次の方法で共有


Azure Arc リソース ブリッジに関する問題のトラブルシューティング

この記事では、Azure Arc リソース ブリッジをデプロイ、使用、または削除しようとする際に発生しうる問題のトラブルシューティングと解決に関する情報を提供します。 リソース ブリッジは、管理 Kubernetes クラスターをホストする、パッケージ化された仮想マシンです。 一般的な情報については、「Azure Arc リソース ブリッジの概要」を参照してください。

一般的な問題

ログの収集

Arc リソース ブリッジに問題がある場合は、Azure CLI az arcappliance logs コマンドを使用して、詳細な調査のためにログを収集します。 このコマンドは、Arc リソース ブリッジのデプロイに使用する管理マシンから実行する必要があります。 別のマシンを使用している場合は、そのマシンが管理マシンの要件を満たしている必要があります。

ログの収集に問題がある場合、管理マシンがアプライアンス VM に到達できないことが原因である可能性が最も高いです。 管理マシンからアプライアンス VM の TCP ポート 22 への SSH 通信を許可するように、ネットワーク管理者に問い合わせてください。

アプライアンス VM の IP、または logs コマンドの kubeconfig のいずれかを渡すことにより、Arc リソース ブリッジ ログを収集できます。

アプライアンス VM の IP アドレスを使って VMware 上の Arc リソース ブリッジ ログを収集するには:

az arcappliance logs vmware --ip <appliance VM IP> --username <vSphere username> --password <vSphere password> --address <vCenter address> --out-dir <path to output directory>

Azure Stack HCI の Arc Resource Bridge ログを収集するには、「ログの収集」をご覧ください。

アプライアンス VM の IP が不明な場合は、kubeconfig を使うオプションもあります。 kubeconfig を取得するには、get-credentials コマンドを実行してから、logs コマンドを実行します。

Arc 対応 VMware の Arc リソース ブリッジをデプロイするのに使ったものとは異なるマシンから、kubeconfig とログ キーを取得し、Arc 対応 VMware のログを収集するには:

az account set -s <subscription id>
az arcappliance get-credentials -n <Arc resource bridge name> -g <resource group name> 
az arcappliance logs vmware --kubeconfig kubeconfig --out-dir <path to specified output directory>

ダウンロード/アップロード接続が成功しなかった

ネットワーク速度が遅い場合、Arc リソース ブリッジの VM イメージを正常にダウンロードできず、次のエラーが発生する可能性があります: ErrorCode: ValidateKvaError, Error: Pre-deployment validation of your download/upload connectivity was not successful. Timeout error occurred during download and preparation of appliance image to the on-premises fabric storage. Common causes of this timeout error are slow network download/upload speeds, a proxy limiting the network speed or slow storage performance.

回避策として、オンプレミスのプライベート クラウド上に直接 VM を作成し、その VM から Arc リソース ブリッジのデプロイ スクリプトを実行してみてください。 この回避策により、イメージをデータストアにアップロードする速度が速くなります。

フェーズ ApplyingKvaImageOperator 中にコンテキストがタイムアウトした

Arc リソース ブリッジのデプロイ時に、次のエラーが発生する場合があります: Deployment of the Arc resource bridge appliance VM timed out. Collect logs with _az arcappliance logs_ and create a support ticket for help. To troubleshoot the error, refer to aka.ms/arc-rb-error { _errorCode_: _ContextError_, _errorResponse_: _{\n\_message\_: \_Context timed out during phase _ApplyingKvaImageOperator_\_\n}_ }

このエラーは通常、低速なネットワーク、または断続的な接続が発生しているネットワーク経由で KVAIO イメージ (400 MB で圧縮済み) をダウンロードしようとした場合に発生します。 KVAIO コントローラー マネージャーは、イメージのダウンロードが完了するまで待機した後、タイムアウトになります。

Arc リソース ブリッジ VM と Microsoft Container Registry (mcr.microsoft.com) との間のネットワーク速度が安定しており、少なくとも 2 Mbps であることを確認してください。 ネットワークの接続と速度が安定していても、このエラーが引き続き発生する場合は、Microsoft Container Registry が大量のトラフィックを受信して​​いることが原因となっている可能性があるため、30 分以上待ってから再試行してください。

フェーズ WaitingForAPIServer 中にコンテキストがタイムアウトした

Arc リソース ブリッジのデプロイ時に、次のエラーが発生する場合があります: Deployment of the Arc resource bridge appliance VM timed out. Collect logs with _az arcappliance logs_ and create a support ticket for help. To troubleshoot the error, refer to aka.ms/arc-rb-error { _errorCode_: _ContextError_, _errorResponse_: _{\n\_message\_: \_Context timed out during phase _WaitingForAPIServer

このエラーは、デプロイ マシンが制限時間内に Arc リソース ブリッジのコントロール プレーン IP に接続できないことを示します。 このエラーの一般的な原因は、多くの場合、ネットワークに関係しています。例としては、デプロイ マシンとコントロール プレーン IP との間の通信がプロキシ経由でルーティングされている場合があります。 デプロイ マシンからコントロール プレーンおよびアプライアンス VM IP へのトラフィックは、プロキシを通過しないようにする必要があります。 トラフィックがプロキシを経由する場合は、デプロイ マシンと、コントロール プレーン IP およびアプライアンス VM IP との間のトラフィックがプロキシを経由しないように、ネットワークまたはデプロイ マシンのプロキシ設定を構成します。 このエラーのもう 1 つの原因は、ファイアウォールがデプロイ マシンとコントロール プレーン IP との間、またはデプロイ マシンとアプライアンス VM IP との間のポート 6443 とポート 22 へのアクセスを閉じている場合です。

403 Forbidden または 404 Site Not Found

Arc リソース ブリッジのデプロイ時に、次のエラーが発生する場合があります: { _errorCode_: _UploadError_, _errorResponse_: _{\n\_message\_: \_Pre-deployment validation of your download/upload connectivity was not successful. {\\n \\\_code\\\_: \\\_ImageProvisionError\\\_,\\n \\\_message\\\_: \\\_403 Forbidden または { _errorCode_: _UploadError_, _errorResponse_: _{\n\_message\_: \_Pre-deployment validation of your download/upload connectivity was not successful. {\\n \\\_code\\\_: \\\_ImageProvisionError\\\_,\\n \\\_message\\\_: \\\_404 Site Not Found

