/upload speeds, a proxy limiting the network speed or slow storage performance.
Como solución alternativa, pruebe a crear una máquina virtual directamente en la nube privada local y, a continuación, ejecute el script de implementación del puente de recursos de Arc desde esa máquina virtual. Esto debería dar lugar a una carga más rápida de la imagen en el almacén de datos.
Tiempo de espera del contexto durante la fase ApplyingKvaImageOperator
Al implementar el puente de recursos de Arc, es posible que vea este error: Deployment of the Arc resource bridge appliance VM timed out. Collect logs with _az arcappliance logs_ and create a support ticket for help. To troubleshoot the error, refer to aka.ms/arc-rb-error { _errorCode_: _ContextError_, _errorResponse_: _{\n\_message\_: \_Context timed out during phase _ApplyingKvaImageOperator_\_\n}_ }
Este error se produce normalmente cuando se intenta descargar la imagen de KVAIO
(400 MB comprimidos) a través de una red que es lenta o que experimenta una conectividad intermitente. El administrador de controladores de KVAIO
espera a que se complete la descarga de la imagen y agote el tiempo de espera.
Compruebe que la velocidad de red entre la máquina virtual del puente de recursos de Arc y Microsoft Container Registry (mcr.microsoft.com
) es estable y al menos 2 Mbps. Si la conectividad de red y la velocidad son estables y sigue recibiendo este error, espere al menos 30 minutos antes de reintentar, ya que podría deberse a que Microsoft Container Registry recibe un gran volumen de tráfico.
Tiempo de espera del contexto durante la fase WaitingForAPIServer
Al implementar el puente de recursos de Arc, es posible que vea este error: Deployment of the Arc resource bridge appliance VM timed out. Collect logs with _az arcappliance logs_ and create a support ticket for help. To troubleshoot the error, refer to aka.ms/arc-rb-error { _errorCode_: _ContextError_, _errorResponse_: _{\n\_message\_: \_Context timed out during phase _WaitingForAPIServer
Este error indica que la máquina de implementación no puede ponerse en contacto con la dirección IP del plano de control para el puente de recursos de Arc dentro del límite de tiempo. Las causas comunes del error suelen estar relacionadas con las redes, como la comunicación entre la máquina de implementación y la dirección IP del plano de control que se enruta a través de un proxy. El tráfico desde la máquina de implementación al plano de control y las direcciones IP de la máquina virtual del dispositivo no deben pasar por el proxy. Si el tráfico se está proxyando, configure la configuración del proxy en la red o la máquina de implementación para no proxy entre el tráfico entre la máquina de implementación a la dirección IP del plano de control y las direcciones IP de máquina virtual del dispositivo. Otra causa de este error es si un firewall cierra el acceso al puerto 6443 y el puerto 22 entre la máquina de implementación y la dirección IP del plano de control o las direcciones IP de la máquina de implementación y de la máquina virtual del dispositivo.
403 prohibido o 404 sitio no encontrado
Al implementar el puente de recursos de Arc, es posible que vea este error: { _errorCode_: _UploadError_, _errorResponse_: _{\n\_message\_: \_Pre-deployment validation of your download/upload connectivity was not successful. {\\n \\\_code\\\_: \\\_ImageProvisionError\\\_,\\n \\\_message\\\_: \\\_403 Forbidden
o { _errorCode_: _UploadError_, _errorResponse_: _{\n\_message\_: \_Pre-deployment validation of your download/upload connectivity was not successful. {\\n \\\_code\\\_: \\\_ImageProvisionError\\\_,\\n \\\_message\\\_: \\\_404 Site Not Found
Este error se produce cuando es necesario descargar imágenes de registros de Microsoft en la máquina de implementación, pero un proxy o firewall bloquea la descarga. Revise los requisitos de red y compruebe que todas las direcciones URL necesarias son accesibles. Es posible que tenga que actualizar la configuración sin proxy para asegurarse de que el tráfico de la máquina de implementación a las direcciones URL necesarias de Microsoft no pasa por un proxy.
Acceso denegado a carpetas SSH
La CLI requiere permiso para acceder a la carpeta SSH durante la implementación o las operaciones que implican el acceso a archivos dentro de la carpeta. Esta carpeta contiene archivos esenciales, como kubeconfig y la clave de registros de la máquina virtual del dispositivo. Por ejemplo, la CLI debe acceder a la clave de registros almacenada en la carpeta SSH para recopilar registros de la máquina virtual del dispositivo.
Es posible que vea este error: Access to the file in the SSH folder was denied. This may occur if the CLI doesn't have permission to the SSH folder or if another CLI instance is using the file
. Hay dos causas comunes para este problema:
- Permisos insuficientes: la CLI carece de los permisos necesarios para acceder a la carpeta SSH. Asegúrese de que la cuenta de usuario que ejecuta la CLI tiene los permisos adecuados para acceder a la carpeta SSH.
- Acceso simultáneo a archivos: otra instancia de la CLI podría usar el archivo en la carpeta SSH. Esto suele ocurrir en estaciones de trabajo con perfiles compartidos. Asegúrese de que cualquier otra instancia de la CLI complete o finalice su operación antes de continuar.
El puente de recursos de Arc está sin conexión
Los cambios de red en la infraestructura, el entorno o el clúster pueden impedir que la máquina virtual del dispositivo pueda comunicarse con su recurso homólogo de Azure. Si no puede determinar qué ha cambiado, puede reiniciar la máquina virtual del dispositivo, recopilar registros y enviar una incidencia de soporte técnico para una investigación más detallada.
No se admite PowerShell remoto
Si ejecuta az arcappliance
comandos de la CLI para el puente de recursos de Arc a través de PowerShell remoto, es posible que vea un error de protocolo de enlace de autenticación al intentar instalar el puente de recursos en un clúster de Azure Stack HCI u otro tipo de error.
