Udostępnij za pośrednictwem

Odmowa dostępu podczas wykonywania zadań usługi Azure Batch

  • Artykuł

Konto usługi Azure Storage jest niezbędnym składnikiem zależnym dla konta usługi Azure Batch do przechowywania plików zasobów, pakietów aplikacji i plików wyjściowych. W wielu przypadkach używasz konta usługi Azure Storage z zaporą, aby zwiększyć jej bezpieczeństwo. Jednak konto usługi Azure Storage z zaporą może powodować błędy podczas wykonywania zadań usługi Azure Batch. Ten artykuł zawiera rozwiązania takich problemów.

Symptomy

Podczas wykonywania zadań usługi Azure Batch mogą wystąpić błędy związane ze skojarzonym kontem usługi Azure Storage.

Oto przykład błędu:

Kategoria: UserError
Kod: ResourceContainerAccessDenied
Komunikat: Odmowa dostępu dla jednego z określonych kontenerów blogów platformy Azure

Przyczyna

Podczas tworzenia puli usługi Azure Batch zostaną aprowidowane nowe maszyny wirtualne (węzły usługi Batch). Jeśli nie przypiszesz statycznego publicznego adresu IP do puli usługi Batch, zostanie przypisany losowy publiczny adres IP. Za każdym razem, gdy zmieniasz rozmiar węzłów na 0 i zmieniasz rozmiar ponownie, publiczny adres IP tych nowych węzłów usługi Batch ulegnie zmianie. W związku z tym, jeśli skojarzone konto magazynu ma skonfigurowaną zaporę, trudno jest zarządzać listą dozwolonych zapory.

Jeśli konto magazynu i pula usługi Batch znajdują się w tym samym regionie, niezależnie od tego, czy pula usługi Batch ma statyczny publiczny adres IP, czy nie, ruch wychodzący z węzłów usługi Batch zawsze będzie przechodzić za pośrednictwem sieci szkieletowej platformy Azure (prywatnych adresów IP). Zapora magazynu nie może dodać prywatnego adresu IP na liście dozwolonych, co spowoduje odmowę ruchu do konta magazynu.

Rozwiązanie

Aby rozwiązać ten problem, zarządzaj pulą usługi Batch i konfiguracjami konta magazynu na podstawie Twoich scenariuszy.

Uwaga 16.

Jeśli musisz przekazać pakiety aplikacji, żadne z następujących rozwiązań nie będzie działać. Konto magazynu nie może skonfigurować żadnej zapory. Aby uzyskać więcej informacji, zobacz Łączenie konta magazynu.

Scenariusz 1. Pula usługi Batch i konto magazynu znajdują się w tym samym regionie, a pula usługi Batch ma sieć wirtualną

  1. Sprawdź informacje o podsieci w obszarze Konfiguracja sieci z właściwości puli>kont>usługi Batch w witrynie Azure Portal.> Zanotuj i zapisz informacje.

    Zrzut ekranu przedstawiający informacje o podsieci puli usługi Azure Batch.

  2. Przejdź do konta magazynu i wybierz pozycję Sieć. W ustawieniu Zapory i sieci wirtualne wybierz pozycję Włącz z wybranych sieci wirtualnych i adresów IP dla dostępu do sieci publicznej. Dodaj podsieć puli usługi Batch na liście dozwolonych zapory.

    Zrzut ekranu przedstawiający sposób dodawania podsieci do listy dozwolonych zapory.

    Jeśli podsieć nie włączy punktu końcowego usługi, po jej wybraniu zostanie wyświetlone powiadomienie w następujący sposób:

    Następujące sieci nie mają włączonych punktów końcowych usługi dla "Microsoft.Storage". Włączenie dostępu potrwa do 15 minut. Po uruchomieniu tej operacji można bezpiecznie opuścić i wrócić później, jeśli nie chcesz czekać.

    W związku z tym przed dodaniem podsieci sprawdź ją w sieci wirtualnej usługi Batch, aby sprawdzić, czy punkt końcowy usługi dla konta magazynu jest włączony.

    Zrzut ekranu przedstawiający sposób sprawdzania, czy punkt końcowy usługi jest włączony.

Po zakończeniu powyższych konfiguracji węzły usługi Batch w puli będą mogły pomyślnie uzyskać dostęp do konta magazynu.

Scenariusz 2. Pula usługi Batch i konto magazynu znajdują się w różnych regionach

  1. Utwórz nową pulę usługi Batch w sieci wirtualnej ze statycznym publicznym adresem IP. Aby uzyskać więcej informacji, zobacz Tworzenie puli usługi Batch z określonymi publicznymi adresami IP.

    Ponieważ pula usługi Batch i konto magazynu znajdują się w różnych regionach, ruch wychodzący będzie przechodzić przez publiczny Internet za pośrednictwem publicznego adresu IP.

  2. Zapisz publiczny adres IP.

  3. Przypisz publiczny adres IP do publicznego adresu IP publicznego modułu równoważenia obciążenia w puli usługi Batch.

    Następnie sprawdź właściwości puli usługi Batch. Będą one podobne do tych na poniższym zrzucie ekranu:

    Zrzut ekranu przedstawiający właściwości puli usługi Batch.

  4. Dodaj publiczny adres IP do listy dozwolonych zapory magazynu.

    Zrzut ekranu przedstawiający publiczny adres IP.

    Zrzut ekranu przedstawiający publiczny adres IP został dodany do listy dozwolonych.

  5. Uruchom zadania usługi Batch z nowo utworzoną pulą usługi Batch.

Skontaktuj się z nami, aby uzyskać pomoc

Jeśli masz pytania lub potrzebujesz pomocy, utwórz wniosek o pomoc techniczną lub zadaj pytanie w społeczności wsparcia dla platformy Azure. Możesz również przesłać opinię o produkcie do społeczności opinii na temat platformy Azure.