Résoudre les problèmes courants liés aux conteneurs confidentiels
Cet article fournit des solutions aux problèmes courants liés aux conteneurs confidentiels sur Azure Container Instances.
Problèmes courants
Vous pouvez rencontrer les problèmes et erreurs suivants lorsque vous déployez des conteneurs confidentiels :
Échecs de stratégie :
Deployment Failed. ErrorMessage=failed to create containerd task: failed to create shim task: uvm::Policy: failed to modify utility VM configuration: guest modify: guest RPC failure: error creating Rego policy: rego compilation failed: rego compilation failed: 4 errors occurred:Deployment Failed. ErrorMessage=failed to create containerd task: failed to create shim task: uvm::Policy: failed to modify utility VM configuration: guest modify:guest RPC failure: error creating Rego policy: rego compilation failed: rego compilation failed: 1 error occurred: policy.rego:48 rego_parse_error: non-terminated string;Container creation denied due to policy: create_container not allowed by policy. Errors: [invalid command].Denied by policy: rule for mount_device is missing from policy: unknown.Failed to create containerd task: failed to create shim task: failed to mount container storage: failed to add LCOW layer: failed to add SCSI layer: failed to modify UVM with new SCSI mount: guest modify: guest RPC failure: mounting scsi device controller 3 lun 2 onto /run/mounts/m4 denied by policy: mount_device not allowed by policy. Errors: [deviceHash not found].Container creation denied due to policy: create_container not allowed by policy.Une stratégie applique une nouvelle infrastructure :
Failed to create containerd task: failed to create shim task: failed to mount container storage: guest modify: guest RPC failure: overlay creation denied by policy: mount_overlay not allowed by policy. Errors: [framework_svn is ahead of the current svn: 1.1.0 > 0.1.0].Stratégie d’application de l’informatique confidentielle (CCE) base64 non valide :
The CCE Policy is not valid Base64.Limitation : limite de 120 kilo-octets (Ko) sur la stratégie CCE :
Failed to create containerd task: failed to create shim task: error while creating the compute system: hcs::CreateComputeSystem <compute system id>@vm: The requested operation failed.: unknown.\r\n; The container group provisioning has failed. Refer to 'DeploymentFailedReason' event for more details.;Failed to create containerd task: failed to create shim task: task with id: '<task id>' cannot be created in pod: '<pod>' which is not running: failed precondition.\r\n;The container group provisioning has failed. Refer to 'DeploymentFailedReason' event for more details.Le hachage d’appareil est introuvable :
Denied by policy: rule for mount_device is missing from policy: unknown.Failed to create containerd task: failed to create shim task: failed to mount container storage: failed to add LCOW layer: failed to add SCSI layer: failed to modify UVM with new SCSI mount: guest modify: guest RPC failure: mounting scsi device controller 3 lun 2 onto /run/mounts/m4 denied by policy: mount_device not allowed by policy. Errors: [deviceHash not found]Autres problèmes :
- Les journaux d’activité ne s’affichent pas.
- La fonctionnalité d’exécution ne fonctionne pas.
- Le déploiement de l’abonnement expire après 30 minutes.
- Sonde Liveness avec une stratégie non autorisée.
- Code de sortie 139.
Cause
Dans la plupart des cas, ces problèmes se produisent en raison de la stratégie CCE.
Solution
Si vous rencontrez des échecs de stratégie, régénérez la stratégie CCE et réessayez le déploiement.
Si la stratégie CCE applique une infrastructure, revenez à un framework plus ancien svn.
Si le hachage de l’appareil est introuvable ou qu’il existe un problème avec une image, effacez le cache et régénérez la stratégie CCE.
Pour nettoyer le cache, exécutez la
docker rmi <image_name>:<tag>commande. Pour nettoyer toutes les images dans le cache, exécutez ladocker rmi $(docker images -a -q)commande. Pour inspecter le hachage manquant, exécutez ladocker inspect <image_name>:<tag>commande.
Contactez-nous pour obtenir de l’aide
Pour toute demande ou assistance, créez une demande de support ou posez une question au support de la communauté Azure. Vous pouvez également soumettre des commentaires sur les produits à la communauté de commentaires Azure.