El uso de az arcappliance
comandos desde PowerShell remoto no es admitido actualmente. En su lugar, debe iniciar sesión en el nodo a través del Protocolo de escritorio remoto (RDP) o usar una sesión de consola.
No se pueden actualizar las configuraciones del puente de recursos
En esta versión, todos los parámetros se especifican en el momento de la creación. Para actualizar el puente de recursos de Arc, debe eliminarlo y volver a implementarlo.
Por ejemplo, si especifica la ubicación incorrecta o la suscripción durante la implementación, se produce un error en la creación de recursos. Si solo intenta volver a crear el recurso sin volver a implementar la máquina virtual del puente de recursos, el estado se bloquea en WaitForHeartBeat
.
Para resolver este problema, elimine el dispositivo y actualice el archivo YAML del dispositivo. Después, vuelva a implementar y cree el puente de recursos.
Red del dispositivo no disponible
Si el puente de recursos de Arc experimenta problemas de red, es posible que vea un error Appliance Network Unavailable
. En general, cualquier problema de conectividad de red o infraestructura a la máquina virtual del dispositivo puede provocar este error. Este error también puede mostrarse como Error while dialing dial tcp xx.xx.xxx.xx:55000: connect: no route to host
. El problema podría ser que la comunicación desde el host a la máquina virtual del puente de recursos de Arc se debe abrir a través del puerto TCP 22 con la ayuda del administrador de red. Es posible que un problema de red temporal no permita que el host llegue a la máquina virtual del puente de recursos de Arc. Una vez resuelto el problema de red, puede volver a intentar la operación. También puede comprobar que la máquina virtual del dispositivo para el puente de recursos de Arc no esté detenida o que no tenga conexión. Con Azure Stack HCI, este error se puede producir cuando el almacenamiento del host está lleno.
Error de actualización del token
Al ejecutar comandos de la CLI de Azure, es posible que vea el siguiente error: The refresh token has expired or is invalid due to sign-in frequency checks by conditional access.
Este error se produce porque al iniciar sesión en Azure, el token tiene una duración máxima. Cuando se supera esa duración, es preciso volver a iniciar sesión en Azure, y para hacerlo, hay que usar el comando az login
.
Los grupos de recursos de host predeterminados no están disponibles para su implementación
Al usar el comando az arcappliance createconfig
o az arcappliance run
, una experiencia interactiva muestra la lista de entidades de VMware que puede seleccionar para implementar la aplicación virtual. En esta lista se muestran todos los grupos de recursos creados por el usuario junto con los grupos de recursos de clúster predeterminados, pero los grupos de recursos de host predeterminados no aparecen en la lista. Cuando el dispositivo se implementa en un grupo de recursos de host, no hay alta disponibilidad si se produce un error en el hardware del host. Se recomienda no implementar el dispositivo en un grupo de recursos de host.
El estado del puente de recursos es Sin conexión y el estado de aprovisionamiento es Erróneo
Al implementar el puente de recursos de Arc, es posible que el puente aparezca correctamente implementado porque no se encontraron errores al ejecutar az arcappliance deploy
o az arcappliance create
. Sin embargo, al ver el puente en Azure Portal, es posible que vea el estado que se muestra como Offline
, y az arcappliance show
podría mostrar el provisioningState
como Failed
. Este problema se produce cuando los proveedores necesarios no están registrados antes de implementar el puente.
En el caso de Azure Stack HCI, versión 23H2 y posteriores, Arc Resource Bridge se implementa automáticamente durante la implementación del clúster y la instalación manual ya no es necesaria.
Si el puente de recursos de Arc está sin conexión, intente reiniciar la máquina virtual de Arc Resource Bridge. Si el problema persiste, póngase en contacto con el servicio de soporte técnico de Microsoft.
Nota:
La reinstalación de Arc Resource Bridge en Azure Stack HCI podría provocar problemas con los recursos de Azure existentes.
Para resolver este problema, elimine el puente de recursos, registre los proveedores, y luego, vuelva a implementar el puente de recursos.
Eliminar el puente de recursos:
az arcappliance delete <fabric> --config-file <path to appliance.yaml>
Registro de los proveedores:
az provider register --namespace Microsoft.ExtendedLocation –-wait az provider register --namespace Microsoft.ResourceConnector –-wait
Vuelva a implementar el puente de recursos.
Nota:
Los productos de socios (como VMware vSphere habilitado para Arc) podrían tener sus propios proveedores requeridos para registrarse. Para obtener información sobre estos proveedores adicionales, vea la documentación del producto.
Credenciales caducadas en la máquina virtual del dispositivo
El puente de recursos de Arc consiste en una máquina virtual de dispositivo que se implementa en la infraestructura local. La máquina virtual del dispositivo mantiene una conexión con el punto de conexión de administración de la infraestructura local utilizando credenciales almacenadas localmente. Si estas credenciales no se actualizan, el puente de recursos ya no podrá comunicarse con el punto de conexión de administración. Esto puede causar problemas al intentar actualizar el puente de recursos o administrar máquinas virtuales a través de Azure.
Para corregir este problema, es necesario actualizar las credenciales de la máquina virtual del dispositivo. Para obtener más información, consulte Actualización de credenciales en la máquina virtual del dispositivo.
Private Link no es compatible
El puente de recursos de Arc no admite un vínculo privado. Las llamadas procedentes de la máquina virtual del dispositivo no deben pasar por la configuración del vínculo privado. Las direcciones IP de Private Link pueden entrar en conflicto con el intervalo del grupo de direcciones IP del dispositivo, que no se puede configurar en el puente de recursos. El puente de recursos de Arc llega a las direcciones URL necesarias que no deben pasar por una conexión de vínculo privado. Debe implementar el puente de recursos de Arc en un segmento de red independiente no relacionado con la configuración de vínculo privado.
