Compartilhar via

Acesso negado ao executar trabalhos do Lote do Azure

  • Artigo

A Conta de Armazenamento do Azure é um componente dependente necessário para a conta do Lote do Azure armazenar arquivos de recursos, pacotes de aplicativos e arquivos de saída. Em muitos casos, você usa a Conta de Armazenamento do Azure com um firewall para aprimorar sua segurança. No entanto, a Conta de Armazenamento do Azure com um firewall pode causar erros ao executar trabalhos do Lote do Azure. Este artigo fornece soluções para esses problemas.

Sintomas

Ao executar trabalhos do Lote do Azure, você pode encontrar erros relacionados à conta de armazenamento do Azure associada.

Aqui está um exemplo de erro:

Categoria: UserError
Código: ResourceContainerAccessDenied
Mensagem: O acesso para um dos contêineres especificados do Blog do Azure foi negado

Motivo

Quando você cria um pool do Lote do Azure, novas máquinas virtuais (nós do Lote) serão provisionadas. Se você não atribuir um endereço IP público estático ao pool do Lote, um endereço IP público aleatório será atribuído. Sempre que você redimensionar o número de nós para 0 e redimensionar novamente, o endereço IP público desses novos nós do Lote será alterado. Portanto, se a conta de armazenamento associada tiver um firewall configurado, será difícil gerenciar a lista de permissões do firewall.

Se a conta de armazenamento e o pool do Lote estiverem na mesma região, independentemente de o pool do Lote ter um endereço IP público estático ou não, o tráfego de saída dos nós do Lote sempre passará pela Internet de backbone do Azure (endereços IP privados). O firewall de armazenamento não tem permissão para adicionar um endereço IP privado na lista de permissões, o que fará com que o tráfego para a conta de armazenamento seja negado.

Resolução

Para resolver o problema, gerencie o pool do Lote e as configurações da conta de armazenamento com base em seus cenários.

Observação

Se você precisar fazer upload de pacotes de aplicativos, nenhuma das soluções a seguir funcionará. A conta de armazenamento não deve configurar nenhum firewall. Para obter mais informações, consulte Vincular uma conta de armazenamento.

Cenário 1: o pool do Lote e a conta de armazenamento estão na mesma região e o pool do Lote tem uma rede virtual

  1. Verifique as informações de sub-rede em Configuração de Rede nas Propriedades do Pool>de Contas>do Lote do portal >do Azure. Tome nota e anote as informações.

    Captura de tela das informações de sub-rede do pool do Lote do Azure.

  2. Navegue até a conta de armazenamento e selecione Rede. Na configuração Firewalls e redes virtuais, selecione Habilitar de redes virtuais e endereços IP selecionados para Acesso à rede pública. Adicione a sub-rede do pool do Lote na lista de permissões do firewall.

    Captura de tela que mostra como adicionar sub-rede à lista de permissões do firewall.

    Se a sub-rede não habilitar o ponto de extremidade de serviço, quando você selecioná-la, uma notificação será exibida da seguinte maneira:

    As redes a seguir não têm pontos de extremidade de serviço habilitados para 'Microsoft.Storage'. A habilitação do acesso levará até 15 minutos para ser concluída. Depois de iniciar esta operação, é seguro sair e retornar mais tarde, se você não quiser esperar.

    Portanto, antes de adicionar a sub-rede, verifique-a na rede virtual do Lote para ver se o ponto de extremidade de serviço da conta de armazenamento está habilitado.

    Captura de tela que mostra como verificar se o ponto de extremidade de serviço está habilitado.

Depois de concluir as configurações acima, os nós do Lote no pool podem acessar a conta de armazenamento com êxito.

Cenário 2: o pool do Lote e a conta de armazenamento estão em regiões diferentes

  1. Crie um novo pool do Lote em uma rede virtual com um endereço IP público estático. Para obter mais informações, consulte Criar um pool do Lote com endereços IP públicos especificados.

    Como o pool do Lote e a conta de armazenamento estão em regiões diferentes, o tráfego de saída passará pela Internet pública por meio do endereço IP público.

  2. Anote o endereço IP público.

  3. Atribua o endereço IP público ao IP do Balanceador de Carga público do pool do Lote.

    Depois disso, verifique as propriedades do pool do Lote. Eles serão como os da captura de tela a seguir:

    Captura de tela das propriedades do pool do Lote.

  4. Adicione o endereço IP público à lista de permissões do firewall de armazenamento.

    Captura de tela do endereço IP público.

    Captura de tela que mostra que o endereço IP público foi adicionado à lista de permissões.

  5. Execute os trabalhos do Lote com o pool do Lote recém-criado.

Entre em contato conosco para obter ajuda

Se você tiver dúvidas ou precisar de ajuda, crie uma solicitação de suporte ou peça ajuda à comunidade de suporte do Azure. Você também pode enviar comentários sobre o produto para a comunidade de comentários do Azure.