Compartilhar via


Solucionar problemas de ponte de recursos do Azure Arc

Este artigo fornece informações sobre solução de problemas e resolução de problemas que podem ocorrer ao tentar implantar, usar ou remover a ponte de recursos do Azure Arc. A ponte de recursos é uma máquina virtual empacotada que hospeda um cluster do Kubernetes de gerenciamento. Para obter informações gerais, consulte visão geral da ponte de recursos do Azure Arc.

Problemas gerais

Coleção de logs

Para problemas encontrados com a ponte de recursos do Arc, colete os logs para investigação adicional usando o comando az arcappliance logs da CLI do Azure. Esse comando precisa ser executado no computador de gerenciamento usado para implantar a ponte de recursos do Arc. Se você estiver usando um computador diferente, ele deverá atender aos requisitos do computador de gerenciamento.

Se houver um problema na coleta de logs, provavelmente a máquina de gerenciamento não conseguirá acessar a VM do dispositivo. Entre em contato com o administrador da rede para permitir a comunicação SSH da máquina de gerenciamento com a VM do dispositivo na porta TCP 22.

Você pode coletar os logs da ponte de recursos do Arc passando o IP da VM do dispositivo ou o kubeconfig no comando logs.

Para coletar logs da ponte de recursos Arc no VMware usando o endereço IP da VM do dispositivo:

az arcappliance logs vmware --ip <appliance VM IP> --username <vSphere username> --password <vSphere password> --address <vCenter address> --out-dir <path to output directory>

Para coletar logs do Arc Resource Bridge para o Azure Stack HCI, veja Coletar logs.

Se você não tiver certeza do IP da VM do dispositivo, também haverá a opção de usar o kubeconfig. Você pode recuperar o kubeconfig executando o comando get-credentials e depois executando o comando logs.

Para recuperar o kubeconfig e a chave de log, colete logs para VMware habilitado para Arc de uma máquina diferente daquela usada para implantar a ponte de recursos Arc para VMware habilitado para Arc:

az account set -s <subscription id>
az arcappliance get-credentials -n <Arc resource bridge name> -g <resource group name> 
az arcappliance logs vmware --kubeconfig kubeconfig --out-dir <path to specified output directory>

A conectividade de download/upload não foi bem-sucedida

Se a velocidade da rede for lenta, talvez você não consiga baixar com êxito a imagem da VM da ponte de recursos do Arc, resultando neste erro: ErrorCode: ValidateKvaError, Error: Pre-deployment validation of your download/upload connectivity was not successful. Timeout error occurred during download and preparation of appliance image to the on-premises fabric storage. Common causes of this timeout error are slow network download/upload speeds, a proxy limiting the network speed or slow storage performance.

Como solução alternativa, tente criar uma VM diretamente na nuvem privada local e execute o script de implantação da ponte de recursos do Arc dessa VM. Fazer isso deve resultar em um upload mais rápido da imagem para o armazenamento de dados.

O contexto atingiu o tempo limite durante a fase ApplyingKvaImageOperator

Ao implantar a ponte de recursos do Arc, você poderá visualizar este erro: Deployment of the Arc resource bridge appliance VM timed out. Collect logs with _az arcappliance logs_ and create a support ticket for help. To troubleshoot the error, refer to aka.ms/arc-rb-error { _errorCode_: _ContextError_, _errorResponse_: _{\n\_message\_: \_Context timed out during phase _ApplyingKvaImageOperator_\_\n}_ }

Esse erro geralmente ocorre quando se tenta fazer o download da imagem KVAIO (400 MB compactada) em uma rede lenta ou com conectividade intermitente. O gerenciador do controlador KVAIO aguarda a conclusão do download da imagem e atinge o tempo limite.

Verifique se a velocidade da rede entre a VM da ponte de recursos do Arc e o Registro de Contêiner da Microsoft (mcr.microsoft.com) está estável e com pelo menos 2 Mbps. Se a conectividade e a velocidade da rede estiverem estáveis e você ainda estiver recebendo esse erro, aguarde pelo menos 30 minutos antes de tentar novamente, pois pode ser devido ao Registro de Contêiner da Microsoft receber um grande volume de tráfego.

O contexto atingiu o tempo limite durante a fase WaitingForAPIServer

Ao implantar a ponte de recursos do Arc, você poderá visualizar este erro: Deployment of the Arc resource bridge appliance VM timed out. Collect logs with _az arcappliance logs_ and create a support ticket for help. To troubleshoot the error, refer to aka.ms/arc-rb-error { _errorCode_: _ContextError_, _errorResponse_: _{\n\_message\_: \_Context timed out during phase _WaitingForAPIServer

Esse erro indica que o computador de implantação não pode entrar em contato com o IP do painel de controle da ponte de recursos do Arc dentro do limite de tempo. As causas comuns do erro geralmente estão relacionadas à rede, como a comunicação entre o computador de implantação e o IP do painel de controle que está sendo roteado por meio de um proxy. O tráfego do computador de implantação para o painel de controle e os IPs de VM do dispositivo não devem passar pelo proxy. Se o tráfego estiver sendo solicitado, defina as configurações de proxy em sua rede ou computador de implantação para não fazer proxy de tráfego entre o computador de implantação para o IP do painel de controle e os IPs de VM do dispositivo. Outra causa para esse erro é se um firewall estiver fechando o acesso à porta 6443 e à porta 22 entre o computador de implantação e o IP do painel de controle ou entre a máquina de implementação e os IPs da VM do dispositivo.

403 Proibido ou 404 Site não encontrado

Ao implantar a ponte de recursos do Arc, você poderá visualizar este erro: { _errorCode_: _UploadError_, _errorResponse_: _{\n\_message\_: \_Pre-deployment validation of your download/upload connectivity was not successful. {\\n \\\_code\\\_: \\\_ImageProvisionError\\\_,\\n \\\_message\\\_: \\\_403 Forbidden ou { _errorCode_: _UploadError_, _errorResponse_: _{\n\_message\_: \_Pre-deployment validation of your download/upload connectivity was not successful. {\\n \\\_code\\\_: \\\_ImageProvisionError\\\_,\\n \\\_message\\\_: \\\_404 Site Not Found

Esse erro ocorre quando as imagens precisam ser baixadas dos registros da Microsoft para o computador de implantação, mas um proxy ou firewall bloqueia o download. Examine os requisitos de rede e verifique se todas as URLs necessárias podem ser acessadas. Talvez seja necessário atualizar suas configurações sem proxy para garantir que o tráfego do computador de implantação para as URLs necessárias da Microsoft não esteja passando por um proxy.