Problemas de red
Error de imagen de retroceso
Al intentar implementar el puente de recursos de Arc, es posible que aparezca un error que contiene back-off pulling image \\\"url"\\\: FailFastPodCondition
. Este error se produce cuando la máquina virtual del dispositivo no puede acceder a la URL especificada en el error. Para resolver este problema, asegúrese de que la máquina virtual del dispositivo cumple los requisitos del sistema, incluida la conectividad de acceso a Internet a las URL de listas de permisos necesarias.
La máquina de administración no puede acceder al dispositivo
Al intentar implementar el puente de recursos de Arc, es posible que reciba un mensaje de error similar al siguiente:
{ _errorCode_: _PostOperationsError_, _errorResponse_: _{\n\_message\_: \_Timeout occurred due to management machine being unable to reach the appliance VM IP, 10.2.196.170. Ensure that the requirements are met: https://aka.ms/arb-machine-reqs: dial tcp 10.2.196.170:22: connectex: A connection attempt failed because the connected party did not properly respond after a period of time, or established connection failed because connected host has failed to respond.\_\n}_, _errorMetadata_: { _errorCategory_: __ }
Este error se produce cuando la máquina de administración no puede acceder a la dirección IP de la máquina virtual del puente de recursos de Arc mediante SSH (Puerto 22) o servidor de API (Puerto 6443). También podría ocurrir si el servidor de API del puente de recursos de Arc se está proxyando; el servidor de API de puente de recursos de Arc debe agregarse a la configuración de noproxy. Para obtener más información, consulte Requisitos de red del puente de recursos de Azure Arc.
No se puede conectar a la URL
Si recibe un error que contiene Not able to connect to https://example.url.com
, consulte con su administrador de red para asegurarse de que su red permite todas las URL de firewall y proxy necesarias para implementar el puente de recursos de Arc. Para obtener más información, consulte Requisitos de red del puente de recursos de Azure Arc.
No se puede conectar: error en la validación de la conectividad a Internet y de red
Al implementar el puente de recursos de Arc, puede recibir un error con errorCode
como PostOperationsError
, errorResponse
como código GuestInternetConnectivityError
con una dirección URL que especifica el puerto 53 (DNS). Este error puede deberse a que las direcciones IP de la máquina virtual del dispositivo no pueden acceder a los servidores DNS, por lo que no pueden resolver el punto de conexión especificado en el error.
Ejemplos de error:
{ _errorCode_: _PostOperationsError_, _errorResponse_: _{\n\_message\_: \_{\\n \\\_code\\\_:\\\_GuestInternetConnectivityError\\\_,\\n\\\_message\\\_:\\\_Not able to connect to http://aszhcitest01.company.org:55000. Error returned: action failed after 5 attempts: Get \\\\\\\_http://aszhcitest01.company.org:55000\\\\\\\_: dial tcp: lookup aszhcitest01.company.org on 127.0.0.53:53: read udp 127.0.0.1:32975-\\u003e127.0.0.53:53: i/o timeout. Arc Resource Bridge network and internet connectivity validation failed: cloud-agent-connectivity-test. 1. check your networking setup and ensure the URLs mentioned in : https://aka.ms/AAla73m are reachable from the Appliance VM. 2. Check firewall/proxy settings\\\_\\n }\_\n}_ }
{ _errorCode_: _PostOperationsError_, _errorResponse_: _{\n\_message\_: \_{\\n \\\_code\\\_: \\\_GuestInternetConnectivityError\\\_,\\n \\\_message\\\_: \\\_Not able to connect to https://linuxgeneva-microsoft.azurecr.io. Error returned: action failed after 5 attempts: Get \\\\\\\_https://linuxgeneva-microsoft.azurecr.io\\\\\\\_: dial tcp: lookup linuxgeneva-microsoft.azurecr.io on 127.0.0.53:53: server misbehaving. Arc Resource Bridge network and internet connectivity validation failed: http-connectivity-test-arc. 1. Please check your networking setup and ensure the URLs mentioned in : https://aka.ms/AAla73m are reachable from the Appliance VM. 2. Check firewall/proxy settings\\\_\\n }\_\n}_ }
Para resolver estos errores, trabaje con el administrador de red para permitir que las direcciones IP de la máquina virtual del dispositivo lleguen a los servidores DNS. Para obtener más información, consulte Requisitos de red del puente de recursos de Azure Arc.
Servidor Http2 enviado GOAWAY
Al intentar implementar el puente de recursos de Arc, es posible que reciba mensajes de error similares a los siguientes:
"errorResponse": "{\n\"message\": \"Post \\\"https://region.dp.kubernetesconfiguration.azure.com/azure-arc-appliance-k8sagents/GetLatestHelmPackagePath?api-version=2019-11-01-preview\\u0026releaseTrain=stable\\\": http2: server sent GOAWAY and closed the connection; LastStreamID=1, ErrCode=NO_ERROR, debug=\\\"\\\"\"\n}"
o
Post \_https://canadacentral.dp.kubernetesconfiguration.azure.com/azure-arc-appliance-k8sagents/GetLatestHelmPackagePath?api-version=2019-11-01-preview\u0026releaseTrain=stable\_: read tcp 10.128.131.173:52425-\u003e52.228.84.81:443: wsarecv: An existing connection was forcibly closed by the remote host.
Este error se produce cuando un firewall o proxy tiene habilitada la inspección SSL/TLS y bloquea las llamadas http2 desde la máquina que se usa para implementar el puente de recursos. Para confirmar el problema, ejecute el siguiente cmdlet de PowerShell para invocar la solicitud web con http2 (requiere PowerShell versión 7 o posterior), reemplazando la región en la dirección URL y api-version
(por ejemplo, 2019-11-01
) por valores del error:
Invoke-WebRequest -HttpVersion 2.0 -UseBasicParsing -Uri https://region.dp.kubernetesconfiguration.azure.com/azure-arc-appliance-k8sagents/GetLatestHelmPackagePath?api-version=2019-11-01-preview"&"releaseTrain=stable -Method Post -Verbose
Si el resultado es The response ended prematurely while waiting for the next frame from the server
, la llamada http2 se bloquea y debe permitirse. Trabaje con el administrador de red para deshabilitar la inspección SSL/TLS para permitir llamadas http2 desde la máquina que se usa para implementar el puente.