このエラーは、イメージを Microsoft レジストリからデプロイ マシンにダウンロードする必要があるが、ダウンロードがプロキシまたはファイアウォールによってブロックされている場合に発生します。 ネットワーク要件を確認し、必要なすべての URL にアクセスできることを確認します。 デプロイ マシンから Microsoft の必要な URL へのトラフィックがプロキシを経由しないようにするには、プロキシなし設定を更新することが必要な場合があります。

SSH フォルダーへのアクセスが拒否されました

デプロイまたはフォルダー内のファイルへのアクセスを伴う操作中、CLI には SSH フォルダーにアクセスするためのアクセス許可が必要になります。 このフォルダーには、アプライアンス VM の kubeconfig やログ キーなどの重要なファイルが含まれています。 たとえば、CLI はアプライアンス VM からログを収集するために、SSH フォルダー内に保存されたログ キーにアクセスする必要があります。

次のエラーが発生する場合があります: Access to the file in the SSH folder was denied. This may occur if the CLI doesn't have permission to the SSH folder or if another CLI instance is using the file。 この問題の一般的な原因としては、次の 2 つがあります。

  • 不十分なアクセス許可: CLI が SSH フォルダーにアクセスするために必要なアクセス許可を持っていません。 CLI を実行しているユーザー アカウントが SSH フォルダーにアクセスするための適切なアクセス許可を持っていることを確認します。
  • 同時ファイル アクセス: CLI の別のインスタンスが SSH フォルダー内のファイルを使用している可能性があります。 これは共有プロファイルを持つワークステーション上でよく発生します。 先に進む前に、他の CLI インスタンスが操作を完了または終了していることを確認します。

Arc リソース ブリッジがオフラインである

インフラストラクチャ、環境、またはクラスター内のネットワークの変更により、アプライアンス VM が対応する Azure リソースと通信できなくなる場合があります。 何が変更されたかを判断できない場合は、アプライアンス VM を再起動し、ログを収集し、さらに調査するためにサポート チケットを送信できます。

リモート PowerShell はサポートされていません

リモート PowerShell を使用して Arc リソース ブリッジの az arcappliance CLI コマンドを実行すると、Azure Stack HCI クラスターにリソース ブリッジをインストールしようとしたときに認証ハンドシェイクの失敗エラー、または別の種類のエラーが発生する場合があります。

リモート PowerShell からの az arcappliance コマンドの使用は現在サポートされていません。 代わりに、ノードにリモート デスクトップ プロトコル (RDP) を通じてサインインするか、コンソール セッションを使用します。

リソース ブリッジの構成を更新できない

このリリースでは、作成時にすべてのパラメーターが指定されています。 Arc リソース ブリッジを更新するには、そのブリッジを削除し、再度デプロイする必要があります。

たとえば、デプロイ時に間違った場所やサブスクリプションを指定すると、リソースの作成は失敗します。 リソース ブリッジ VM を再デプロイせずにリソースを再作成しようとすると、WaitForHeartBeat で停止した状態になります。

この問題を解決するには、アプライアンスを削除し、アプライアンスの YAML ファイルを更新します。 その後、リソース ブリッジを再デプロイして作成します。

アプライアンス ネットワークを使用できない

Arc リソース ブリッジでネットワークの問題が発生した場合、Appliance Network Unavailable エラーが発生する可能性があります。 一般に、アプライアンス VM へのネットワークまたはインフラストラクチャ接続の問題によってこのエラーが発生する可能性があります。 このエラーは、Error while dialing dial tcp xx.xx.xxx.xx:55000: connect: no route to host として表示される場合もあります。 ホストから Arc リソース ブリッジ VM への、TCP ポート 22 を介した通信をネットワーク管理者の助けを借りて開かなければならないことが問題の可能性があります。 一時的なネットワークの問題により、ホストが Arc リソース ブリッジ VM にアクセスできない場合があります。 ネットワークの問題が解決したら、操作を再試行できます。 Arc リソース ブリッジのアプライアンス VM が停止またはオフラインになっていないことも確認できます。 Azure Stack HCI では、ホスト ストレージがいっぱいになると、このエラーが発生する可能性があります。

トークンの更新エラー

Azure CLI コマンドを実行すると、次のエラーが発生する場合があります: The refresh token has expired or is invalid due to sign-in frequency checks by conditional access.

このエラーは、Azure にサインインしたときに、トークンの有効期間が最大になっているために発生します。 有効期間を超過した場合は、az login コマンドを使用して Azure にもう一度サインインする必要があります。

既定のホスト リソース プールをデプロイに使用できません

az arcappliance createconfig または az arcappliance run コマンドを使用すると、対話型エクスペリエンスに、仮想アプライアンスのデプロイ先を選択できる VMware エンティティの一覧が表示されます。 この一覧には、ユーザーが作成したすべてのリソース プールと既定のクラスター リソース プールが表示されますが、既定のホスト リソース プールは表示されません。 アプライアンスがホスト リソース プールにデプロイされているとき、ホスト ハードウェアに障害が発生した場合に高可用性は確保されません。 アプライアンスはホスト リソース プールにデプロイしないことをお勧めします。

リソース ブリッジの状態がオフラインで、プロビジョニングの状態が失敗

Arc リソース ブリッジをデプロイすると、az arcappliance deploy または az arcappliance create を実行したときにエラーが発生しなかったため、ブリッジが正常にデプロイされているように見える場合があります。 しかし、Azure portal でブリッジを表示すると、状態が Offline と表示され、az arcappliance show では provisioningStateFailed と表示される場合があります。 この問題は、ブリッジがデプロイされる前に、必要なプロバイダーが登録されていない場合に発生します。

Azure Stack HCI バージョン 23H2 以降では、Arc Resource Bridge はクラスタのデプロイ時に自動的にデプロイされるため、手動でのインストールは不要になりました。

Arc Resource Bridge がオフラインの場合は、Arc Resource Bridge VM を再起動してみてください。 引き続き問題が発生する場合は、 Microsoft サポートにお問い合わせください。

Note

Azure Stack HCI に Arc Resource Bridge を再インストールすると、既存の Azure リソースに問題が発生する可能性があります。

