Azure Key Vault에 액세스할 때 pipelineRun 배포가 403 Forbidden 오류로 실패하는 경우 파이프라인 관리 ID에 적절한 권한이 있는지 확인합니다.
pipelineRun은 exportPipeline 또는 importPipeline 관리 ID를 사용하여 Key Vault에서 SAS 토큰 비밀을 가져옵니다. ExportPipelines 및 importPipelines는 시스템이 할당한 또는 사용자가 할당한 관리 ID로 프로비전됩니다. 이 관리 ID는 SAS 토큰 비밀을 읽기 위해 Key Vault에 대한 secret get 권한이 있어야 합니다. 관리 ID에 대한 액세스 정책이 Key Vault에 추가되었는지 확인합니다. 자세한 내용은 ExportPipeline ID keyvault에 정책 액세스 권한 부여 및 ImportPipeline ID keyvault에 정책 액세스 권한 부여를 참조하세요.
스토리지 액세스 문제
스토리지에서 403 Forbidden 오류가 표시되면 SAS 토큰에 문제가 있을 수 있습니다.
SAS 토큰이 현재 유효하지 않을 수 있습니다. SAS 토큰이 만료되었거나 SAS 토큰이 생성된 후 스토리지 계정 키가 변경되었을 수 있습니다. SAS 토큰을 사용하여 스토리지 계정 컨테이너에 대한 액세스를 인증하려고 시도하여 SAS 토큰이 유효한지 확인합니다. 예를 들어 기존 Blob 엔드포인트를 새 Microsoft Edge InPrivate 창의 주소 표시줄에 SAS 토큰 앞에 배치하거나 az storage blob upload를 사용하여 SAS 토큰으로 컨테이너에 Blob을 업로드합니다.
SAS 토큰에 허용되는 리소스 유형이 충분하지 않을 수 있습니다. SAS 토큰에 허용되는 리소스 유형(SAS 토큰에서 srt=sco)에서 서비스, 컨테이너 및 개체에 대한 사용 권한이 제공되었는지 확인합니다.
SAS 토큰에 충분한 권한이 없을 수 있습니다. 내보내기 파이프라인의 경우 필요한 SAS 토큰 권한은 읽기, 쓰기, 나열 및 추가입니다. 가져오기 파이프라인의 경우 필요한 SAS 토큰 권한은 읽기, 삭제 및 나열입니다. (삭제 권한은 가져오기 파이프라인에서 DeleteSourceBlobOnSuccess 옵션을 사용하도록 설정한 경우에만 필요합니다.)
SAS 토큰이 HTTPS에서만 작동하도록 구성되지 않았을 수 있습니다. SAS 토큰이 HTTPS에서만 작동하도록 구성되어 있는지 확인합니다(SAS 토큰에서 spr=https).
스토리지 Blob 내보내기 또는 가져오기 문제
SAS 토큰이 잘못되었거나 지정된 내보내기 또는 가져오기 실행에 대한 권한이 부족한 것일 수 있습니다. 스토리지 액세스 문제를 참조하세요.
여러 내보내기를 실행하는 동안 원본 스토리지 계정의 기존 스토리지 Blob을 덮어쓰지 못할 수 있습니다. OverwriteBlob 옵션이 내보내기 실행에 설정되어 있고 SAS 토큰에 충분한 권한이 있는지 확인합니다.
가져오기를 실행한 후에는 대상 스토리지 계정의 스토리지 Blob을 삭제할 수 없습니다. DeleteBlobOnSuccess 옵션이 가져오기 실행에 설정되어 있고 SAS 토큰에 충분한 권한이 있는지 확인합니다.
스토리지 Blob을 만들거나 삭제하지 않았습니다. 내보내기 또는 가져오기 실행에 지정된 컨테이너가 있는지 확인하거나, 수동 가져오기 실행을 위해 지정된 저장소 Blob이 있는지 확인합니다.
원본 트리거 가져오기 문제
원본 트리거 가져오기가 작동하려면 SAS 토큰에 목록 권한이 있어야 합니다.
원본 트리거 가져오기는 Storage Blob에 지난 60일 이내에 마지막으로 수정된 시간이 있는 경우에만 실행됩니다.
원본 트리거 기능으로 가져오려면 Storage Blob에 "category":"acr-transfer-blob" Blob 메타데이터가 있어야 합니다. 이 메타데이터는 파이프라인 실행 내보내기 중에 자동으로 추가되지만 복사 방법에 따라 스토리지 계정에서 스토리지 계정으로 이동할 때 제거될 수 있습니다.
모든 아티팩트가 전송되거나 아트팩트가 전혀 전송되지 않습니다. 내보내기 실행에서 아티팩트의 철자와 내보내기 및 가져오기 실행의 Blob 이름을 확인합니다. 최대 50개의 아티팩트를 전송하고 있는지 확인합니다.
파이프라인 실행이 완료되지 않았을 수 있습니다. 내보내기 또는 가져오기 실행에는 다소 시간이 걸릴 수 있습니다.
다른 파이프라인 문제의 경우 내보내기 실행 또는 가져오기 실행의 배포 상관 관계 ID를 Azure Container Registry 팀에 제공합니다.
exportPipelines, importPipelines 및 pipelineRuns와 같은 ACR 전송 리소스를 만들려면 사용자에게 ACR 구독에 대한 기여자 이상의 액세스 권한이 있어야 합니다. 그렇지 않으면 전송이 거부되거나 범위가 잘못된 오류를 수행할 수 있는 권한 부여가 표시됩니다.
물리적으로 격리된 환경에서 이미지를 끌어올 때 발생하는 문제
물리적으로 격리된 환경에서 이미지를 끌어올 때 외부 계층에 대한 오류가 표시되거나 mcr.microsoft.com을 해결하려고 시도하는 경우 이미지 매니페스트에는 배포 불가능 계층이 있을 수 있습니다. 물리적으로 격리된 환경의 특성으로 인해 이러한 이미지를 끌어오지 못하는 경우가 많습니다. 이미지 매니페스트에서 외부 레지스트리에 대한 참조를 확인하여 이 경우에 해당하는지 확인할 수 있습니다. 이 경우라면 해당 이미지에 대한 내보내기 파이프라인을 배포하기 전에 배포 불가능 계층을 퍼블릭 클라우드 ACR로 푸시해야 합니다. 이 작업을 수행하는 방법에 대한 지침은 배포 불가능 레이어를 레지스트리로 푸시하려면 어떻게 해야 하나요?를 참조하세요.