Acesso à pasta de SSH negado

A CLI requer permissão para acessar a pasta de SSH durante a implantação ou durante operações que envolvem o acesso a arquivos que estão nessa pasta. A pasta contém arquivos essenciais, como o kubeconfig e a chave de logs da VM do dispositivo. Por exemplo, a CLI precisa acessar a chave de logs armazenada na pasta de SSH para coletar logs da VM do dispositivo.

Você poderá visualizar este erro: Access to the file in the SSH folder was denied. This may occur if the CLI doesn't have permission to the SSH folder or if another CLI instance is using the file. Há duas causas comuns para esse problema:

  • Permissões insuficientes: a CLI não tem as permissões necessárias para acessar a pasta de SSH. Verifique se a conta de usuário que executa a CLI tem permissões apropriadas para acessar a pasta de SSH.
  • Acesso simultâneo ao arquivo: outra instância da CLI pode estar usando o arquivo na pasta de SSH. Isso geralmente acontece em estações de trabalho com perfis compartilhados. Verifique se outras instâncias da CLI finalizaram ou encerraram as operações antes de prosseguir.

A ponte de recursos do Arc está offline

As alterações de rede na infraestrutura, ambiente ou cluster podem impedir que a VM do dispositivo possa se comunicar com seu recurso do Azure equivalente. Se não for possível determinar o que foi alterado, você poderá reinicializar a VM do dispositivo, coletar logs e enviar um tíquete de suporte para uma investigação mais aprofundada.

Não há suporte para o PowerShell remoto

Se você executar comandos az arcappliance CLI para a ponte de recursos do Arc por meio do PowerShell remoto, poderá ver um erro de falha de handshake de autenticação ao tentar instalar a ponte de recursos em um cluster do Azure Stack HCI ou outro tipo de erro.

No momento, não há suporte para o uso de comandos az arcappliance do PowerShell remoto. Em vez disso, entre no nó por meio do protocolo RDP ou use uma sessão de console.

As configurações da ponte de recursos não podem ser atualizadas

Nesta versão, todos os parâmetros são especificados no momento da criação. Para atualizar a ponte de recursos do Arc, você precisará excluí-la e reimplantá-la.

Por exemplo, se você especificar o local errado ou a assinatura durante a implantação, a criação do recurso falhará. Se você apenas tentar recriar o recurso sem reimplantar a VM de ponte de recursos, o status ficará travado em WaitForHeartBeat.

Para resolver esse problema, exclua o dispositivo e atualize o arquivo YAML do dispositivo. Depois disso, implante novamente e crie a ponte de recursos.

Rede do dispositivo indisponível

Se a ponte de recursos do Arc apresentar problemas de rede, você poderá visualizar um erro Appliance Network Unavailable. Em geral, qualquer problema de conectividade de rede ou infraestrutura com a VM do dispositivo pode causar esse erro. Esse erro também pode aparecer como Error while dialing dial tcp xx.xx.xxx.xx:55000: connect: no route to host. O problema pode ser que a comunicação do host com a VM da ponte de recursos Arc precise ser aberta pela porta TCP 22 com a ajuda do administrador da rede. Um problema temporário de rede pode não permitir que o host alcance a VM da Ponte de Recursos do Arc. Quando o problema da rede for resolvido, você poderá tentar novamente a operação. Você também pode verificar se a VM do dispositivo para ponte de recursos Arc não está parada ou offline. Com o Azure Stack HCI, esse erro pode ser causado quando o armazenamento do host está cheio.

Erro de atualização de token

Ao executar comandos da CLI do Azure, você poderá visualizar o seguinte erro: The refresh token has expired or is invalid due to sign-in frequency checks by conditional access.

Este erro ocorre porque ao entrar no Azure, o token tem um tempo de vida máximo. Quando esse tempo de vida for excedido, você precisará entrar no Azure novamente usando o comando az login.

Pools de recursos de host padrão não estão disponíveis para implantação

Ao usar o comando az arcappliance createconfig ou az arcappliance run, uma experiência interativa mostra a lista de entidades do VMware que você poderá selecionar para implantar a solução de virtualização. Essa lista mostra todos os pools de recursos criados pelo usuário, além dos com pools de recursos de cluster padrão, mas os pools de recursos de host padrão não estão listados. Quando o dispositivo é implantado em um pool de recursos de host, não haverá alta disponibilidade se o hardware do host falhar. Recomendamos que você não implante o dispositivo em um pool de recursos de host.

O status da ponte de recursos é Offline e o estado de provisionamento é Com falha

Ao implantar a ponte de recursos do Arc, a ponte pode parecer ter sido implantada com êxito, pois nenhum erro foi encontrado durante a execução az arcappliance deploy ou az arcappliance create. No entanto, ao exibir a ponte no portal do Azure, você poderá visualizar os status sendo exibidos como Offline e az arcappliance show pode mostrar o provisioningState como Failed. Este problema acontece quando os provedores necessários não são registrados antes da ponte ser implantada.

Para o Azure Stack HCI, versão 23H2 e posteriores, o Arc Resource Bridge é implantado automaticamente durante a implantação do cluster e a instalação manual não é mais necessária.

Se o Arc Resource Bridge estiver offline, tente reiniciar a VM do Arc Resource Bridge. Se o problema persistir, contate o Suporte da Microsoft.

Observação

Reinstalar o Arc Resource Bridge no Azure Stack HCI pode causar problemas com seus recursos existentes do Azure.

Para resolver esse problema, exclua a ponte de recursos, registre os provedores e reimplante a ponte de recursos.