この問題を解決するには、リソース ブリッジを削除し、プロバイダーを登録してから、リソース ブリッジをデプロイし直します。

  1. リソース ブリッジを削除します。

    az arcappliance delete <fabric> --config-file <path to appliance.yaml>
    
  2. プロバイダーを登録します。

    az provider register --namespace Microsoft.ExtendedLocation –-wait
    az provider register --namespace Microsoft.ResourceConnector –-wait
    
  3. リソース ブリッジをデプロイし直します。

Note

パートナー製品 (Arc 対応 VMware vSphere など) には、登録する必要のある独自のプロバイダーが含まれる場合があります。 これらの追加プロバイダーについては、製品のドキュメントを参照してください。

アプライアンス VM での有効期限が切れた資格情報

Arc リソース ブリッジは、オンプレミスのインフラストラクチャに展開されるアプライアンス VM で構成されます。 アプライアンス VM は、ローカル環境に格納された資格情報を使って、オンプレミス インフラストラクチャの管理エンドポイントへの接続を維持します。 これらの資格情報を更新しないと、リソース ブリッジは管理エンドポイントと通信できなくなります。 これにより、リソース ブリッジをアップグレードしたり、Azure から VM を管理したりするときに、問題が発生する可能性があります。

この問題を解決するには、アプライアンス VM で資格情報を更新する必要があります。 詳しくは、「アプライアンス VM の資格情報を更新する」をご覧ください。

Arc リソース ブリッジでは、プライベート リンクはサポートされていません。 アプライアンス VM からの呼び出しがプライベート リンクのセットアップを経由しないようにする必要があります。 プライベート リンク IP は、アプライアンス IP プールの範囲と競合する可能性があり、この範囲をリソース ブリッジで構成することはできません。 Arc リソース ブリッジは、プライベート リンク接続を経由してはならない必要な URL にアクセスしようとします。 プライベート リンクの設定とは関係のない別のネットワーク セグメントに Arc リソース ブリッジをデプロイする必要があります。

ネットワークの問題

イメージのバックオフ プルのエラー

Arc リソース ブリッジをデプロイしようとすると、back-off pulling image \\\"url"\\\: FailFastPodCondition を含むエラーが表示されることがあります。 このエラーは、アプライアンス VM がエラーで指定されている URL に到達できない場合に発生します。 この問題を解決するには、アプライアンス VM が、必要な許可リスト URL へのインターネット アクセス接続などのシステム要件を満たしていることを確認します。

管理マシンがアプライアンスに接続できない

Arc リソース ブリッジをデプロイしようとすると、次のようなエラー メッセージを受け取ることがあります。

{ _errorCode_: _PostOperationsError_, _errorResponse_: _{\n\_message\_: \_Timeout occurred due to management machine being unable to reach the appliance VM IP, 10.2.196.170. Ensure that the requirements are met: https://aka.ms/arb-machine-reqs: dial tcp 10.2.196.170:22: connectex: A connection attempt failed because the connected party did not properly respond after a period of time, or established connection failed because connected host has failed to respond.\_\n}_, _errorMetadata_: { _errorCategory_: __ }

このエラーは、管理マシンが SSH (ポート 22) または API Server (ポート 6443) によって Arc リソース ブリッジに到達できない場合に発生します。 また、Arc リソース ブリッジ API サーバーがプロキシを経由している場合にも発生する可能性があります。その場合は、Arc リソース ブリッジ API サーバーを noproxy 設定に追加する必要があります。 詳細については、「Azure Arc リソース ブリッジのネットワーク要件」を参照してください。

URL に接続できない

Not able to connect to https://example.url.com を含むエラーを受け取る場合は、ネットワーク管理者に、Arc リソース ブリッジのデプロイに必要なすべてのファイアウォールとプロキシの URL がネットワークで許可されていることを確認します。 詳細については、「Azure Arc リソース ブリッジのネットワーク要件」を参照してください。

接続できない - ネットワークとインターネット接続の検証に失敗しました

Arc リソース ブリッジをデプロイするときに、ポート 53 (DNS) を指定する URL で、errorCodePostOperationsError で、errorResponse がコード GuestInternetConnectivityError のエラーが発生する場合があります。 このエラーは、アプライアンス VM IP が DNS サーバーに到達できないため、エラーで指定されたエンドポイントを解決できないことが原因である可能性があります。

エラーの例:

{ _errorCode_: _PostOperationsError_, _errorResponse_: _{\n\_message\_: \_{\\n  \\\_code\\\_:\\\_GuestInternetConnectivityError\\\_,\\n\\\_message\\\_:\\\_Not able to connect to http://aszhcitest01.company.org:55000. Error returned: action failed after 5 attempts: Get \\\\\\\_http://aszhcitest01.company.org:55000\\\\\\\_: dial tcp: lookup aszhcitest01.company.org on 127.0.0.53:53: read udp 127.0.0.1:32975-\\u003e127.0.0.53:53: i/o timeout. Arc Resource Bridge network and internet connectivity validation failed: cloud-agent-connectivity-test. 1. check your networking setup and ensure the URLs mentioned in : https://aka.ms/AAla73m are reachable from the Appliance VM.   2. Check firewall/proxy settings\\\_\\n }\_\n}_ }

{ _errorCode_: _PostOperationsError_, _errorResponse_: _{\n\_message\_: \_{\\n  \\\_code\\\_: \\\_GuestInternetConnectivityError\\\_,\\n  \\\_message\\\_: \\\_Not able to connect to https://linuxgeneva-microsoft.azurecr.io. Error returned: action failed after 5 attempts: Get \\\\\\\_https://linuxgeneva-microsoft.azurecr.io\\\\\\\_: dial tcp: lookup linuxgeneva-microsoft.azurecr.io on 127.0.0.53:53: server misbehaving. Arc Resource Bridge network and internet connectivity validation failed: http-connectivity-test-arc. 1. Please check your networking setup and ensure the URLs mentioned in : https://aka.ms/AAla73m are reachable from the Appliance VM.   2. Check firewall/proxy settings\\\_\\n }\_\n}_ }

このエラーを解決するには、ネットワーク管理者と協力して、アプライアンス VM IP が DNS サーバーに到達できるようにします。 詳細については、「Azure Arc リソース ブリッジのネットワーク要件」を参照してください。