No se admite este host: .local
no se admite
Al intentar establecer la configuración para el puente de recursos Arc, es posible que reciba un mensaje de error similar a:
"message": "Post \"https://esx.lab.local/52c-acac707ce02c/disk-0.vmdk\": dial tcp: lookup esx.lab.local: no such host"
Este error se produce cuando se proporciona una ruta de acceso .local
para una configuración, como proxy, dns, almacén de datos o punto de conexión de administración (como vCenter). La máquina virtual del dispositivo del puente de recursos Arc utiliza Azure Linux OS, que no es compatible .local
por defecto. Una solución podría ser facilitar la dirección IP cuando proceda.
El puente de recursos de Azure Arc no está disponible
El puente de recursos Azure Arc ejecuta un clúster Kubernetes, y su plano de control requiere una dirección IP estática. La dirección IP se especifica en el archivo infra.yaml
. Si la dirección IP se asigna desde un servidor DHCP, la dirección puede cambiar si no está reservada. Reiniciar el puente de recursos de Azure Arc o la máquina virtual puede desencadenar un cambio de dirección IP y provocar errores en los servicios.
El puente de recursos de Arc puede perder intermitentemente la configuración de IP reservada. Esta pérdida se debe al comportamiento descrito en pérdida de VIP cuando systemd-networkd
se reinicia. Cuando la dirección IP no está asignada a la máquina virtual de puente de recursos de Azure Arc, cualquier llamada al servidor API de puente de recursos falla. Las operaciones principales, como la creación de un nuevo recurso, la conexión a la nube privada desde Azure o la creación de una ubicación personalizada, no funcionarán según lo previsto.
Para resolver este problema, reinicie la máquina virtual de puente de recursos y debería recuperar su dirección IP. Si la dirección se asigna desde un servidor DHCP, reserve la dirección IP asociada al puente de recursos.
El puente de recursos de Arc también puede ser inaccesible debido al acceso lento al disco. El puente de recursos de Azure Arc usa el árbol de configuración extendida (ETCD) de Kubernetes, que requiere latencia de 10 ms o menos. Si el disco subyacente tiene un rendimiento bajo, las operaciones se ven afectadas y pueden producirse errores.
Problemas de configuración del proxy SSL
Asegúrese de que el servidor proxy de su equipo de administración confía tanto en el certificado SSL de su proxy SSL como en el certificado SSL de los servidores de descarga de Microsoft. Para obtener más información, consulte Configuración de proxy SSL.
Host desconocido: dp.kubernetesconfiguration.azure.com
Un error que contiene dial tcp: lookup westeurope.dp.kubernetesconfiguration.azure.com: no such host
al implementar el puente de recursos de Arc significa que el plano de datos de configuración no está disponible actualmente en la región especificada. Es posible que el servicio no esté disponible temporalmente. Espere a que el servicio esté disponible y vuelva a intentar la implementación.
Conexión de proxy - TCP: host desconocido para el puente de recursos de Arc
Un error que contiene una dirección URL necesaria del puente de recursos de Arc con el mensaje proxyconnect tcp: dial tcp: lookup http: no such host
indica que DNS no puede resolver la dirección URL. El error puede ser similar a este ejemplo, donde la dirección URL necesaria es https://msk8s.api.cdp.microsoft.com
:
Error: { _errorCode_: _InvalidEntityError_, _errorResponse_: _{\n\_message\_: \_Post \\\_https://msk8s.api.cdp.microsoft.com/api/v1.1/contents/default/namespaces/default/names/arc-appliance-stable-catalogs-ext/versions/latest?action=select\\\_: POST https://msk8s.api.cdp.microsoft.com/api/v1.1/contents/default/namespaces/default/names/arc-appliance-stable-catalogs-ext/versions/latest?action=select giving up after 6 attempt(s): Post \\\_https://msk8s.api.cdp.microsoft.com/api/v1.1/contents/default/namespaces/default/names/arc-appliance-stable-catalogs-ext/versions/latest?action=select\\\_: proxyconnect tcp: dial tcp: lookup http: no such host\_\n}_ }
Este error puede producirse si la configuración de DNS proporcionada durante la implementación no es correcta o hay un problema con los servidores DNS. Puede comprobar si el servidor DNS puede resolver la dirección URL mediante la ejecución del siguiente comando desde el equipo de administración o una máquina que tenga acceso a los servidores DNS:
nslookup
> set debug
> <hostname> <DNS server IP>
Para resolver el error, configure los servidores DNS para resolver todas las direcciones URL necesarias del puente de recursos de Arc. Los servidores DNS deben proporcionarse correctamente al implementar el puente de recursos de Arc.
Error de tiempo de espera de KVA
El error de tiempo de espera de KVA es un error genérico causado por varias configuraciones incorrectas de red que implican la máquina de administración, por ejemplo, la máquina virtual del dispositivo o la dirección IP del plano de control pueden no tener comunicación entre sí, con Internet o direcciones URL necesarias. Estos errores de comunicación suelen deberse a problemas con la resolución de DNS, la configuración del proxy, la configuración de red o el acceso a Internet.
Para mayor claridad, "máquina de administración" se refiere a la máquina donde se están ejecutando los comandos CLI de implementación. "Máquina virtual del dispositivo" es la máquina virtual que hospeda el puente de recursos de Arc. "IP del plano de control" es la dirección IP del plano de control para el clúster de administración de Kubernetes en la máquina virtual del dispositivo.
Principales causas del error de tiempo de espera de KVA
- La máquina de administración no puede comunicarse con la IP del plano de control ni con la IP de la máquina virtual del dispositivo.
