機密コンテナーに関する一般的な問題のトラブルシューティング
この記事では、Azure Container Instancesの機密コンテナーに関する一般的な問題の解決策について説明します。
一般的な問題
機密コンテナーをデプロイすると、次の問題とエラーが発生する可能性があります。
ポリシーエラー:
Deployment Failed. ErrorMessage=failed to create containerd task: failed to create shim task: uvm::Policy: failed to modify utility VM configuration: guest modify: guest RPC failure: error creating Rego policy: rego compilation failed: rego compilation failed: 4 errors occurred:Deployment Failed. ErrorMessage=failed to create containerd task: failed to create shim task: uvm::Policy: failed to modify utility VM configuration: guest modify:guest RPC failure: error creating Rego policy: rego compilation failed: rego compilation failed: 1 error occurred: policy.rego:48 rego_parse_error: non-terminated string;Container creation denied due to policy: create_container not allowed by policy. Errors: [invalid command].Denied by policy: rule for mount_device is missing from policy: unknown.Failed to create containerd task: failed to create shim task: failed to mount container storage: failed to add LCOW layer: failed to add SCSI layer: failed to modify UVM with new SCSI mount: guest modify: guest RPC failure: mounting scsi device controller 3 lun 2 onto /run/mounts/m4 denied by policy: mount_device not allowed by policy. Errors: [deviceHash not found].Container creation denied due to policy: create_container not allowed by policy.ポリシーでは、新しいフレームワークが適用されます。
Failed to create containerd task: failed to create shim task: failed to mount container storage: guest modify: guest RPC failure: overlay creation denied by policy: mount_overlay not allowed by policy. Errors: [framework_svn is ahead of the current svn: 1.1.0 > 0.1.0].base64 Confidential Computing Enforcement (CCE) ポリシーが無効です。
The CCE Policy is not valid Base64.制限 - CCE ポリシーの 120 キロバイト (KB) の制限:
Failed to create containerd task: failed to create shim task: error while creating the compute system: hcs::CreateComputeSystem <compute system id>@vm: The requested operation failed.: unknown.\r\n; The container group provisioning has failed. Refer to 'DeploymentFailedReason' event for more details.;Failed to create containerd task: failed to create shim task: task with id: '<task id>' cannot be created in pod: '<pod>' which is not running: failed precondition.\r\n;The container group provisioning has failed. Refer to 'DeploymentFailedReason' event for more details.デバイス ハッシュが見つかりません。
Denied by policy: rule for mount_device is missing from policy: unknown.Failed to create containerd task: failed to create shim task: failed to mount container storage: failed to add LCOW layer: failed to add SCSI layer: failed to modify UVM with new SCSI mount: guest modify: guest RPC failure: mounting scsi device controller 3 lun 2 onto /run/mounts/m4 denied by policy: mount_device not allowed by policy. Errors: [deviceHash not found]その他の問題:
- ログが表示されません。
- exec 機能は機能しません。
- サブスクリプションのデプロイは 30 分後にタイムアウトします。
- 許可されていないポリシーを持つ Liveness プローブ。
- コード 139 を終了します。
原因
ほとんどの場合、これらの問題は CCE ポリシーが原因で発生します。
ソリューション
ポリシーエラーが発生した場合は、CCE ポリシーを再生成し、デプロイを再試行してください。
CCE ポリシーがフレームワークを適用する場合は、古いフレームワーク svn に戻します。
デバイス ハッシュが見つからない場合、またはイメージに問題がある場合は、キャッシュをクリアして CCE ポリシーを再生成します。
キャッシュをクリーンするには、 コマンドを
docker rmi <image_name>:<tag>実行します。 キャッシュ内のすべてのイメージをクリーンするには、 コマンドをdocker rmi $(docker images -a -q)実行します。 不足しているハッシュを調べるには、 コマンドをdocker inspect <image_name>:<tag>実行します。
お問い合わせはこちらから
質問がある場合やヘルプが必要な場合は、サポート要求を作成するか、Azure コミュニティ サポートにお問い合わせください。 Azure フィードバック コミュニティに製品フィードバックを送信することもできます。