Http2 サーバーが GOAWAY を送信しました

Arc リソース ブリッジをデプロイしようとすると、次のようなエラー メッセージが表示されることがあります。

"errorResponse": "{\n\"message\": \"Post \\\"https://region.dp.kubernetesconfiguration.azure.com/azure-arc-appliance-k8sagents/GetLatestHelmPackagePath?api-version=2019-11-01-preview\\u0026releaseTrain=stable\\\": http2: server sent GOAWAY and closed the connection; LastStreamID=1, ErrCode=NO_ERROR, debug=\\\"\\\"\"\n}"

または

Post \_https://canadacentral.dp.kubernetesconfiguration.azure.com/azure-arc-appliance-k8sagents/GetLatestHelmPackagePath?api-version=2019-11-01-preview\u0026releaseTrain=stable\_: read tcp 10.128.131.173:52425-\u003e52.228.84.81:443: wsarecv: An existing connection was forcibly closed by the remote host.

これらのエラーは、ファイアウォールまたはプロキシで SSL/TLS 検査が有効になっており、リソース ブリッジのデプロイに使用されたマシンからの http2 呼び出しがブロックされる場合に発生する可能性があります。 この問題を確認するには、URL のリージョンと api-version (例: 2019-11-01) をエラーの値に置き換えて、次の PowerShell コマンドレットを実行し、http2 で Web 要求を呼び出します (PowerShell バージョン 7 以降が必要)。

Invoke-WebRequest -HttpVersion 2.0 -UseBasicParsing -Uri https://region.dp.kubernetesconfiguration.azure.com/azure-arc-appliance-k8sagents/GetLatestHelmPackagePath?api-version=2019-11-01-preview"&"releaseTrain=stable -Method Post -Verbose

結果が The response ended prematurely while waiting for the next frame from the server の場合、http2 呼び出しがブロックされており、許可する必要があります。 ネットワーク管理者と協力して SSL/TLS 検査を無効にし、ブリッジのデプロイに使用されたマシンからの http2 呼び出しを許可します。

そのようなホストはありません - .local はサポートされていません

Arc リソース ブリッジの構成を設定しようとすると、次のようなエラー メッセージを受け取ることがあります。

"message": "Post \"https://esx.lab.local/52c-acac707ce02c/disk-0.vmdk\": dial tcp: lookup esx.lab.local: no such host"

このエラーは、プロキシ、DNS、データストア、管理エンドポイント (vCenter など) などの構成設定でパスに .local が指定されている場合に発生します。 Arc リソース ブリッジ アプライアンス VM で使われている Azure Linux OS では、.local は既定ではサポートされません。 回避するには、必要に応じて IP アドレスを指定します。

Azure Arc リソース ブリッジに到達できない場合

Azure Arc リソース ブリッジでは Kubernetes クラスターが実行され、コントロール プレーンには静的 IP アドレスが必要です。 この IP アドレスは、infra.yaml ファイルで指定されています。 IP アドレスが DHCP サーバーから割り当てられている場合は、アドレスが予約されていなと変更される可能性があります。 Azure Arc リソース ブリッジまたは VM を再起動すると、IP アドレスの変更がトリガーされ、サービスが失敗する可能性があります。

Arc リソース ブリッジが予約済み IP 構成を間欠的に失う可能性があります。 この損失は、systemd-networkd を再起動したときの VIP の損失で説明されている動作が原因です。 Azure Arc リソース ブリッジ VM に IP アドレスが割り当てられていない場合、リソース ブリッジ API サーバーの呼び出しは失敗します。 新しいリソースの作成、Azure からプライベート クラウドへの接続、カスタムの場所の作成などのコア操作は、想定どおりに機能しません。

この問題を解決するには、リソース ブリッジ VM を再起動すると、その IP アドレスが復旧されるはずです。 アドレスが DHCP サーバーから割り当てられている場合は、リソース ブリッジに関連付けられている IP アドレスを予約します。

また、ディスク アクセスが遅いため、Arc リソース ブリッジに到達できない可能性もあります。 Azure Arc リソース ブリッジでは、Kubernetes 拡張構成ツリー (ETCD) を使用します。これには 10 ミリ秒以下の待機時間が必要です。 基になるディスクのパフォーマンスが低い場合、操作が影響を受け、エラーが発生する可能性があります。

SSL プロキシ構成の問題

管理マシン上のプロキシ サーバーが、SSL プロキシの SSL 証明書と、Microsoft ダウンロード サーバーの SSL 証明書の両方を信頼していることを確認します。 詳細については、「SSL プロキシの構成」をご覧ください。

そのようなホストはありません - dp.kubernetesconfiguration.azure.com

Arc リソース ブリッジのデプロイ中に dial tcp: lookup westeurope.dp.kubernetesconfiguration.azure.com: no such host を含むエラーが発生した場合、指定したリージョンで構成データ プレーンが現在使用できないことを意味します。 サービスが一時的に利用できない場合があります。 サービスが使用可能になるまで待ってから、デプロイを再試行してください。

プロキシ接続 tcp - Arc リソース ブリッジに必要な URL にそのようなホストがありません

メッセージ proxyconnect tcp: dial tcp: lookup http: no such host と共に Arc リソース ブリッジに必要な URL を含むエラーは、DNS が URL を解決できないことを示します。 エラーは次の例のようになります。ここで、必要な URL は https://msk8s.api.cdp.microsoft.com です。

Error: { _errorCode_: _InvalidEntityError_, _errorResponse_: _{\n\_message\_: \_Post \\\_https://msk8s.api.cdp.microsoft.com/api/v1.1/contents/default/namespaces/default/names/arc-appliance-stable-catalogs-ext/versions/latest?action=select\\\_: POST https://msk8s.api.cdp.microsoft.com/api/v1.1/contents/default/namespaces/default/names/arc-appliance-stable-catalogs-ext/versions/latest?action=select giving up after 6 attempt(s): Post \\\_https://msk8s.api.cdp.microsoft.com/api/v1.1/contents/default/namespaces/default/names/arc-appliance-stable-catalogs-ext/versions/latest?action=select\\\_: proxyconnect tcp: dial tcp: lookup http: no such host\_\n}_ }