  1. Exclua a ponte de recursos:

    az arcappliance delete <fabric> --config-file <path to appliance.yaml>
    
  2. Registre os provedores:

    az provider register --namespace Microsoft.ExtendedLocation –-wait
    az provider register --namespace Microsoft.ResourceConnector –-wait
    
  3. Reimplantar a ponte de recursos.

Observação

Os produtos de parceiro (como o VMware vSphere habilitado para Arc) podem ter seus próprios provedores necessários para se registrarem. Para obter informações sobre esses provedores adicionais, consulte a documentação do produto.

Credenciais expiradas na VM do dispositivo

A ponte de recursos arc consiste em uma VM do dispositivo implantada na infraestrutura local. A VM do dispositivo mantém uma conexão com o ponto de extremidade de gerenciamento da infraestrutura local usando credenciais armazenadas localmente. Se essas credenciais não forem atualizadas, a ponte de recursos não poderá mais se comunicar com o ponto de extremidade de gerenciamento. Isso pode causar problemas ao tentar atualizar a ponte de recursos ou gerenciar VMs por meio do Azure.

Para corrigir este problema, as credenciais na VM do dispositivo precisam ser atualizadas. Para obter mais informações, consulte Atualizar credenciais na VM do dispositivo.

A ponte de recursos Arc não suporta link privado. Chamadas provenientes da VM do dispositivo não devem passar pela configuração do seu link privado. Os IPs do link Privado do Azure podem entrar em conflito com o intervalo do pool de IPs do dispositivo, que não é configurável na ponte de recursos. A ponte de recursos Arc alcança URLs obrigatórios que não devem passar por uma conexão de link privado. Você deve implementar a ponte de recursos Arc em um segmento de rede separado não relacionado à configuração do link privado.

Problemas de rede

Erro de imagem de retirada

Ao tentar implantar a ponte de recursos do Arc, você pode ver um erro que contém back-off pulling image \\\"url"\\\: FailFastPodCondition. Esse erro é causado quando a VM do dispositivo não consegue alcançar a URL especificada no erro. Para resolver esse problema, verifique se a VM do dispositivo atende aos requisitos do sistema, incluindo a conectividade de acesso à Internet às URLs de lista de permissões necessárias.

O computador de gerenciamento não consegue alcançar o dispositivo

Ao tentar implantar a ponte de recursos do Arc, você pode receber uma mensagem de erro semelhante a:

{ _errorCode_: _PostOperationsError_, _errorResponse_: _{\n\_message\_: \_Timeout occurred due to management machine being unable to reach the appliance VM IP, 10.2.196.170. Ensure that the requirements are met: https://aka.ms/arb-machine-reqs: dial tcp 10.2.196.170:22: connectex: A connection attempt failed because the connected party did not properly respond after a period of time, or established connection failed because connected host has failed to respond.\_\n}_, _errorMetadata_: { _errorCategory_: __ }

Esse erro ocorre quando o computador de gerenciamento não consegue alcançar o IP da VM da ponte de recursos do Arc por SSH (Porta 22) ou servidor de API (Porta 6443). Isso também pode ocorrer se o servidor de API da ponte de recursos do Arc estiver com proxy. O servidor de API da ponte de recursos do Arc precisa ser adicionado às configurações de noproxy. Para obter mais informações, consulte requisitos de rede da ponte de recursos do Azure Arc.

Não é possível se conectar à URL

Se você receber um erro que contenha Not able to connect to https://example.url.com, verifique com o administrador de rede para garantir que sua rede permita que todas as URLs de firewall e proxy necessárias implantem a ponte de recursos do Arc. Para obter mais informações, consulte requisitos de rede da ponte de recursos do Azure Arc.

Não foi possível se conectar – houve falha na validação de conectividade de rede e internet

Ao implantar a ponte de recursos do Arc, você poderá receber um erro com errorCode como PostOperationsError, errorResponse como código GuestInternetConnectivityError com um URL especificando a porta 53 (DNS). Este erro pode ocorrer porque os IPs de VM do dispositivo não conseguem alcançar servidores DNS, portanto, eles não podem resolver o ponto de extremidade especificado no erro.

Exemplos de erro:

{ _errorCode_: _PostOperationsError_, _errorResponse_: _{\n\_message\_: \_{\\n  \\\_code\\\_:\\\_GuestInternetConnectivityError\\\_,\\n\\\_message\\\_:\\\_Not able to connect to http://aszhcitest01.company.org:55000. Error returned: action failed after 5 attempts: Get \\\\\\\_http://aszhcitest01.company.org:55000\\\\\\\_: dial tcp: lookup aszhcitest01.company.org on 127.0.0.53:53: read udp 127.0.0.1:32975-\\u003e127.0.0.53:53: i/o timeout. Arc Resource Bridge network and internet connectivity validation failed: cloud-agent-connectivity-test. 1. check your networking setup and ensure the URLs mentioned in : https://aka.ms/AAla73m are reachable from the Appliance VM.   2. Check firewall/proxy settings\\\_\\n }\_\n}_ }

{ _errorCode_: _PostOperationsError_, _errorResponse_: _{\n\_message\_: \_{\\n  \\\_code\\\_: \\\_GuestInternetConnectivityError\\\_,\\n  \\\_message\\\_: \\\_Not able to connect to https://linuxgeneva-microsoft.azurecr.io. Error returned: action failed after 5 attempts: Get \\\\\\\_https://linuxgeneva-microsoft.azurecr.io\\\\\\\_: dial tcp: lookup linuxgeneva-microsoft.azurecr.io on 127.0.0.53:53: server misbehaving. Arc Resource Bridge network and internet connectivity validation failed: http-connectivity-test-arc. 1. Please check your networking setup and ensure the URLs mentioned in : https://aka.ms/AAla73m are reachable from the Appliance VM.   2. Check firewall/proxy settings\\\_\\n }\_\n}_ }

Para resolver estes erros, trabalhe com o administrador de rede para permitir que os IPs da VM do dispositivo alcancem aos servidores DNS. Para obter mais informações, consulte requisitos de rede da ponte de recursos do Azure Arc.

