Compartir a través de

Acceso denegado al ejecutar trabajos de Azure Batch

  • Artículo

La cuenta de Azure Storage es un componente dependiente necesario para que la cuenta de Azure Batch almacene archivos de recursos, paquetes de aplicación y archivos de salida. En muchos casos, se usa la cuenta de Azure Storage con un firewall para mejorar su seguridad. Sin embargo, la cuenta de Azure Storage con un firewall puede provocar errores al ejecutar trabajos de Azure Batch. En este artículo se proporcionan soluciones para estos problemas.

Síntomas

Al ejecutar trabajos de Azure Batch, es posible que encuentre errores relacionados con la cuenta de Azure Storage asociada.

Este es un ejemplo de error:

Categoría: UserError
Código: ResourceContainerAccessDenied
Mensaje: Se deniega el acceso a uno de los contenedores de blog de Azure especificados.

Causa

Al crear un grupo de Azure Batch, se aprovisionarán nuevas máquinas virtuales (nodos de Batch). Si no asigna una dirección IP pública estática al grupo de Batch, se asignará una dirección IP pública aleatoria. Siempre que cambie el tamaño del número de nodos a 0 y vuelva a cambiar el tamaño de la dirección IP pública de estos nuevos nodos de Batch. Por lo tanto, si la cuenta de almacenamiento asociada tiene un firewall configurado, es difícil administrar la lista de permitidos del firewall.

Si la cuenta de almacenamiento y el grupo de Batch están en la misma región, independientemente de si el grupo de Batch tiene una dirección IP pública estática o no, el tráfico saliente de los nodos de Batch siempre pasará a través de La red troncal de Azure (direcciones IP privadas). No se permite que el firewall de almacenamiento agregue una dirección IP privada en la lista de permitidos, lo que hará que se deniegue el tráfico a la cuenta de almacenamiento.

Solución

Para resolver el problema, administre el grupo de Batch y las configuraciones de la cuenta de almacenamiento en función de sus escenarios.

Nota:

Si necesita cargar paquetes de aplicación, ninguna de las siguientes soluciones funcionará. La cuenta de almacenamiento no debe configurar ningún firewall. Para más información, consulte Vinculación de una cuenta de almacenamiento.

Escenario 1: El grupo de Batch y la cuenta de almacenamiento están en la misma región y el grupo de Batch tiene una red virtual

  1. Compruebe la información de subred en Configuración de red desde las propiedades del grupo de cuentas>>de Batch de Azure Portal.> Tome nota y anote la información.

    Captura de pantalla de la información de subred del grupo de Azure Batch.

  2. Vaya a la cuenta de almacenamiento y seleccione Redes. En la configuración Firewalls y redes virtuales, seleccione Habilitar desde redes virtuales seleccionadas y direcciones IP para el acceso a la red pública. Agregue la subred del grupo de Batch en la lista de permitidos del firewall.

    Captura de pantalla que muestra cómo agregar subred a la lista de permitidos del firewall.

    Si la subred no habilita el punto de conexión de servicio, al seleccionarlo, se mostrará una notificación como se indica a continuación:

    Las redes siguientes no tienen puntos de conexión de servicio habilitados para "Microsoft.Storage". El proceso para habilitar el acceso puede tardar hasta 15 minutos en completarse. Después de iniciar esta operación, es seguro salir y volver más adelante si no desea esperar.

    Por lo tanto, antes de agregar la subred, compruébala en la red virtual de Batch para ver si el punto de conexión de servicio de la cuenta de almacenamiento está habilitado.

    Captura de pantalla que muestra cómo comprobar si el punto de conexión de servicio está habilitado.

Después de completar las configuraciones anteriores, los nodos de Batch del grupo pueden acceder correctamente a la cuenta de almacenamiento.

Escenario 2: El grupo de Batch y la cuenta de almacenamiento se encuentran en regiones diferentes

  1. Cree un nuevo grupo de Batch en una red virtual con una dirección IP pública estática. Para obtener más información, consulte Creación de un grupo de Batch con direcciones IP públicas especificadas.

    Dado que el grupo de Batch y la cuenta de almacenamiento están en regiones diferentes, el tráfico saliente pasará por la red pública de Internet a través de la dirección IP pública.

  2. Anote la dirección IP pública.

  3. Asigne la dirección IP pública al ip del equilibrador de carga público del grupo de Batch.

    Después, compruebe las propiedades del grupo de Batch. Serán como los que aparecen en la captura de pantalla siguiente:

    Captura de pantalla de las propiedades del grupo de Batch.

  4. Agregue la dirección IP pública a la lista de permitidos del firewall de almacenamiento.

    Captura de pantalla de la dirección IP pública.

    Captura de pantalla que muestra la dirección IP pública se agrega a la lista de permitidos.

  5. Ejecute los trabajos de Batch con el grupo de Batch recién creado.

Ponte en contacto con nosotros para obtener ayuda

Si tiene preguntas o necesita ayuda, cree una solicitud de soporte o busque consejo en la comunidad de Azure. También puede enviar comentarios sobre el producto con los comentarios de la comunidad de Azure.