Поделиться через

Доступ запрещен при выполнении заданий пакетная служба Azure

  • Статья

Учетная запись служба хранилища Azure является необходимым зависимым компонентом для учетной записи пакетная служба Azure для хранения файлов ресурсов, пакетов приложений и выходных файлов. Во многих случаях вы используете служба хранилища Azure учетную запись с брандмауэром для повышения безопасности. Однако служба хранилища Azure учетная запись с брандмауэром может привести к ошибкам при выполнении пакетная служба Azure заданий. В этой статье приведены решения для таких проблем.

Симптомы

При выполнении заданий пакетная служба Azure могут возникнуть ошибки, связанные с связанной учетной записью хранения Azure.

Ниже приведен пример ошибки:

Категория: UserError
Код: ResourceContainerAccessDenied
Сообщение. Доступ к одному из указанных контейнеров блога Azure запрещен

Причина

При создании пула пакетная служба Azure будут подготовлены новые виртуальные машины (узлы пакетной службы). Если статический общедоступный IP-адрес не назначается пулу пакетной службы, будет назначен случайный общедоступный IP-адрес. При изменении размера количества узлов до 0 и повторного изменения размера общедоступный IP-адрес этих новых узлов пакетной службы изменится. Таким образом, если связанная учетная запись хранения настроена брандмауэром, трудно управлять списком разрешений брандмауэра.

Если учетная запись хранения и пул пакетной службы находятся в одном регионе, независимо от того, имеет ли пул пакетной службы статический общедоступный IP-адрес или нет, исходящий трафик из узлов пакетной службы всегда будет проходить через магистральный интернет Azure (частные IP-адреса). Брандмауэр хранилища не может добавить частный IP-адрес в список разрешений, что приведет к отказу трафика в учетную запись хранения.

Решение

Чтобы устранить проблему, управляйте пулом пакетной службы и конфигурациями учетной записи хранения на основе сценариев.

Примечание.

Если вам нужно отправить пакеты приложений, ни одно из следующих решений не будет работать. Учетная запись хранения не должна настраивать брандмауэр. Дополнительные сведения см. в статье "Связывание учетной записи хранения".

Сценарий 1. Пул пакетной службы и учетная запись хранения находятся в одном регионе, а пул пакетной службы имеет виртуальную сеть.

  1. Проверьте сведения подсети в разделе "Конфигурация сети" из свойств пула>учетных записей> пакетной службы портал Azure. > Запишите и запишите информацию.

    Снимок экрана: сведения о подсети пакетная служба Azure пула.

  2. Перейдите к учетной записи хранения и выберите "Сеть". В параметрах брандмауэров и виртуальных сетей выберите "Включить" из выбранных виртуальных сетей и IP-адресов для доступа к общедоступной сети. Добавьте подсеть пула пакетной службы в список разрешений брандмауэра.

    Снимок экрана: добавление подсети в список разрешений брандмауэра.

    Если подсеть не включает конечную точку службы, при выборе ее появится уведомление следующим образом:

    В следующих сетях нет конечных точек службы, включенных для Microsoft.Storage. Включение доступа займет до 15 минут. После запуска этой операции безопасно оставить и вернуться позже, если вы не хотите ждать.

    Поэтому перед добавлением подсети проверьте ее в виртуальной сети пакетной службы, чтобы узнать, включена ли конечная точка службы для учетной записи хранения.

    Снимок экрана, на котором показано, как проверить, включена ли конечная точка службы.

После завершения описанных выше конфигураций узлы пакетной службы в пуле могут успешно получить доступ к учетной записи хранения.

Сценарий 2. Пул пакетной службы и учетная запись хранения находятся в разных регионах

  1. Создайте пул пакетной службы в виртуальной сети со статическим общедоступным IP-адресом. Дополнительные сведения см. в разделе "Создание пула пакетной службы" с указанными общедоступными IP-адресами.

    Так как пул пакетной службы и учетная запись хранения находятся в разных регионах, исходящий трафик будет проходить через общедоступный Интернет через общедоступный IP-адрес.

  2. Запишите общедоступный IP-адрес.

  3. Назначьте общедоступный IP-адрес общедоступному IP-адресу пула пакетной службы.

    После этого проверьте свойства пула пакетной службы. Они будут похожи на те, что на следующем снимке экрана:

    Снимок экрана: свойства пула пакетной службы.

  4. Добавьте общедоступный IP-адрес в список разрешений брандмауэра хранилища.

    Снимок экрана: общедоступный IP-адрес.

    Снимок экрана: общедоступный IP-адрес добавляется в список разрешений.

  5. Запустите задания пакетной службы с только что созданным пулом пакетной службы.

Свяжитесь с нами для получения помощи

Если у вас есть вопросы или вам нужна помощь, создайте запрос в службу поддержки или обратитесь за поддержкой сообщества Azure. Вы также можете отправить отзыв о продукте в сообщество отзывов Azure.