Servidor Http2 enviado GOAWAY

Ao tentar implantar a ponte de recursos do Arc, é possível que você receba mensagens de erro semelhantes às abaixo:

"errorResponse": "{\n\"message\": \"Post \\\"https://region.dp.kubernetesconfiguration.azure.com/azure-arc-appliance-k8sagents/GetLatestHelmPackagePath?api-version=2019-11-01-preview\\u0026releaseTrain=stable\\\": http2: server sent GOAWAY and closed the connection; LastStreamID=1, ErrCode=NO_ERROR, debug=\\\"\\\"\"\n}"

ou

Post \_https://canadacentral.dp.kubernetesconfiguration.azure.com/azure-arc-appliance-k8sagents/GetLatestHelmPackagePath?api-version=2019-11-01-preview\u0026releaseTrain=stable\_: read tcp 10.128.131.173:52425-\u003e52.228.84.81:443: wsarecv: An existing connection was forcibly closed by the remote host.

Esses erros podem ocorrer quando a inspeção SSL/TLS está habilitada em um firewall ou proxy e bloqueia chamadas http2 da máquina usada para implantar a ponte de recursos. Para confirmar o problema, execute o seguinte cmdlet do PowerShell para invocar a solicitação da Web com http2 (requer o PowerShell versão 7 ou superior), substituindo a região no URL e api-version (por exemplo, 2019-11-01) por valores do erro:

Invoke-WebRequest -HttpVersion 2.0 -UseBasicParsing -Uri https://region.dp.kubernetesconfiguration.azure.com/azure-arc-appliance-k8sagents/GetLatestHelmPackagePath?api-version=2019-11-01-preview"&"releaseTrain=stable -Method Post -Verbose

Se o resultado for The response ended prematurely while waiting for the next frame from the server, a chamada http2 está sendo bloqueada e precisa ser permitida. Trabalhe com o administrador de rede para desabilitar a inspeção SSL/TLS para permitir chamadas http2 do computador usado para implantar a ponte.

Nenhum host desse tipo – .local sem suporte

Ao tentar definir a configuração para a ponte de recursos do Arc, você pode receber uma mensagem de erro semelhante a:

"message": "Post \"https://esx.lab.local/52c-acac707ce02c/disk-0.vmdk\": dial tcp: lookup esx.lab.local: no such host"

Este erro ocorre quando um caminho .local é fornecido para uma configuração, como proxy, dns, armazenamento de dados ou ponto de extremidade de gerenciamento (como vCenter). A VM do dispositivo de ponte de recursos arc usa o sistema operacional Linux do Azure, que não dá suporte a .local por padrão. Uma solução alternativa pode ser fornecer o endereço IP quando aplicável.

A ponte de recursos do Azure Arc está inacessível

A ponte de recursos do Azure Arc executa um cluster Kubernetes e seu plano de controle requer um endereço IP estático. O endereço IP é especificado no arquivo infra.yaml. Se o endereço IP for atribuído de um servidor DHCP, o endereço poderá ser alterado se não estiver reservado. A reinicialização da ponte de recursos ou da VM do Azure Arc pode disparar uma alteração de endereço IP e resultar em serviços com falha.

A ponte de recursos do Arc pode perder intermitentemente a configuração de IP reservado. Essa perda ocorre devido ao comportamento descrito em perda de VIPs quando systemd-networkd é reiniciado. Quando o endereço IP não é atribuído à VM da ponte de recursos do Azure Arc, todas as chamadas para o servidor de API da ponte de recursos falham. As operações principais, como criar um novo recursos, conectar-se à nuvem privada do Azure ou criar um local personalizado, não funcionarão conforme o esperado.

Para resolver esse problema, reinicialize a VM da ponte de recursos e ela deve recuperar seu endereço IP. Se o endereço for atribuído de um servidor DHCP, reserve o endereço IP associado à ponte de recursos.

A ponte de recursos do Arc também pode estar inacessível devido ao acesso lento ao disco. A ponte de recursos do Azure Arc usa a ETCD (árvore de configuração estendida) do Kubernetes, que exige latência de 10 ms ou menos. Se o disco subjacente tiver baixo desempenho, as operações serão afetadas e falhas poderão ocorrer.

Problemas de configuração de proxy SSL

Certifique-se de que o servidor proxy em seu computador de gerenciamento confie tanto no certificado SSL para o proxy SSL quanto no certificado SSL dos servidores de download da Microsoft. Para saber mais, confira Configuração do proxy SSL.

Nenhum host desse tipo - dp.kubernetesconfiguration.azure.com

Um erro que contém dial tcp: lookup westeurope.dp.kubernetesconfiguration.azure.com: no such host ao implantar a ponte de recursos do Arc significa que o plano de dados de configuração está indisponível na região especificada. O serviço pode estar temporariamente indisponível. Aguarde até que o serviço esteja disponível e tente implantar novamente.

Conexão de proxy TCP - nenhum host desse tipo para a URL necessária da ponte de recursos do Arc

Um erro que contém um URL necessário da ponte de recursos Arc com a mensagem proxyconnect tcp: dial tcp: lookup http: no such host indica que o DNS não pode resolver o URL. O erro pode ser semelhante a este exemplo, em que o URL necessário é https://msk8s.api.cdp.microsoft.com:

Error: { _errorCode_: _InvalidEntityError_, _errorResponse_: _{\n\_message\_: \_Post \\\_https://msk8s.api.cdp.microsoft.com/api/v1.1/contents/default/namespaces/default/names/arc-appliance-stable-catalogs-ext/versions/latest?action=select\\\_: POST https://msk8s.api.cdp.microsoft.com/api/v1.1/contents/default/namespaces/default/names/arc-appliance-stable-catalogs-ext/versions/latest?action=select giving up after 6 attempt(s): Post \\\_https://msk8s.api.cdp.microsoft.com/api/v1.1/contents/default/namespaces/default/names/arc-appliance-stable-catalogs-ext/versions/latest?action=select\\\_: proxyconnect tcp: dial tcp: lookup http: no such host\_\n}_ }

Esse erro poderá ocorrer se as configurações de DNS fornecidas durante a implantação não estiverem corretas ou se houver um problema com os servidores DNS. Verifique se o servidor DNS pode de resolver o URL executando o seguinte comando do computador de gerenciamento ou de um computador que tenha acesso aos servidores DNS:

nslookup
> set debug
> <hostname> <DNS server IP>

Para resolver o erro, configure os servidores DNS para resolver todos os URLs necessários para a ponte de recursos do Arc. Os servidores DNS devem ser fornecidos corretamente ao implantar a ponte de recursos do Arc.

