Condividi tramite

Risolvere i problemi comuni relativi ai contenitori riservati

  • Articolo

Questo articolo fornisce soluzioni ai problemi comuni relativi ai contenitori riservati in Istanze di Azure Container.

Problemi comuni

Quando si distribuiscono contenitori riservati, potrebbero verificarsi i problemi e gli errori seguenti:

  • Errori dei criteri:

    Deployment Failed.
ErrorMessage=failed to create containerd task: failed to create shim task:
uvm::Policy: failed to modify utility VM configuration: guest modify: guest RPC failure:
error creating Rego policy: rego compilation failed: rego compilation failed: 4 errors occurred:

    Deployment Failed.
ErrorMessage=failed to create containerd task: failed to create shim task:
uvm::Policy: failed to modify utility VM configuration: guest modify:guest RPC failure:
error creating Rego policy: rego compilation failed: rego compilation failed: 1 error occurred:
policy.rego:48 rego_parse_error: non-terminated string;

    Container creation denied due to policy: create_container not allowed by policy. 
Errors: [invalid command].

    Denied by policy: rule for mount_device is missing from policy: unknown.

    Failed to create containerd task: failed to create shim task: failed to mount container storage:
failed to add LCOW layer: failed to add SCSI layer: failed to modify UVM with new SCSI mount:
guest modify: guest RPC failure: mounting scsi device controller 3 lun 2 onto /run/mounts/m4
denied by policy: mount_device not allowed by policy. Errors: [deviceHash not found].

    Container creation denied due to policy: create_container not allowed by policy.

  • Un criterio applica un nuovo framework:

    Failed to create containerd task: failed to create shim task: failed to mount container storage:
guest modify: guest RPC failure: overlay creation denied by policy: mount_overlay not allowed by policy.
Errors: [framework_svn is ahead of the current svn: 1.1.0 > 0.1.0].

  • Criterio CCE (Confidential Computing Enforcement) non valido:

    The CCE Policy is not valid Base64.

  • Limitazione - Limite di 120 kilobyte (KB) per i criteri CCE:

    Failed to create containerd task: failed to create shim task: error while creating the compute system:
hcs::CreateComputeSystem <compute system id>@vm: The requested operation failed.: unknown.\r\n;
The container group provisioning has failed. Refer to 'DeploymentFailedReason' event for more details.;

    Failed to create containerd task: failed to create shim task: task with id: '<task id>' cannot be created in pod: '<pod>'
which is not running: failed precondition.\r\n;The container group provisioning has failed.
Refer to 'DeploymentFailedReason' event for more details.

  • L'hash del dispositivo non viene trovato:

    Denied by policy: rule for mount_device is missing from policy: unknown.

    Failed to create containerd task: failed to create shim task: failed to mount container storage:
failed to add LCOW layer: failed to add SCSI layer: failed to modify UVM with new SCSI mount:
guest modify: guest RPC failure: mounting scsi device controller 3 lun 2 onto /run/mounts/m4
denied by policy: mount_device not allowed by policy. Errors: [deviceHash not found]

  • Altri problemi

    • I log non vengono visualizzati.
    • La funzionalità exec non funziona.
    • Timeout della distribuzione della sottoscrizione dopo 30 minuti.
    • Probe di attività con criteri non consentiti.
    • Codice di uscita 139.

Causa

Nella maggior parte dei casi, questi problemi si verificano a causa dei criteri CCE.

Soluzione

  • Se si verificano errori di criteri, rigenerare i criteri CCE e ripetere la distribuzione.

  • Se il criterio CCE applica un framework, ripristinare un framework svn precedente.

  • Se l'hash del dispositivo non viene trovato o si è verificato un problema con un'immagine, cancellare la cache e rigenerare i criteri CCE.

    Per pulire la cache, eseguire il docker rmi <image_name>:<tag> comando . Per pulire tutte le immagini nella cache, eseguire il docker rmi $(docker images -a -q) comando . Per esaminare l'hash mancante, eseguire il docker inspect <image_name>:<tag> comando .

Contattaci per ricevere assistenza

In caso di domande o bisogno di assistenza, creare una richiesta di supporto tecnico oppure formula una domanda nel Supporto della community di Azure. È possibile anche inviare un feedback sul prodotto al feedback della community di Azure.