このエラーは、デプロイ時に指定された DNS 設定が正しくない場合、または DNS サーバーに問題がある場合に発生する可能性があります。 DNS サーバーが URL を解決できるかどうかを確認するには、管理マシンまたは DNS サーバーにアクセスできるマシンから次のコマンドを実行します。

nslookup
> set debug
> <hostname> <DNS server IP>

このエラーを解決するには、すべての Arc リソース ブリッジに必要な URL を解決するように DNS サーバーを構成します。 Arc リソース ブリッジをデプロイする際、DNS サーバーを正しく指定する必要があります。

KVA タイムアウト エラー

KVA タイムアウト エラーは、管理マシンに関連するネットワーク構成のさまざまな誤りが原因で発生する一般的なエラーです。たとえば、アプライアンス VM またはコントロール プレーン IP が相互に通信できない、またはインターネットや必要な URL と通信できない可能性があります。 これらの通信エラーは、多くの場合、DNS の解決、プロキシ設定、ネットワーク構成、またはインターネット アクセスに関する問題が原因です。

わかりやすくいえば、管理マシンとはデプロイ CLI コマンドが実行されているマシンのことです。 アプライアンス VM は、Arc リソース ブリッジをホストする VM です。 コントロール プレーン IP は、アプライアンス VM 内の Kubernetes 管理クラスターのコントロール プレーンの IP です。

KVA タイムアウト エラーの原因の上位

  • 管理マシンが、コントロール プレーン IP およびアプライアンス VM IP と通信できません。
  • アプライアンス VM が、管理マシン、vCenter エンドポイント (VMware の場合)、または MOC クラウド エージェント エンドポイント (Azure Stack HCI の場合) と通信できません。 
  • アプライアンス VM にインターネット アクセスがありません。
  • アプライアンス VM はインターネットにアクセスできますが、プロキシまたはファイアウォールが原因である可能性があるため、1 つ以上の必要な URL への接続がブロックされています。
  • アプライアンス VM は、vSphere の vCenter エンドポイントや Azure Stack HCI のクラウド エージェント エンドポイントなど、内部名を解決できる DNS サーバーに到達できません。 DNS サーバーは、Azure サービス アドレスやコンテナー レジストリ名などの外部アドレスも解決できる必要があります。 
  • 管理マシンまたは Arc リソース ブリッジ構成ファイルでのプロキシ サーバーの構成が正しくありません。 これは、管理マシンとアプライアンス VM の両方に影響する可能性があります。 az arcappliance prepare コマンドを実行したとき、ホスト プロキシが正しく構成されていない場合、管理マシンは OS イメージに接続できず、ダウンロードできません。 アプライアンス VM 上のインターネット アクセスは、プロキシ構成が正しくないか欠落しているために切断される可能性があり、その場合、VM がコンテナー イメージをプルする機能に影響します。 

KVA タイムアウトエラーのトラブルシューティング

このエラーを解決するには、1 つ以上のネットワーク構成の誤りに対処する必要がある場合があります。

  • 最初の手順は、アプライアンス VM IP (デプロイ コマンドが完了しなかった場合は kubeconfig が空になる可能性があるため、kubeconfig ではありません) によるログの収集です。 ログの収集に関する問題の原因として最も可能性が高いのは、管理マシンがアプライアンス VM に到達できないことです。

    ログが収集されたら、フォルダーを抽出し、kva.log を開きます。 ログで、KVA タイムアウト エラーの原因を特定するのに役立つ可能性のある情報を確認します。

  • 管理マシンは、アプライアンス VM IP およびコントロール プレーン IP と通信できる必要があります。 管理マシンからコントロール プレーン IP とアプライアンス VM IP に ping を実行し、両方の IP から応答があることを確認します。

    要求がタイムアウトした場合、管理マシンはそれらの IP と通信できません。 この問題は、閉じたポート、ネットワークの構成ミス、またはファイアウォールによるブロックが原因で発生する可能性があります。 ネットワーク管理者と協力して、管理マシンとコントロール プレーン IP およびアプライアンス VM IP が通信できるようにします。

  • アプライアンス VM IP とコントロール プレーン IP は、管理マシンおよび vCenter エンドポイント (VMware の場合) または MOC クラウド エージェント エンドポイント (Azure Stack HCI の場合) と通信できる必要があります。 ネットワーク管理者と協力して、この通信を許可するようにネットワークが構成されていることを確認してください。 アプライアンス VM IP とコントロール プレーン IP から vCenter へのポート 443 を開くか、または Azure Stack HCI MOC クラウド エージェントのポート 65000 および 55000 を開くためのファイアウォール規則を追加することが必要な場合があります。 Azure Stack HCI のネットワーク要件 と Arc リソース ブリッジのための VMware を確認します。

  • アプライアンス VM IP とコントロール プレーン IP には、 これらの必要な URL へのインターネット アクセスが必要です。 Azure Stack HCI には、追加の URL が必要です。 ネットワーク管理者と協力して、IP が必要な URL にアクセスできることを確認してください。

  • プロキシ以外の環境の管理マシンでは、外部と内部の DNS の解決が必要です。 管理マシンは、vSphere の vCenter エンドポイントや Azure Stack HCI のクラウド エージェント エンドポイントなど、内部名を解決できる DNS サーバーに到達できる必要があります。 また、DNS サーバーは、Azure URL や OS イメージのダウンロード URL などの外部アドレスを解決できる必要があります。 システム管理者と協力して、管理マシンで内部と外部の DNS 解決が行われることを確認します。 プロキシ環境では、プロキシ サーバーの DNS 解決で、内部エンドポイントと 必要な外部アドレスを解決する必要があります。

    プロキシ以外のシナリオで管理マシンから内部アドレスへの DNS 解決をテストするには、コマンド プロンプトを開いて、nslookup <vCenter endpoint or HCI MOC cloud agent IP> を実行します。 プロキシ以外のシナリオの管理マシンで内部 DNS が解決される場合は、応答を受け取るはずです。 

  1. アプライアンス VM は、vSphere の vCenter エンドポイントや Azure Stack HCI のクラウド エージェント エンドポイントなど、内部名を解決できる DNS サーバーに到達できる必要があります。 また、DNS サーバーは、クラウドから Arc リソース ブリッジ コンテナー イメージをダウンロードするために、Azure サービス アドレスやコンテナー レジストリ名などの外部/内部アドレスを解決できる必要があります。