Erro de tempo limite de KVA

O erro de tempo limite KVA é um erro genérico causado por várias configurações incorretas de rede que envolvem o computador de gerenciamento. Por exemplo, a VM do Dispositivo ou o IP do Painel de Controle pode não ter comunicação entre si, com a Internet ou com os URLs necessários. Essas falhas de comunicação geralmente ocorrem devido a problemas com resolução DNS, configurações de proxy, configuração de rede ou acesso à Internet.

Para maior clareza, "computador de gerenciamento" refere-se ao computador em que os comandos da CLI de implantação estão sendo executados. "VM do dispositivo" é a VM que hospeda a ponte de recursos do Arc. "IP do painel de controle" é o IP do painel de controle do cluster de gerenciamento do Kubernetes na VM do dispositivo.

Principais causas do erro de tempo limite de KVA

  • O computador de gerenciamento não consegue se comunicar com o IP do Plano de Controle e o IP da VM do dispositivo.
  • A VM do dispositivo não consegue se comunicar com o computador de gerenciamento, o ponto de extremidade do vCenter (para VMware) ou o ponto de extremidade do agente de nuvem do MOC (para o Azure Stack HCI). 
  • A VM do dispositivo não tem acesso à Internet.
  • A VM do dispositivo tem acesso à Internet, mas a conectividade com uma ou mais URLs necessárias está sendo bloqueada, possivelmente devido a um proxy ou firewall.
  • A VM do dispositivo não consegue acessar um servidor DNS que pode resolver nomes internos, como o ponto de extremidade do vCenter para vSphere ou o ponto de extremidade do agente de nuvem para o Azure Stack HCI. O servidor DNS também deve ser capaz de resolver endereços externos, como endereços de serviço do Azure e nomes de registro de contêiner. 
  • A configuração do servidor proxy no computador de gerenciamento ou nos arquivos de configuração da ponte de recursos do Arc está incorreta. Isso pode afetar o computador de gerenciamento e a VM do dispositivo. Quando o comando az arcappliance prepare for executado e o proxy do host não está configurado corretamente, o computador de gerenciamento não poderá se conectar e baixar imagens do sistema operacional. O acesso à Internet na VM do dispositivo pode ser interrompido pela configuração de proxy incorreta ou ausente, o que afeta a capacidade da VM de efetuar pull das imagens de contêiner. 

Solucionar erro de tempo limite do KVA

Para resolver o erro, uma ou mais configurações incorretas de rede podem precisar ser resolvidas.

  • A primeira etapa é coletar logs por IP da VM do dispositivo (não por kubeconfig, pois o kubeconfig pode estar vazio se o comando de implantação não tiver sido concluído). Os problemas de coleta de logs provavelmente ocorrem devido ao computador de gerenciamento não conseguir acessar a VM do dispositivo.

    Depois que os logs forem coletados, extraia a pasta e abra kva.log. Examine o log para obter informações que possam ajudar a identificar a causa do erro de tempo limite de KVA.

  • O computador de gerenciamento deve ser capaz de se comunicar com o IP da VM do dispositivo e o IP do plano de controle. Faça ping no IP do painel de controle e no IP da VM do dispositivo do computador de gerenciamento e verifique se há uma resposta de ambos os IPs.

    Se uma solicitação atingir o tempo limite, o computador de gerenciamento não poderá se comunicar com os IPs. Esse problema pode ser causado por uma porta fechada, configuração incorreta da rede ou bloco de firewall. Trabalhe com o administrador de rede para permitir a comunicação entre o computador de gerenciamento para o IP do Plano de Controle e o IP da VM do dispositivo.

  • O IP da VM do dispositivo e o IP do painel de controle devem ser capazes de se comunicar com o computador de gerenciamento e o ponto de extremidade do vCenter (para VMware) ou o ponto de extremidade do agente de nuvem MOC (para Azure Stack HCI). Trabalhe com o administrador de rede para garantir que a rede esteja configurada para permitir essa comunicação. Talvez seja necessário adicionar uma regra de firewall para abrir a porta 443 do IP da VM do dispositivo e do IP do plano de controle para o vCenter ou para abrir as 65000 e 55000 para o agente de nuvem MOC do Azure Stack HCI. Examine os requisitos de rede do Azure Stack HCI e do VMware para a ponte de recursos do Arc.

  • O IP da VM do dispositivo e o IP do painel de controle precisam de acesso à Internet para essas URLs necessárias. O Azure Stack HCI requer URLs adicionais. Trabalhe com o administrador de rede para garantir que os IPs possam acessar as URLs necessárias.

  • Em um ambiente não proxy, o computador de gerenciamento deve ter resolução DNS externa e interna. O computador de gerenciamento deve ser capaz de alcançar um servidor DNS que possa resolver nomes internos, como o ponto de extremidade do vCenter para vSphere ou o ponto de extremidade do agente de nuvem para o Azure Stack HCI. O servidor DNS também precisa ser capaz de resolver endereços externos, como URLs do Azure e URLs de download de imagem do sistema operacional. Trabalhe com o administrador do sistema para garantir que o computador de gerenciamento tenha resolução DNS interna e externa. Em um ambiente de proxy, a resolução DNS no servidor proxy deve resolver pontos de extremidade internos e endereços externos necessários.

    Para testar a resolução de DNS em um endereço interno do computador de gerenciamento em um cenário não proxy, abra um prompt de comando e execute nslookup <vCenter endpoint or HCI MOC cloud agent IP>. Você deverá receber uma resposta se o computador de gerenciamento tiver resolução DNS interna em um cenário não proxy. 

