Delen via

Toegang geweigerd bij het uitvoeren van Azure Batch-taken

  • Artikel

Het Azure Storage-account is een noodzakelijk afhankelijk onderdeel voor het Azure Batch-account voor het opslaan van resourcebestanden, toepassingspakketten en uitvoerbestanden. In veel gevallen gebruikt u Een Azure Storage-account met een firewall om de beveiliging te verbeteren. Azure Storage-account met een firewall kan echter fouten veroorzaken wanneer u Azure Batch-taken uitvoert. Dit artikel bevat oplossingen voor dergelijke problemen.

Symptomen

Bij het uitvoeren van Azure Batch-taken kunnen er fouten optreden met betrekking tot het bijbehorende Azure-opslagaccount.

Hier volgt een voorbeeld van een fout:

Categorie: UserError
Code: ResourceContainerAccessDenied
Bericht: Toegang voor een van de opgegeven Azure-blogcontainers is geweigerd

Oorzaak

Wanneer u een Azure Batch-pool maakt, worden nieuwe virtuele machines (Batch-knooppunten) ingericht. Als u geen statisch openbaar IP-adres aan de Batch-pool toewijst, wordt er een willekeurig openbaar IP-adres toegewezen. Wanneer u het formaat van het aantal knooppunten wijzigt in 0 en het formaat opnieuw wijzigt, verandert het openbare IP-adres van deze nieuwe Batch-knooppunten. Als het gekoppelde opslagaccount een firewall heeft geconfigureerd, is het daarom moeilijk voor u om de acceptatielijst van de firewall te beheren.

Als het opslagaccount en de Batch-pool zich in dezelfde regio bevinden, ongeacht of de Batch-pool een statisch openbaar IP-adres heeft of niet, gaat het uitgaande verkeer van Batch-knooppunten altijd via het Azure backbone-internet (privé-IP-adressen). De opslagfirewall mag geen privé-IP-adres toevoegen aan de acceptatielijst, waardoor het verkeer naar het opslagaccount wordt geweigerd.

Oplossing

U kunt het probleem oplossen door de Batch-pool en de configuraties van het opslagaccount te beheren op basis van uw scenario's.

Notitie

Als u toepassingspakketten wilt uploaden, werken geen van de volgende oplossingen. Het opslagaccount mag geen firewall configureren. Zie Een opslagaccount koppelen voor meer informatie.

Scenario 1: Batch-pool en opslagaccount bevinden zich in dezelfde regio en Batch-pool heeft een virtueel netwerk

  1. Controleer de subnetgegevens onder Netwerkconfiguratie vanuit de eigenschappen van de Batch-accountgroep>>in Azure Portal.> Noteer en noteer de informatie.

    Schermopname van de subnetgegevens van de Azure Batch-pool.

  2. Navigeer naar het opslagaccount en selecteer Netwerken. Selecteer in de instelling Firewalls en virtuele netwerken de optie Inschakelen in geselecteerde virtuele netwerken en IP-adressen voor openbare netwerktoegang. Voeg het subnet van de Batch-pool toe aan de acceptatielijst van de firewall.

    Schermopname die laat zien hoe u subnet toevoegt aan de acceptatielijst van de firewall.

    Als het subnet het service-eindpunt niet inschakelt en u het selecteert, wordt er als volgt een melding weergegeven:

    Voor de volgende netwerken zijn geen service-eindpunten ingeschakeld voor Microsoft.Storage. Het inschakelen van de toegang duurt maximaal 15 minuten. Na het starten van deze bewerking is het veilig om te vertrekken en later terug te keren als u niet wilt wachten.

    Voordat u het subnet toevoegt, controleert u het in het virtuele Batch-netwerk om te zien of het service-eindpunt voor het opslagaccount is ingeschakeld.

    Schermopname die laat zien hoe u kunt controleren of het service-eindpunt is ingeschakeld.

Nadat u de bovenstaande configuraties hebt voltooid, hebben de Batch-knooppunten in de pool toegang tot het opslagaccount.

Scenario 2: Batch-pool en opslagaccount bevinden zich in verschillende regio's

  1. Maak een nieuwe Batch-pool in een virtueel netwerk met een statisch openbaar IP-adres. Zie Een Batch-pool met opgegeven openbare IP-adressen maken voor meer informatie.

    Omdat de Batch-pool en het opslagaccount zich in verschillende regio's bevinden, gaat het uitgaande verkeer via het openbare internet via het openbare IP-adres.

  2. Noteer het openbare IP-adres.

  3. Wijs het openbare IP-adres toe aan het ip-adres van de openbare Load Balancer van de Batch-pool.

    Controleer daarna de eigenschappen van uw Batch-pool. Ze zijn hetzelfde als in de volgende schermopname:

    Schermopname van de eigenschappen van de Batch-pool.

  4. Voeg het openbare IP-adres toe aan de acceptatielijst voor de opslagfirewall.

    Schermopname van het openbare IP-adres.

    Schermopname van het openbare IP-adres dat is toegevoegd aan de acceptatielijst.

  5. Voer de Batch-taken uit met de zojuist gemaakte Batch-pool.

Contacteer ons voor hulp

Als u vragen hebt of hulp nodig hebt, maak een ondersteuningsaanvraag of vraag de Azure-communityondersteuning. U kunt ook productfeedback verzenden naar de Azure-feedbackcommunity.