    構成ファイルの作成に使用される DNS サーバー IP に内部および外部のアドレス解決があることを確認します。 そうでない場合は、 アプライアンスを削除し、正しい DNS サーバー設定で Arc リソース ブリッジ構成ファイルを再作成し、新しい構成ファイルを使用して Arc リソース ブリッジをデプロイします。

Arc リソース ブリッジの場所を移動する

Arc リソース ブリッジのリソース移動は現在サポートされていません。 代わりに、Arc リソース ブリッジを削除し、目的の場所に再デプロイします。

Azure Stack HCI 上の Azure Arc 対応 VM の問題

Azure Stack HCI 上の Azure Arc 対応 VM に関連する問題の解決に関する一般的なヘルプについては、Azure Arc 対応仮想マシンのトラブルシューティングに関する記事をご覧ください。

Azure Stack HCI バージョン 23H2 以降を実行していて、Arc Resource Bridge がオフラインの場合は、Arc Resource Bridge の再インストールや削除を試みないでください。 代わりに、Arc Resource Bridge VM を再起動してオンラインに戻してみてください。 問題が解決しない場合、詳細について Microsoft サポートにお問い合わせください。

操作失敗 - no such host

Arc リソース ブリッジのデプロイするとき、errorCodePostOperationsError で、errorResponse がコード GuestInternetConnectivityError および no such host のエラーが発生した場合、アプライアンス VM IP が、エラーで指定されたエンドポイントに到達できない可能性があります。

エラーの例:

{ _errorCode_: _PostOperationsError_, _errorResponse_: _{\n\_message\_: \_{\\n  \\\_code\\\_: \\\_GuestInternetConnectivityError\\\_,\\n  \\\_message\\\_: \\\_Not able to connect to http://aszhcitest01.company.org:55000. Error returned: action failed after 5 attempts: Get \\\\\\\_http://aszhcitest01.company.org:55000\\\\\\\_: dial tcp: lookup aszhcitest01.company.org: on 127.0.0.53:53: no such host. Arc Resource Bridge network and internet connectivity validation failed: cloud-agent-connectivity-test. 1. check your networking setup and ensure the URLs mentioned in : https://aka.ms/AAla73m are reachable from the Appliance VM.   2. Check firewall/proxy settings

この例では、アプライアンス VM IP は、MOC エンドポイントである http://aszhcitest01.company.org:55000にアクセスできません。 ネットワーク管理者と協力して、DNS サーバーが必要な URL を解決できるようにしてください。

DNS サーバー への接続をテストするには:

ping <dns-server.com>

DNS サーバーがアドレスを解決できるかどうかを確認するには、DNS サーバーに到達できるマシンから次のコマンドを実行します。

Resolve-DnsName -Name "http://aszhcitest01.company.org:55000" -Server "<dns-server.com>"

Azure Arc 対応 VMware VCenter の問題

errorResponse: error getting the vsphere sdk client

errorCode: CreateConfigKvaCustomerErrorerrorResponse: error getting the vsphere sdk client を含むエラーは、デプロイ マシンが vCenter アドレスへの TCP 接続を確立しようとしているが、問題が発生したときに発生します。 これは、vCenter アドレスが、正しくない (403 または 404 エラー) 場合、またはネットワーク、プロキシ、ファイアウォールの構成によってブロックされた (接続の試行に失敗した) 場合に発生する可能性があります。

vCenter アドレスをホスト名として入力し、エラー no such host が発生した場合、デプロイ マシンはクライアント DNS 経由で vCenter ホスト名を解決できません。 これは、デプロイ マシンで vCenter ホスト名を解決できても、デプロイ マシンが DNS から受信した IP アドレスに到達できない場合に発生する可能性があります。 このエラーは、DNS によって返されたエンドポイントが vCenter アドレスではない場合、またはトラフィックがプロキシによってインターセプトされた場合に発生する可能性があります。 デプロイ マシンが vCenter アドレスと通信できる場合は、ユーザー名とパスワードが正しいことを確認します。

vSphere SDK クライアント - 接続の試行に失敗しました

デプロイ中に errorCode_: _CreateConfigKvaCustomerError_, _errorResponse_: _error getting the vsphere sdk client: Post \_https://ip.address/sdk\_: dial tcp ip.address:443: connectex: A connection attempt failed because the connected party did not properly respond after a period of time, or established connection failed because connected host has failed to respond._ } というエラーが発生した場合、管理マシンは vCenter サーバーと通信できません。

この問題を解決するには、管理マシンが管理マシンの要件を満たしていること、およびファイアウォールまたはプロキシによる通信のブロックがないことを確認します。

vSphere SDK クライアント - 403 Forbidden または 404 が見つかりません

Arc リソース ブリッジのデプロイ中にerrorCode_: _CreateConfigKvaCustomerError_, _errorResponse_: _error getting the vsphere sdk client: POST \_/sdk\_: 403 Forbidden または 404 not found を含むエラーが発生した場合、可能性が最も高い原因としては、vCenter アドレスが正しくないことが考えられます。 このアドレスは、構成ファイルの作成時に、ホスト名または IP アドレスとして vCenter アドレスを入力するように求められたときに指定します。

vCenter アドレスを見つけるには、さまざまな方法があります。 1 つの方法は、その Web インターフェイスを介して vSphere クライアントにアクセスすることです。 通常、vCenter のホスト名または IP アドレスは、vSphere クライアントにアクセスするためにブラウザーで使用するものです。 既にログインしている場合は、ブラウザーのアドレス バーで確認できます。vSphere へのアクセスに使用する URL が vCenter サーバーのホスト名または IP アドレスです。 vCenter のアドレスを確認し、デプロイを再試行します。

vSphere SDK クライアント - そのようなホストはありません

デプロイ マシンで vCenter ホスト名を IP アドレスに解決できない場合、デプロイ中にエラー { _errorCode_: _CreateConfigKvaCustomerError_, _errorResponse_: _error getting the vsphere sdk client: Post \_https://your.vcenter.hostname/sdk\_: dial tcp: lookup your.vcenter.hostname: no such host_ } が発生する可能性があります。 この問題は、デプロイ プロセスでデプロイ マシンから vCenter ホスト名への TCP 接続を確立しようとしているが、DNS 解決の問題が原因で接続が失敗したために発生します。

このエラーを修正するには、デプロイ マシンの DNS 構成が正しいことを確認し、DNS サーバーがオンラインであることを確認し、vCenter ホスト名の DNS エントリが欠落していないかどうかを確認します。 DNS 解決は、デプロイ マシンから nslookup your.vcenter.hostname または ping your.vcenter.hostname を実行してテストできます。 vCenter アドレスをホスト名として指定した場合は、代わりに IP アドレスを直接使用することを検討してください。

デプロイ前の検証エラー

Arc リソース ブリッジのデプロイ時に、次のようなさまざまな pre-deployment validation of your download\upload connectivity wasn't successful エラーが発生する場合があります。

Pre-deployment validation of your download/upload connectivity wasn't successful. {\\n \\\_code\\\_: \\\_ImageProvisionError\\\_,\\n \\\_message\\\_: \\\_Post \\\\\\\_https://vcenter-server.com/nfc/unique-identifier/disk-0.vmdk\\\\\\\_: Service Unavailable

Pre-deployment validation of your download/upload connectivity wasn't successful. {\\n \\\_code\\\_: \\\_ImageProvisionError\\\_,\\n \\\_message\\\_: \\\_Post \\\\\\\_https://vcenter-server.com/nfc/unique-identifier/disk-0.vmdk\\\\\\\_: dial tcp 172.16.60.10:443: connectex: A connection attempt failed because the connected party did not properly respond after a period of time, or established connection failed because connected host has failed to respond.

Pre-deployment validation of your download/upload connectivity wasn't successful. {\\n \\\_code\\\_: \\\_ImageProvisionError\\\_,\\n \\\_message\\\_: \\\_Post \\\\\\\_https://vcenter-server.com/nfc/unique-identifier/disk-0.vmdk\\\\\\\_: use of closed network connection.

Pre-deployment validation of your download/upload connectivity wasn't successful. {\\n \\\_code\\\_: \\\_ImageProvisionError\\\_,\\n \\\_message\\\_: \\\_Post \\\\\\\_https://vcenter-server.com/nfc/unique-identifier/disk-0.vmdk\\\\\\\_: dial tcp: lookup hostname.domain: no such host

通常、これらのエラーの組み合わせは、管理マシンでデータストアへの接続が失われているか、またはネットワークの問題が発生してデータストアに到達できないことを示します。 この接続は、vCenter でアプライアンス VM を構築するために使用される管理マシンから OVA をアップロードするために必要です。

この問題を修正するには、管理マシンとデータストアの間の接続を再確立し、Arc リソース ブリッジのデプロイをもう一度試します。

x509 証明書の有効期限が切れているか、まだ有効ではありません

Arc リソース ブリッジをデプロイすると、次のエラーが発生する可能性があります。

Error: { _errorCode_: _PostOperationsError_, _errorResponse_: _{\n\_message\_: \_{\\n \\\_code\\\_: \\\_GuestInternetConnectivityError\\\_,\\n \\\_message\\\_: \\\_Not able to connect to https://msk8s.api.cdp.microsoft.com. Error returned: action failed after 3 attempts: Get \\\\\\\_https://msk8s.api.cdp.microsoft.com\\\\\\\_: x509: certificate has expired or isn't yet valid: current time 2022-01-18T11:35:56Z is before 2023-09-07T19:13:21Z. Arc Resource Bridge network and internet connectivity validation failed: http-connectivity-test-arc. 1. check your networking setup and ensure the URLs mentioned in : https://aka.ms/AAla73m are reachable from the Appliance VM. 2. Check firewall/proxy settings

このエラーは、ESXi ホストと、Arc リソース ブリッジのデプロイ コマンドが実行されている管理マシンとの間にクロック/時刻の違いがある場合に発生します。 この問題を解決するには、ESXi ホストで NTP 時刻同期を有効にし、管理マシンも NTP に同期されていることを確認し、もう一度デプロイを試します。

複数のネットワークに解決される

Arc リソース ブリッジをデプロイまたはアップグレードする際、次のようなエラーが発生する場合があります。

{ "ErrorCode": "PreflightcheckErrorOnPrem", "ErrorDetails": "Upgrade Operation Failed with error: \"{\\n \\\"code\\\": \\\"PreflightcheckError\\\",\\n \\\"message\\\": \\\"{\\\\n \\\\\\\"code\\\\\\\": \\\\\\\"InvalidEntityError\\\\\\\",\\\\n \\\\\\\"message\\\\\\\": \\\\\\\"Cannot retrieve vSphere Network 'vmware-azure-arc-01': path 'vmware-azure-arc-01' resolves to multiple networks\\\\\\\",\\\\n \\\\\\\"category\\\\\\\": \\\\\\\"\\\\\\\"\\\\n }\\\",\\n \\\"category\\\": \\\"\\\"\\n }\"" }

このエラーは、エラーで指定された同じ名前を使用する vSphere ネットワーク セグメントが複数あるために、vSphere ネットワーク セグメントが複数のネットワークに解決される場合に発生します。 このエラーを修正するには、vCenter 内の重複するネットワーク名 (アプライアンス VM があるネットワークではありません) を変更するか、Arc リソース ブリッジを別のネットワークにデプロイします。

Arc リソース ブリッジの状態が切断されている

最初の Arc 対応 VMware オンボード スクリプトを実行すると、vSphere アカウントを指定するように求められます。 このアカウントは、暗号化された Kubernetes シークレットとして Arc リソース ブリッジ内にローカルに格納されます。 このアカウントは、Arc リソース ブリッジが vCenter と対話できるようにするために使用されます。

リソース ブリッジ内にローカルに保存されている vSphere アカウントの有効期限が切れると、Arc リソース ブリッジが切断の状態になる可能性があります。 vSphere アカウントの資格情報の更新手順に従って、Arc リソース ブリッジ内および Arc 対応 VMware 用の資格情報を更新する必要があります。

ホスト構成中のエラー

同じテンプレートを使用して Arc リソース ブリッジを複数回デプロイおよび削除すると、次のエラーが発生する可能性があります。

Appliance cluster deployment failed with error: Error: An error occurred during host configuration

この問題を解決するには、既存のテンプレートを手動で削除します。 その後に az arcappliance prepare を実行して、デプロイ用の新しいテンプレートをダウンロードします。

フォルダーを見つけることができない

VMware に Arc リソース ブリッジをデプロイする際、テンプレートと VM を作成するフォルダーを指定します。 選択したフォルダーは、VM とテンプレート フォルダーの種類である必要があります。 ストレージ フォルダー、ネットワーク フォルダー、ホストフォルダー、クラスター フォルダーなど他のタイプのフォルダーは、リソース ブリッジのデプロイには使用できません。

リソースを取得できない - 見つからないか、存在しません

Arc リソース ブリッジをデプロイする際、アプライアンス VM をデプロイする場所を指定します。 アプライアンス VM をその場所のパスから移動することはできません。 アプライアンス VM が場所を移動した場合にアップグレードしようとすると、次のようなエラーが発生する場合があります。

{\n \"code\": \"PreflightcheckError\",\n \"message\": \"{\\n \\\"code\\\": \\\"InvalidEntityError\\\",\\n \\\"message\\\": \\\"Cannot retrieve <resource> 'resource-name': <resource> 'resource-name' not found\\\"\\n }\"\n }"

{\n \"code\": \"PreflightcheckError\",\n \"message\": \"{\\n \\\"code\\\": \\\"InvalidEntityError\\\",\\n \\\"message\\\": \\\"The specified vSphere Datacenter '/VxRail-Datacenter' does not exist\\\"\\n }\"\n }"

これらのエラーを修正するには、次のいずれかのオプションを使用します。

  • アプライアンス VM を元の場所に戻して、場所の変更に合わせて RBAC 資格情報が更新されるようにします。
  • 同じ名前のリソースを作成し、その新しいリソースに Arc リソース ブリッジを移動します。
  • Arc 対応 VMware の場合、Arc 対応 VMware ディザスター リカバリー スクリプトを実行します。 このスクリプトは、アプライアンスを削除し、新しいアプライアンスをデプロイし、そのアプライアンスを以前にデプロイしたカスタムの場所、クラスター拡張機能、Arc 対応 VM に再接続します。
  • Arc リソース ブリッジを削除して再デプロイします。

十分な特権がありません

VMware vCenter でリソース ブリッジをデプロイまたはアップグレードする場合、次のようなエラーが発生する可能性があります。

{ ""code"": ""PreflightcheckError"", ""message"": ""{\n \""code\"": \""InsufficientPrivilegesError\"",\n \""message\"": \""The provided vCenter account is missing required vSphere privileges on the resource 'root folder (MoRefId: Folder:group-d1)'. Missing privileges: [Sessions.ValidateSession]. add the privileges to the vCenter account and try again. To review the full list of required privileges, go to https://aka.ms/ARB-vsphere-privilege.\""\n }

Arc リソース ブリッジをデプロイするときに、vCenter の資格情報を指定します。 Arc リソース ブリッジでは、vCenter と対話するためにこれらの vCenter 資格情報をローカルに格納します。 権限不足の問題を解決するには、リソース ブリッジで使用される vCenter アカウントに VMware vCenter における次の権限が必要です。

データストア:

  • 領域の割り当て
  • データストアを参照する
  • 低レベルのファイル操作

フォルダー:

  • フォルダーを作成する

vSphere のタグ付け:

  • vSphere タグの割り当てまたは割り当て解除

ネットワーク:

  • ネットワークの割り当て

Resource:

  • リソース プールへの仮想マシンの割り当て
  • 電源がオフの仮想マシンの移行
  • 電源がオンの仮想マシンの移行

セッション:

  • セッションの検証

vApp:

  • リソース プールの割り当て
  • インポート

仮想マシン:

  • 構成の変更
    • ディスク リースの取得
    • 既存のディスクの追加
    • 新しいディスクの追加
    • デバイスの追加または削除
    • 詳細な構成
    • CPU 数の変更
    • メモリの変更
    • [設定の変更]
    • リソースの変更
    • managedBy の構成
    • 接続設定の表示
    • 仮想ディスクの拡張
    • デバイスの設定の変更
    • フォールト トレランス互換性のクエリ
    • 所有者のないファイルのクエリ
    • パスから再読み込み
    • ディスクの削除
    • 名前の変更
    • ゲスト情報のリセット
    • 注釈の設定
    • ディスク変更追跡の切り替え
    • フォークの親の切り替え
    • 仮想マシン互換性の更新
  • インベントリの編集
    • 既存からの作成
    • 新規作成
    • 登録
    • 削除
    • Unregister
  • ゲスト操作
    • ゲスト操作エイリアスの変更
    • ゲスト操作の変更
    • ゲスト操作プログラム実行
    • ゲスト操作クエリ
  • 相互作用
    • デバイスの接続
    • コンソール対話
    • VIX API によるゲスト オペレーティング システム管理
    • VMware ツールのインストール
    • 電源オフ
    • 電源投入
    • リセット
    • Suspend
  • プロビジョニング
    • ディスク アクセスの許可
    • ファイル アクセスの許可
    • 読み取り専用ディスク アクセスの許可
    • 仮想マシンのダウンロードの許可
    • 仮想マシン ファイルのアップロードの許可
    • 仮想マシンの複製
    • テンプレートのデプロイ
    • テンプレートとしてマーク
    • 仮想マシンとしてマーク
    • ゲストのカスタマイズ
  • スナップショットの管理
    • スナップショットの作成
    • スナップショットの削除
    • スナップショットに戻す

次のステップ

Azure Arc 対応 VMware vSphere の障害シナリオでのリソース ブリッジの復旧操作の概要

該当する問題がここにない場合、または問題を解決できない場合は、サポートを受けるために、次のいずれかのチャネルをお試しください。

  • Microsoft Q&A を通じて、Azure 専門家からの回答を得ることができます。
  • @AzureSupport (カスタマー エクスペリエンスを向上させるための Microsoft Azure の公式アカウント) に連絡する。 Azure サポートにより、Azure コミュニティの回答、サポート、エキスパートと結び付けられます。
  • Azure サポート リクエストを開きます