  1. A VM do dispositivo precisa poder acessar um servidor DNS que pode resolver nomes internos, como o ponto de extremidade do vCenter para vSphere ou o ponto de extremidade do agente de nuvem para o Azure Stack HCI. O servidor DNS também precisa ser capaz de resolver endereços externos/internos, como endereços de serviço do Azure e nomes de registro de contêiner para download das imagens de contêiner da ponte de recursos do Arc da nuvem.

    Verifique se o IP do servidor DNS usado para criar os arquivos de configuração tem resolução de endereço interno e externo. Caso contrário, exclua o dispositivo, recrie os arquivos de configuração da ponte de recursos do Arc com as configurações corretas do servidor DNS e implante a ponte de recursos do Arc usando os novos arquivos de configuração.

Mover o local da ponte de recursos do Arc

Atualmente, não há suporte para a movimentação de recursos da ponte de recursos do Arc. Em vez disso, exclua a ponte de recursos do Arc e reimplante-a no local desejado.

VMs habilitadas para Azure Arc em problemas do Azure Stack HCI

Para obter ajuda geral para resolver problemas relacionados a VMs habilitadas para o Azure Arc no Azure Stack HCI, confira Solucionar problemas de máquinas virtuais habilitadas para Azure Arc.

Se você estiver executando o Azure Stack HCI, versão 23H2 ou posterior, e o Arc Resource Bridge estiver offline, não tente reinstalar ou excluir o Arc Resource Bridge. Em vez disso, tente reiniciar a VM do Arc Resource Bridge para colocá-la online novamente. Se o problema persistir, entre em contato com o Suporte da Microsoft para obter assistência.

Houve falha na ação – não há host desse tipo

Ao implantar a ponte de recursos do Arc, se você receber um erro com errorCode como PostOperationsError, errorResponse como código GuestInternetConnectivityError e no such host, os IPs de VM do dispositivo podem não conseguir alcançar o ponto de extremidade especificado no erro.

Exemplo de erro:

{ _errorCode_: _PostOperationsError_, _errorResponse_: _{\n\_message\_: \_{\\n  \\\_code\\\_: \\\_GuestInternetConnectivityError\\\_,\\n  \\\_message\\\_: \\\_Not able to connect to http://aszhcitest01.company.org:55000. Error returned: action failed after 5 attempts: Get \\\\\\\_http://aszhcitest01.company.org:55000\\\\\\\_: dial tcp: lookup aszhcitest01.company.org: on 127.0.0.53:53: no such host. Arc Resource Bridge network and internet connectivity validation failed: cloud-agent-connectivity-test. 1. check your networking setup and ensure the URLs mentioned in : https://aka.ms/AAla73m are reachable from the Appliance VM.   2. Check firewall/proxy settings

No exemplo, os IPs da VM do dispositivo não conseguem acessar http://aszhcitest01.company.org:55000, que é o ponto de extremidade MOC. Trabalhe com o administrador de rede para garantir que o servidor DNS possa resolver as URLs necessárias.

Para testar a conectividade com o servidor DNS:

ping <dns-server.com>

Para verificar se o servidor DNS pode resolver um endereço, execute este comando de um computador que pode alcançar os servidores DNS:

Resolve-DnsName -Name "http://aszhcitest01.company.org:55000" -Server "<dns-server.com>"

Problemas do VCenter VMware habilitado para Azure Arc

errorResponse: error getting the vsphere sdk client

Erros com errorCode: CreateConfigKvaCustomerError e errorResponse: error getting the vsphere sdk client ocorrem quando seu computador de implantação está tentando estabelecer uma conexão TCP com seu endereço vCenter, mas encontra um problema. Isso pode acontecer quando o endereço do vCenter estiver incorreto (erro 403 ou 404) ou porque uma configuração de rede/proxy/firewall o bloqueia (falha na tentativa de conexão).

Se você inserir o endereço do vCenter como um nome de host e receber o erro no such host, o computador de implantação não poderá resolver o nome de host do vCenter por meio do DNS do cliente. Isso pode ocorrer quando o computador de implantação consegue resolver o nome de host do vCenter, mas o computador de implantação não conseguir acessar o endereço IP recebido do DNS. Você poderá visualizar este erro se o ponto de extremidade retornado pelo DNS não for o endereço do vCenter ou se o tráfego tiver sido interceptado por um proxy. Se o computador de implantação conseguir se comunicar com o endereço do vCenter, confirme se o nome de usuário e a senha estão corretos.

Cliente do SDK do vSphere – Falha na tentativa de conexão

Se você receber um erro durante a implantação que diz: errorCode_: _CreateConfigKvaCustomerError_, _errorResponse_: _error getting the vsphere sdk client: Post \_https://ip.address/sdk\_: dial tcp ip.address:443: connectex: A connection attempt failed because the connected party did not properly respond after a period of time, or established connection failed because connected host has failed to respond._ }, o computador de implantação não pode se comunicar com o servidor vCenter.

Para resolver esse problema, verifique se o computador de gerenciamento atende aos requisitos do computador de gerenciamento e se não há um firewall ou proxy bloqueando a comunicação.

Cliente do SDK do vSphere – 403 Proibido ou 404 não encontrado

Erros que contêm errorCode_: _CreateConfigKvaCustomerError_, _errorResponse_: _error getting the vsphere sdk client: POST \_/sdk\_: 403 Forbidden ou 404 not found durante a implantação da ponte de recursos do Arc provavelmente são devido a um endereço vCenter incorreto. Esse endereço é fornecido durante a criação do arquivo de configuração, quando você é solicitado a inserir o endereço vCenter como um nome de host ou endereço IP.

Há diferentes maneiras de encontrar seu endereço do vCenter. Uma opção é acessar o cliente vSphere por meio de sua interface da Web. O nome do host ou o endereço IP do vCenter normalmente é o que você usa no navegador para acessar o cliente vSphere. Se você já tiver se conectado, poderá examinar a barra de endereços do navegador, onde o URL usado para acessar o vSphere é o nome de host ou endereço IP do servidor vCenter. Verifique o endereço do vCenter e tente a implantação novamente.