- La máquina virtual del dispositivo no puede comunicarse con la máquina de administración, el punto de conexión de vCenter (para VMware) o el punto de conexión del agente de nube de MOC (para Azure Stack HCI).
- La máquina virtual del dispositivo no tiene acceso a Internet.
- La máquina virtual del dispositivo tiene acceso a Internet, pero se bloquea la conectividad a una o varias direcciones URL necesarias, posiblemente debido a un proxy o a un firewall.
- La máquina virtual del dispositivo no puede acceder a un servidor DNS que pueda resolver nombres internos, como el punto de conexión de vCenter para vSphere o el punto de conexión del agente en la nube para Azure Stack HCI. El servidor DNS también debe poder resolver direcciones externas, como las direcciones de servicios de Azure y los nombres del registro de contenedor.
- La configuración del servidor proxy en la máquina de administración o en los archivos de configuración del puente de recursos Arc es incorrecta. Esto puede afectar tanto a la máquina de administración como a la máquina virtual del dispositivo. Cuando se ejecuta el comando
az arcappliance prepare
y el proxy de host no está configurado correctamente, la máquina de administración no puede conectarse ni descargar imágenes del sistema operativo. El acceso a Internet en la máquina virtual del dispositivo podría estar interrumpido por una configuración de proxy incorrecta o que falta, lo que afecta a la capacidad de la máquina virtual para extraer imágenes de contenedor.
Solución de problemas del error de tiempo de espera de KVA
Para resolver el error, es posible que haya que solucionar uno o varios errores de configuración de la red.
El primer paso es recopilar registros por IP de máquina virtual del dispositivo (no por kubeconfig, ya que kubeconfig podría estar vacío si el comando de implementación no se completó). Lo más probable es que los problemas de recopilación de registros se deban a que el equipo de administración no puede acceder a la máquina virtual del dispositivo.
Una vez recopilados los registros, extraiga la carpeta y abra
kva.log
. Revise el registro para obtener información que pueda ayudar a identificar la causa del error de tiempo de espera de KVA.La máquina de administración debe ser capaz de comunicarse con la IP de la máquina virtual del dispositivo y la IP del plano de control. Haga ping a la dirección IP del plano de control y a la dirección IP de la máquina de administración del dispositivo y compruebe que hay una respuesta de ambas direcciones IP.
Si se agota el tiempo de espera de una solicitud, el equipo de administración no se puede comunicar con las direcciones IP. Este problema puede deberse a un puerto cerrado, una configuración incorrecta de red o un bloque de firewall. Trabaje con su administrador de red para permitir la comunicación entre la máquina de administración a la IP del Plano de Control y la IP de la máquina virtual del dispositivo.
La dirección IP de la máquina virtual del dispositivo y la dirección IP del plano de control deben poder comunicarse con la máquina de administración y el punto de conexión de vCenter (para VMware) o el punto de conexión del agente en la nube de MOC (para Azure Stack HCI). Trabaje con el administrador de red para asegurarse de que la red está configurada para permitir esta comunicación. Es posible que tenga que agregar una regla de firewall para abrir el puerto 443 desde la dirección IP de máquina virtual del dispositivo y la dirección IP del plano de control a vCenter, o para abrir el puerto 65000 y 55000 para el agente en la nube MOC de Azure Stack HCI. Revise los requisitos de red de Azure Stack HCI y VMware para el puente de recursos de Arc.
La dirección IP de la máquina virtual del dispositivo y la dirección IP del plano de control necesitan acceso a las direcciones URL necesarias. Azure Stack HCI requiere direcciones URL adicionales. Trabaje con el administrador de red para asegurarse de que las direcciones IP puedan acceder a las direcciones URL necesarias.
En un entorno sin proxy, la máquina de administración debe tener resolución DNS externa e interna. El equipo de administración debe poder acceder a un servidor DNS que pueda resolver nombres internos, como el punto de conexión de vCenter para vSphere o el punto de conexión del agente de nube para Azure Stack HCI. El servidor DNS también debe poder resolver direcciones externas, como las direcciones URL de Azure y las direcciones URL de descarga de imágenes del sistema operativo. Colabore con el administrador del sistema para asegurarse de que la máquina de administración dispone de resolución DNS interna y externa. En un entorno con proxy, la resolución DNS en el servidor proxy debe resolver los puntos de conexión internos y las direcciones externas necesarias.
Para probar la resolución DNS en una dirección interna desde la máquina de administración en un escenario que no es de proxy, abra un símbolo del sistema y ejecute
nslookup <vCenter endpoint or HCI MOC cloud agent IP>
. Debería recibir una respuesta si la máquina de administración tiene resolución DNS interna en un escenario sin proxy.
La máquina virtual del dispositivo debe poder acceder a un servidor DNS que pueda resolver nombres internos, como el punto de conexión de vCenter para vSphere o el punto de conexión del agente en la nube para Azure Stack HCI. El servidor DNS también debe poder resolver direcciones externas o internas, como direcciones de servicios de Azure y nombres de registro de contenedor para descargar las imágenes de contenedor del puente de recursos de Arc desde la nube.
Compruebe que la dirección IP del servidor DNS usada para crear los archivos de configuración tiene resolución de direcciones internas y externas. Si no es así, elimine el dispositivo, vuelva a crear los archivos de configuración del puente de recursos de Arc con la configuración correcta del servidor DNS y, luego, implemente el puente de recursos de Arc con los nuevos archivos de configuración.
Mover la ubicación del puente de recursos Arc
Actualmente no se admite el movimiento de recursos del puente de recursos Arc. En su lugar, elimine el puente de recursos de Arc y vuelva a implementarlo en la ubicación deseada.
Problemas con las máquinas virtuales habilitadas para Azure Arc en Azure Stack HCI
Para obtener ayuda general para resolver problemas relacionados con máquinas virtuales habilitadas para Azure Arc en Azure Stack HCI, consulte Solución de problemas de máquinas virtuales habilitadas para Azure Arc.
