Delen via

Veelvoorkomende problemen met vertrouwelijke containers oplossen

  • Artikel

Dit artikel bevat oplossingen voor veelvoorkomende problemen met vertrouwelijke containers in Azure Container Instances.

Algemene problemen

Mogelijk ondervindt u de volgende problemen en fouten bij het implementeren van vertrouwelijke containers:

  • Beleidsfouten:

    Deployment Failed.
ErrorMessage=failed to create containerd task: failed to create shim task:
uvm::Policy: failed to modify utility VM configuration: guest modify: guest RPC failure:
error creating Rego policy: rego compilation failed: rego compilation failed: 4 errors occurred:

    Deployment Failed.
ErrorMessage=failed to create containerd task: failed to create shim task:
uvm::Policy: failed to modify utility VM configuration: guest modify:guest RPC failure:
error creating Rego policy: rego compilation failed: rego compilation failed: 1 error occurred:
policy.rego:48 rego_parse_error: non-terminated string;

    Container creation denied due to policy: create_container not allowed by policy. 
Errors: [invalid command].

    Denied by policy: rule for mount_device is missing from policy: unknown.

    Failed to create containerd task: failed to create shim task: failed to mount container storage:
failed to add LCOW layer: failed to add SCSI layer: failed to modify UVM with new SCSI mount:
guest modify: guest RPC failure: mounting scsi device controller 3 lun 2 onto /run/mounts/m4
denied by policy: mount_device not allowed by policy. Errors: [deviceHash not found].

    Container creation denied due to policy: create_container not allowed by policy.

  • Een beleid dwingt een nieuw framework af:

    Failed to create containerd task: failed to create shim task: failed to mount container storage:
guest modify: guest RPC failure: overlay creation denied by policy: mount_overlay not allowed by policy.
Errors: [framework_svn is ahead of the current svn: 1.1.0 > 0.1.0].

  • Ongeldig CCE-beleid (Base64 Confidential Computing Enforcement):

    The CCE Policy is not valid Base64.

  • Beperking : limiet van 120 kB (kB) voor het CCE-beleid:

    Failed to create containerd task: failed to create shim task: error while creating the compute system:
hcs::CreateComputeSystem <compute system id>@vm: The requested operation failed.: unknown.\r\n;
The container group provisioning has failed. Refer to 'DeploymentFailedReason' event for more details.;

    Failed to create containerd task: failed to create shim task: task with id: '<task id>' cannot be created in pod: '<pod>'
which is not running: failed precondition.\r\n;The container group provisioning has failed.
Refer to 'DeploymentFailedReason' event for more details.

  • Apparaat-hash is niet gevonden:

    Denied by policy: rule for mount_device is missing from policy: unknown.

    Failed to create containerd task: failed to create shim task: failed to mount container storage:
failed to add LCOW layer: failed to add SCSI layer: failed to modify UVM with new SCSI mount:
guest modify: guest RPC failure: mounting scsi device controller 3 lun 2 onto /run/mounts/m4
denied by policy: mount_device not allowed by policy. Errors: [deviceHash not found]

  • Overige problemen:

    • Logboeken worden niet weergegeven.
    • De exec-functionaliteit werkt niet.
    • Er treedt een time-out op voor de implementatie van het abonnement na 30 minuten.
    • Livenesstest met niet-toegestaan beleid.
    • Afsluitcode 139.

Oorzaak

In de meeste gevallen treden deze problemen op vanwege het CCE-beleid.

Oplossing

  • Als er beleidsfouten optreden, genereert u het CCE-beleid opnieuw en probeert u de implementatie opnieuw uit te voeren.

  • Als het CCE-beleid een framework afdwingt, gaat u terug naar een ouder framework svn.

  • Als de apparaat-hash niet wordt gevonden of er een probleem is met een installatiekopieën, wist u de cache en genereert u het CCE-beleid opnieuw.

    Voer de docker rmi <image_name>:<tag> opdracht uit om de cache op te schonen. Als u alle installatiekopieën in de cache wilt opschonen, voert u de docker rmi $(docker images -a -q) opdracht uit. Voer de opdracht uit om de docker inspect <image_name>:<tag> ontbrekende hash te controleren.

Contacteer ons voor hulp

Als u vragen hebt of hulp nodig hebt, maak een ondersteuningsaanvraag of vraag de Azure-communityondersteuning. U kunt ook productfeedback verzenden naar de Azure-feedbackcommunity.