Cliente do SDK do vSphere – nenhum host

O erro { _errorCode_: _CreateConfigKvaCustomerError_, _errorResponse_: _error getting the vsphere sdk client: Post \_https://your.vcenter.hostname/sdk\_: dial tcp: lookup your.vcenter.hostname: no such host_ } pode ocorrer durante a implantação quando o computador de implantação não pode resolver o nome de host do vCenter para um endereço IP. Esse problema ocorre porque o processo de implantação está tentando estabelecer uma conexão TCP do computador de implantação com o nome de host do vCenter, mas a conexão falha devido a problemas de resolução de DNS.

Para corrigir esse erro, verifique se a configuração de DNS em seu computador de implantação está correta, verifique se o servidor DNS está online e se há uma entrada DNS ausente para o nome de host do vCenter. Você pode testar a resolução de DNS executando nslookup your.vcenter.hostname ou ping your.vcenter.hostname no computador de implantação. Se você especificou o endereço do vCenter como um nome de host, considere usar o endereço IP diretamente.

Erros de validação de pré-implantação

Ao implantar a ponte de recursos do Arc, você poderá visualizar vários erros pre-deployment validation of your download\upload connectivity wasn't successful, como:

Pre-deployment validation of your download/upload connectivity wasn't successful. {\\n \\\_code\\\_: \\\_ImageProvisionError\\\_,\\n \\\_message\\\_: \\\_Post \\\\\\\_https://vcenter-server.com/nfc/unique-identifier/disk-0.vmdk\\\\\\\_: Service Unavailable

Pre-deployment validation of your download/upload connectivity wasn't successful. {\\n \\\_code\\\_: \\\_ImageProvisionError\\\_,\\n \\\_message\\\_: \\\_Post \\\\\\\_https://vcenter-server.com/nfc/unique-identifier/disk-0.vmdk\\\\\\\_: dial tcp 172.16.60.10:443: connectex: A connection attempt failed because the connected party did not properly respond after a period of time, or established connection failed because connected host has failed to respond.

Pre-deployment validation of your download/upload connectivity wasn't successful. {\\n \\\_code\\\_: \\\_ImageProvisionError\\\_,\\n \\\_message\\\_: \\\_Post \\\\\\\_https://vcenter-server.com/nfc/unique-identifier/disk-0.vmdk\\\\\\\_: use of closed network connection.

Pre-deployment validation of your download/upload connectivity wasn't successful. {\\n \\\_code\\\_: \\\_ImageProvisionError\\\_,\\n \\\_message\\\_: \\\_Post \\\\\\\_https://vcenter-server.com/nfc/unique-identifier/disk-0.vmdk\\\\\\\_: dial tcp: lookup hostname.domain: no such host

Uma combinação desses erros geralmente indica que o computador de gerenciamento perdeu a conexão com o armazenamento de dados ou que há um problema de rede fazendo com que o armazenamento de dados seja inacessível. Essa conexão é necessária para carregar o OVA do computador de gerenciamento usado para criar a VM do dispositivo no vCenter.

Para corrigir o problema, restabeleça a conexão entre o computador de gerenciamento e o armazenamento de dados e tente implantar a ponte de recursos do Arc novamente.

O certificado x509 expirou ou ainda não está válido

Ao implantar a ponte de recursos do Arc, você pode encontrar o erro:

Error: { _errorCode_: _PostOperationsError_, _errorResponse_: _{\n\_message\_: \_{\\n \\\_code\\\_: \\\_GuestInternetConnectivityError\\\_,\\n \\\_message\\\_: \\\_Not able to connect to https://msk8s.api.cdp.microsoft.com. Error returned: action failed after 3 attempts: Get \\\\\\\_https://msk8s.api.cdp.microsoft.com\\\\\\\_: x509: certificate has expired or isn't yet valid: current time 2022-01-18T11:35:56Z is before 2023-09-07T19:13:21Z. Arc Resource Bridge network and internet connectivity validation failed: http-connectivity-test-arc. 1. check your networking setup and ensure the URLs mentioned in : https://aka.ms/AAla73m are reachable from the Appliance VM. 2. Check firewall/proxy settings

Esse erro é causado quando há uma diferença de relógio/hora entre os hostes ESXi e o computador de gerenciamento que executa os comandos de implantação para a ponte de recursos do Arc. Para resolver esse problema, ative a sincronização de tempo NTP nos hostes ESXi e confirme se o computador de gerenciamento também está sincronizado com o NTP e tente a implantação novamente.

Resolvido para várias redes

Ao implantar ou atualizar a ponte de recursos do Arc, é possível obter um erro semelhante a:

{ "ErrorCode": "PreflightcheckErrorOnPrem", "ErrorDetails": "Upgrade Operation Failed with error: \"{\\n \\\"code\\\": \\\"PreflightcheckError\\\",\\n \\\"message\\\": \\\"{\\\\n \\\\\\\"code\\\\\\\": \\\\\\\"InvalidEntityError\\\\\\\",\\\\n \\\\\\\"message\\\\\\\": \\\\\\\"Cannot retrieve vSphere Network 'vmware-azure-arc-01': path 'vmware-azure-arc-01' resolves to multiple networks\\\\\\\",\\\\n \\\\\\\"category\\\\\\\": \\\\\\\"\\\\\\\"\\\\n }\\\",\\n \\\"category\\\": \\\"\\\"\\n }\"" }

Esse erro ocorre quando o segmento de rede vSphere é resolvido em várias redes, devido a diversos segmentos de rede vSphere usando o mesmo nome especificado no erro. Para corrigir esse erro, altere o nome de rede duplicado no vCenter (não na rede com a VM do dispositivo) ou implantar a ponte de recursos do Arc em uma rede diferente.

O status da ponte de recursos do Arc é desconectado

Ao executar o script de integração do VMware habilitado para Arc inicial, você recebeu uma solicitação para fornecer uma conta do vSphere. Essa conta é armazenada localmente na ponte de recursos do Arc como um segredo do Kubernetes criptografado. A conta é usada para permitir que a ponte de recursos do Arc interaja com o vCenter.

Se a conta do vSphere armazenada localmente dentro da ponte de recursos expirar, o status da ponte de recursos do Arc poderá ser desconectado. Atualize as credenciais na ponte de recursos do Arc e no VMware habilitado para Arc seguindo as instruções de atualização de credenciais de conta do vSphere.