Si ejecuta Azure Stack HCI, versión 23H2 o posterior, y Arc Resource Bridge está sin conexión, no intente reinstalar ni eliminar el puente de recursos de Arc. En su lugar, intente reiniciar la máquina virtual de Arc Resource Bridge para volver a conectarla. Si el problema persiste, póngase en contacto con Soporte técnico de Microsoft para obtener ayuda.
Error de acción: no existe ese host
Al implementar el puente de recursos de Arc, si recibe un error con errorCode
como PostOperationsError
, errorResponse
como código GuestInternetConnectivityError
y no such host
, es posible que las direcciones IP de máquina virtual del dispositivo no puedan acceder al punto de conexión especificado en el error.
Ejemplo de error:
{ _errorCode_: _PostOperationsError_, _errorResponse_: _{\n\_message\_: \_{\\n \\\_code\\\_: \\\_GuestInternetConnectivityError\\\_,\\n \\\_message\\\_: \\\_Not able to connect to http://aszhcitest01.company.org:55000. Error returned: action failed after 5 attempts: Get \\\\\\\_http://aszhcitest01.company.org:55000\\\\\\\_: dial tcp: lookup aszhcitest01.company.org: on 127.0.0.53:53: no such host. Arc Resource Bridge network and internet connectivity validation failed: cloud-agent-connectivity-test. 1. check your networking setup and ensure the URLs mentioned in : https://aka.ms/AAla73m are reachable from the Appliance VM. 2. Check firewall/proxy settings
En el ejemplo, las direcciones IP de máquina virtual del dispositivo no pueden acceder a http://aszhcitest01.company.org:55000
, que es el punto de conexión de MOC. Trabaje con el administrador de red para asegurarse de que el servidor DNS puede resolver las direcciones URL necesarias.
Para probar la conectividad con el servidor DNS:
ping <dns-server.com>
Para comprobar si el servidor DNS puede resolver una dirección, ejecute este comando desde una máquina que pueda acceder a los servidores DNS:
Resolve-DnsName -Name "http://aszhcitest01.company.org:55000" -Server "<dns-server.com>"
Problemas de VMware VCenter habilitado para Azure Arc
errorResponse: error getting the vsphere sdk client
Los errores con errorCode: CreateConfigKvaCustomerError
y errorResponse: error getting the vsphere sdk client
se producen cuando la máquina de implementación intenta establecer una conexión TCP a la dirección de vCenter, pero se produce un problema. Esto puede ocurrir cuando la dirección de vCenter es incorrecta (error 403 o 404) o porque una configuración de red, proxy o firewall la bloquea (error de intento de conexión).
Si escribe la dirección de vCenter como un nombre de host y recibe el error no such host
, la máquina de implementación no puede resolver el nombre de host de vCenter a través del DNS del cliente. Esto puede ocurrir cuando la máquina de implementación puede resolver el nombre de host de vCenter, pero la máquina de implementación no puede acceder a la dirección IP que recibió de DNS. También puede ver este error si el punto de conexión devuelto por DNS no es la dirección de vCenter o si el tráfico fue interceptado por proxy. Si el equipo de implementación puede comunicarse con la dirección de vCenter, confirme que el nombre de usuario y la contraseña son correctos.
Cliente del SDK de vSphere: error en el intento de conexión
Si recibe un error durante la implementación que indica: errorCode_: _CreateConfigKvaCustomerError_, _errorResponse_: _error getting the vsphere sdk client: Post \_https://ip.address/sdk\_: dial tcp ip.address:443: connectex: A connection attempt failed because the connected party did not properly respond after a period of time, or established connection failed because connected host has failed to respond._ }
, la máquina de administración no puede comunicarse con el servidor vCenter.
Para resolver este problema, asegúrese de que la máquina de administración cumple los requisitos de la máquina de administración y de que no hay un firewall ni una comunicación de bloqueo de proxy.
Cliente SDK vSphere: 403 Prohibido o 404 No encontrado
Es probable que los errores que contienen errorCode_: _CreateConfigKvaCustomerError_, _errorResponse_: _error getting the vsphere sdk client: POST \_/sdk\_: 403 Forbidden
o 404 not found
al implementar el puente de recursos de Arc se deba a una dirección de vCenter incorrecta. Esta dirección se proporciona durante la creación del archivo de configuración, cuando se le pida que escriba la dirección vCenter como un nombre de host o una dirección IP.
Hay diferentes maneras de encontrar la dirección de vCenter. Una opción es acceder al cliente de vSphere a través de su interfaz web. El nombre de host o la dirección IP de vCenter suele ser lo que se usa en el explorador para acceder al cliente de vSphere. Si ya ha iniciado sesión, puede ver la barra de direcciones del explorador, donde la dirección URL que usa para acceder a vSphere es el nombre de host o la dirección IP del servidor vCenter. Compruebe la dirección de vCenter y vuelva a intentar la implementación.
Cliente del SDK de vSphere: ningún host de este tipo
El error{ _errorCode_: _CreateConfigKvaCustomerError_, _errorResponse_: _error getting the vsphere sdk client: Post \_https://your.vcenter.hostname/sdk\_: dial tcp: lookup your.vcenter.hostname: no such host_ }
puede producirse durante la implementación cuando la máquina de implementación no puede resolver el nombre de host de vCenter en una dirección IP. Este problema se produce porque el proceso de implementación está intentando establecer una conexión TCP desde la máquina de implementación al nombre de host de vCenter, pero se produce un error en la conexión debido a problemas de resolución de DNS.
Para corregir este error, asegúrese de que la configuración de DNS en la máquina de implementación es correcta, compruebe que el servidor DNS está en línea y compruebe si falta una entrada DNS para el nombre de host de vCenter. Puede probar la resolución DNS ejecutando nslookup your.vcenter.hostname
o ping your.vcenter.hostname
desde la máquina de implementación. Si especificó la dirección de vCenter como un nombre de host, considere la posibilidad de usar la dirección IP directamente en su lugar.
Errores de validación de implementación previa
Al implementar el puente de recursos de Arc, es posible que vea varios errores de pre-deployment validation of your download\upload connectivity wasn't successful
, como:
Pre-deployment validation of your download/upload connectivity wasn't successful. {\\n \\\_code\\\_: \\\_ImageProvisionError\\\_,\\n \\\_message\\\_: \\\_Post \\\\\\\_https://vcenter-server.com/nfc/unique-identifier/disk-0.vmdk\\\\\\\_: Service Unavailable
Pre-deployment validation of your download/upload connectivity wasn't successful. {\\n \\\_code\\\_: \\\_ImageProvisionError\\\_,\\n \\\_message\\\_: \\\_Post \\\\\\\_https://vcenter-server.com/nfc/unique-identifier/disk-0.vmdk\\\\\\\_: dial tcp 172.16.60.10:443: connectex: A connection attempt failed because the connected party did not properly respond after a period of time, or established connection failed because connected host has failed to respond.
Pre-deployment validation of your download/upload connectivity wasn't successful. {\\n \\\_code\\\_: \\\_ImageProvisionError\\\_,\\n \\\_message\\\_: \\\_Post \\\\\\\_https://vcenter-server.com/nfc/unique-identifier/disk-0.vmdk\\\\\\\_: use of closed network connection.
Pre-deployment validation of your download/upload connectivity wasn't successful. {\\n \\\_code\\\_: \\\_ImageProvisionError\\\_,\\n \\\_message\\\_: \\\_Post \\\\\\\_https://vcenter-server.com/nfc/unique-identifier/disk-0.vmdk\\\\\\\_: dial tcp: lookup hostname.domain: no such host
Normalmente, una combinación de estos errores indica que la máquina de administración ha perdido la conexión al almacén de datos o que hay un problema de red que provoca que el almacén de datos sea inaccesible. Esta conexión es necesaria para cargar la actualización OVA desde la máquina de administración que se usa para compilar la máquina virtual del dispositivo en vCenter.
Para corregir el problema, restablezca la conexión entre la máquina de administración y el almacén de datos y vuelva a intentar implementar el puente de recursos de Arc.
El certificado x509 ha expirado o aún no es válido
Al implementar el puente de recursos de Arc, es posible que encuentre el error:
Error: { _errorCode_: _PostOperationsError_, _errorResponse_: _{\n\_message\_: \_{\\n \\\_code\\\_: \\\_GuestInternetConnectivityError\\\_,\\n \\\_message\\\_: \\\_Not able to connect to https://msk8s.api.cdp.microsoft.com. Error returned: action failed after 3 attempts: Get \\\\\\\_https://msk8s.api.cdp.microsoft.com\\\\\\\_: x509: certificate has expired or isn't yet valid: current time 2022-01-18T11:35:56Z is before 2023-09-07T19:13:21Z. Arc Resource Bridge network and internet connectivity validation failed: http-connectivity-test-arc. 1. check your networking setup and ensure the URLs mentioned in : https://aka.ms/AAla73m are reachable from the Appliance VM. 2. Check firewall/proxy settings
Este error se produce cuando hay una diferencia de reloj/hora entre los hosts ESXi y la máquina de administración que ejecuta los comandos de implementación para el puente de recursos de Arc. Para resolver este problema, active la sincronización de hora NTP en los hosts ESXi, confirme que la máquina de administración también está sincronizada con NTP y vuelva a intentar la implementación.
Resuelve en varias redes
Al implementar o actualizar el puente de recursos de Arc, puede producirse un error similar al siguiente:
{ "ErrorCode": "PreflightcheckErrorOnPrem", "ErrorDetails": "Upgrade Operation Failed with error: \"{\\n \\\"code\\\": \\\"PreflightcheckError\\\",\\n \\\"message\\\": \\\"{\\\\n \\\\\\\"code\\\\\\\": \\\\\\\"InvalidEntityError\\\\\\\",\\\\n \\\\\\\"message\\\\\\\": \\\\\\\"Cannot retrieve vSphere Network 'vmware-azure-arc-01': path 'vmware-azure-arc-01' resolves to multiple networks\\\\\\\",\\\\n \\\\\\\"category\\\\\\\": \\\\\\\"\\\\\\\"\\\\n }\\\",\\n \\\"category\\\": \\\"\\\"\\n }\"" }
Este error se produce cuando el segmento de red de vSphere se resuelve en varias redes, debido a varios segmentos de red de vSphere con el mismo nombre que se especifica en el error. Para corregir este error, cambie el nombre de red duplicado en vCenter (no la red con la máquina virtual del dispositivo) o implemente el puente de recursos de Arc en otra red.
El estado del puente de recursos de Arc está desconectado
Al ejecutar el script de incorporación de VMware habilitado para Arc inicial, se le pedirá que proporcione una cuenta de vSphere. Esta cuenta se almacena localmente dentro del puente de recursos de Arc como un secreto de Kubernetes cifrado. La cuenta se usa para permitir que el puente de recursos de Arc interactúe con vCenter.
Si la cuenta de vSphere almacenada localmente dentro del puente de recursos expira, el estado del puente de recursos de Arc se puede desconectar. Actualice las credenciales dentro del puente de recursos de Arc y para VMware habilitado para Arc mediante siguiendo las instrucciones de actualización de las credenciales de la cuenta de vSphere.
Error durante la configuración del host
Si usa la misma plantilla para implementar y eliminar el puente de recursos de Arc varias veces, es posible que encuentre el siguiente error:
Appliance cluster deployment failed with error: Error: An error occurred during host configuration
Para resolver este problema, elimine manualmente la plantilla existente. Luego, ejecute az arcappliance prepare
para descargar una nueva plantilla para la implementación.
No se encuentran carpetas
Al implementar el puente de recursos de Arc en VMware, especifique la carpeta en la que se crean la plantilla y la máquina virtual. La carpeta seleccionada debe ser una máquina virtual y un tipo de carpeta de plantilla. La implementación del puente de recursos no puede usar otros tipos de carpetas, como carpetas de almacenamiento, carpetas de red o carpetas de host y clúster.
No se puede recuperar el recurso: no se encuentra o no existe
Al implementar el puente de recursos de Arc, se especifica dónde se implementa la máquina virtual del dispositivo. La máquina virtual del dispositivo no se puede mover desde esa ruta de acceso de ubicación. Si la máquina virtual del dispositivo mueve la ubicación e intenta actualizarla, es posible que vea errores similares a los siguientes:
{\n \"code\": \"PreflightcheckError\",\n \"message\": \"{\\n \\\"code\\\": \\\"InvalidEntityError\\\",\\n \\\"message\\\": \\\"Cannot retrieve <resource> 'resource-name': <resource> 'resource-name' not found\\\"\\n }\"\n }"
{\n \"code\": \"PreflightcheckError\",\n \"message\": \"{\\n \\\"code\\\": \\\"InvalidEntityError\\\",\\n \\\"message\\\": \\\"The specified vSphere Datacenter '/VxRail-Datacenter' does not exist\\\"\\n }\"\n }"
Para corregir estos errores, use una de estas opciones:
- Mueva la máquina virtual del dispositivo a su ubicación original y asegurarse de que las credenciales de RBAC se actualizan para el cambio de ubicación.
- Cree un recurso con el mismo nombre y, a continuación, mueva el puente de recursos de Arc a ese nuevo recurso.
- Para VMware habilitado para Arc, ejecutar el script de recuperación ante desastres de VMware habilitado para Arc. El script elimina el dispositivo, implementa un nuevo dispositivo y vuelve a conectar el dispositivo con la ubicación personalizada implementada anteriormente, la extensión de clúster y las máquinas virtuales habilitadas para Arc.
- Elimine y vuelva a implementar el puente de recursos de Arc.
Privilegios insuficientes
Al implementar o actualizar el puente de recursos en VMware vCenter, es posible que vea un error similar al siguiente:
{ ""code"": ""PreflightcheckError"", ""message"": ""{\n \""code\"": \""InsufficientPrivilegesError\"",\n \""message\"": \""The provided vCenter account is missing required vSphere privileges on the resource 'root folder (MoRefId: Folder:group-d1)'. Missing privileges: [Sessions.ValidateSession]. add the privileges to the vCenter account and try again. To review the full list of required privileges, go to https://aka.ms/ARB-vsphere-privilege.\""\n }
Al implementar el puente de recursos de Arc, se proporcionan credenciales de vCenter. El puente de recursos de Arc almacena estas credenciales de vCenter localmente para interactuar con vCenter. Para resolver el problema de privilegios que faltan, la cuenta de vCenter usada por el puente de recursos necesita los siguientes privilegios en VMware vCenter:
Almacén de datos:
- Asignar espacio
- Examen de un almacén de datos
- Operaciones de archivo de bajo nivel
Carpeta:
- Crear carpeta de
Etiquetado de vSphere:
- Asignar o cancelar la asignación de la etiqueta vSphere
Red:
- Asignar red
Recursos:
- Assign virtual machine to resource pool
- Migrar máquina virtual apagada
- Migrar máquina virtual encendida
Sesiones:
- Validar sesión
vApp:
- Asignar grupo de recursos
- Importar
Máquina virtual:
- Cambiar configuración
- Adquirir la concesión de disco
- Agregar disco existente
- Agregar disco nuevo
- Agregar o eliminar dispositivo
- Configuración avanzada
- Cambiar cantidad de CPU
- Cambiar la memoria
- Cambiar configuración
- Cambiar recurso
- Configurar managedBy
- Mostrar configuración de conexión
- Extender disco virtual
- Modificar la configuración del dispositivo
- Consultar compatibilidad con tolerancia a errores
- Consultar archivos sin propietario
- Volver a cargar desde la ruta de acceso
- Quitar disco
- Cambiar nombre
- Restablecer información de invitados
- Establecer anotación
- Alternar el seguimiento de cambios de disco
- Alternar la bifurcación principal
- Actualizar compatibilidad con máquina virtual
- Editar inventario
- Crear a partir de un elemento existente
- Crear nuevo
- Registro
- Remove
- Unregister
- Operaciones de invitado
- Modificación de alias de operación de invitado
- Modificaciones de operación de invitado
- Ejecución del programa de operaciones de invitado
- Consultas de operaciones de invitado
- Interacción
- Conexión de dispositivos
- Interacción de la consola
- Administración del sistema operativo invitado de VIX API
- Instalar VMware Tools
- Apagado
- Encendido
- Restablecer
- Suspender
- Aprovisionamiento
- Permitir acceso al disco
- Permitir acceso al archivo
- Permitir acceso a disco de solo lectura
- Permitir descarga de máquina virtual
- Permitir carga de archivos de máquina virtual
- Clonar máquina virtual
- Implementar plantilla
- Marcar como plantilla
- Marcar como máquina virtual
- Personalizar invitado
- Administración de instantáneas
- Create snapshot
- Quitar instantánea
- Revertir a instantánea
Pasos siguientes
Si su problema no aparece aquí o no puede resolverlo, intente obtener ayuda mediante uno de los siguientes canales:
- Obtenga respuestas de expertos de Azure a través de Preguntas y respuestas de Microsoft.
- Póngase en contacto con @AzureSupport, la cuenta oficial de Microsoft Azure para mejorar la experiencia del cliente. El Soporte técnico de Azure pone en contacto a la comunidad de Azure con respuestas, soporte técnico y expertos.
- Abra una solicitud de soporte técnico de Azure.