Erro durante a configuração do host

Se você estiver usando o mesmo modelo para implantar e excluir a ponte de recursos do Arc várias vezes, poderá encontrar o seguinte erro:

Appliance cluster deployment failed with error: Error: An error occurred during host configuration

Para resolver esse problema, exclua o modelo existente manualmente. Em seguida, execute az arcappliance prepare para baixar um novo modelo para implantação.

Não foi possível localizar pastas

Ao implantar a ponte de recursos do Arc no VMware, especifique a pasta na qual o modelo e a VM são criados. A pasta selecionada deve ser do tipo de pasta de modelo e VM. Outros tipos de pasta, como pastas de armazenamento, pastas de rede ou pastas de host e cluster, não podem ser usados pela implantação da ponte de recursos.

Não é possível recuperar o recurso – não encontrado ou não existente

Ao implantar a ponte de recursos do Arc, especifique onde a VM do dispositivo é implantada. A VM do dispositivo não pode ser movida desse caminho de localização. Se a VM do dispositivo mover o local e você tentar atualizar, poderá visualizar erros semelhantes ao seguinte:

{\n \"code\": \"PreflightcheckError\",\n \"message\": \"{\\n \\\"code\\\": \\\"InvalidEntityError\\\",\\n \\\"message\\\": \\\"Cannot retrieve <resource> 'resource-name': <resource> 'resource-name' not found\\\"\\n }\"\n }"

{\n \"code\": \"PreflightcheckError\",\n \"message\": \"{\\n \\\"code\\\": \\\"InvalidEntityError\\\",\\n \\\"message\\\": \\\"The specified vSphere Datacenter '/VxRail-Datacenter' does not exist\\\"\\n }\"\n }"

Para corrigir esses erros, use uma destas opções:

  • Mover a VM do dispositivo de volta para o local original dela e garantir que as credenciais do RBAC sejam atualizadas para a alteração de local.
  • Crie um recurso com o mesmo nome e, em seguida, mova a ponte de recursos do Arc para esse novo recurso.
  • Para VMware habilitado para Arc, execute o script de recuperação de desastre do VMware habilitado para Arc. O script excluirá o dispositivo, implantará um novo dispositivo e reconectará o dispositivo com o local personalizado implantado anteriormente, a extensão de cluster e as VMs habilitadas para Arc.
  • Exclua e reimplante a ponte de recursos do Arc.

Privilégios insuficientes

Ao implantar ou atualizar a ponte de recursos no VMware vCenter, você poderá visualizar um erro semelhante a:

{ ""code"": ""PreflightcheckError"", ""message"": ""{\n \""code\"": \""InsufficientPrivilegesError\"",\n \""message\"": \""The provided vCenter account is missing required vSphere privileges on the resource 'root folder (MoRefId: Folder:group-d1)'. Missing privileges: [Sessions.ValidateSession]. add the privileges to the vCenter account and try again. To review the full list of required privileges, go to https://aka.ms/ARB-vsphere-privilege.\""\n }

Ao implantar a ponte de recursos do Arc, você fornece credenciais do vCenter. A ponte de recursos do Arc armazena essas credenciais do vCenter localmente para interagir com o vCenter. Para resolver o problema de privilégios ausentes, a conta do vCenter usada pela ponte de recursos precisa dos seguintes privilégios no VMware vCenter:

Armazenamento de dados:

  • Alocar espaço
  • Procurar no Repositório de Dados
  • Operações de arquivo de baixo nível

Pasta:

  • Criar uma pasta

Marcação do vSphere:

  • Atribuir ou cancelar atribuição de marca do vSphere

Rede:

  • Atribuir rede

Recurso:

  • Atribuir máquina virtual ao pool de recursos
  • Migrar máquina virtual desligada
  • Migrar máquina virtual ligada

Sessões:

  • Validar sessão

vApp:

  • Atribuir pool de recursos
  • Importar

Máquina virtual:

  • Alterar configuração
    • Adquirir concessão de disco
    • Adicionar disco existente
    • Adicionar disco novo
    • Adicionar ou remover dispositivo
    • Configuração avançada
    • Alterar contagem de CPU
    • Alterar memória
    • Alterar Configurações
    • Alterar recurso
    • Configurar o managedBy
    • Exibir configurações de conexão
    • Estender disco virtual
    • Modificar as configurações de dispositivo
    • Consultar compatibilidade de tolerância a falhas
    • Consultar arquivos sem dono
    • Recarregar a partir do caminho
    • Remover disco
    • Renomear
    • Redefinir informações de convidado
    • Definir anotação
    • Alternar o acompanhando de alteração de disco
    • Alternar bifurcação pai
    • Atualizar a compatibilidade da máquina virtual
  • Editar Inventário
    • Criar a partir de existente
    • Criar novo
    • Registrar-se
    • Remover
    • Cancelar o registro
  • Operações de convidado
    • Modificação de alias da operação de convidado
    • Modificações de operação de convidado
    • Execução de programa de operação de convidado
    • Consultas de operação de convidado
  • Interação
    • Conectar dispositivos
    • Interação do console
    • Gerenciamento do sistema operacional convidado por VIX API
    • Instalar ferramentas do VMware
    • Desligar
    • Ligue
    • Restaurar
    • Suspend
  • Provisionamento
    • Permitir acesso ao disco
    • Permitir acesso a arquivos
    • Permitir acesso somente leitura ao disco
    • Permitir download de máquina virtual
    • Permitir upload de arquivos de máquina virtual
    • Clonar máquina virtual
    • Implantar modelo
    • Marcar como modelo
    • Marcar como máquina virtual
    • Personalizar convidado
  • Gerenciamento de instantâneo
    • Create snapshot
    • Remover instantâneo
    • Reverter para instantâneo

Próximas etapas

Compreender as operações de recuperação para a ponte de recursos nos cenários de desastre do VMware vSphere habilitado para Azure Arc

Se você não encontrar seu problema aqui ou não conseguir resolvê-lo, visite um dos seguintes canais para obter suporte: