ACR 傳輸疑難排解

範本部署失敗或錯誤

如果您的 pipelineRun 部署在存取 Azure Key Vault 時因 403 Forbidden 錯誤而失敗，則請確認您的管線受控身分識別具有適當的權限。
pipelineRun 使用 exportPipeline 或 importPipeline 受控身分識別，以從您的 Key Vault 擷取 SAS 權杖祕密。 ExportPipelines 和 importPipelines 是使用系統指派或使用者指派的受控身分識別所佈建。此受控身分識別需要具有 Key Vault 的 secret get 權限，才能讀取 SAS 權杖祕密。確定已將受控身分識別的存取原則新增至 Key Vault。如需詳細資訊，請參考提供 ExportPipeline 身分識別金鑰保存庫原則存取權和提供 ImportPipeline 身分識別金鑰保存庫原則存取權。

若您看到來自儲存體的 403 Forbidden 錯誤，您的 SAS 權杖可能有問題。
SAS 權杖目前可能無效。 SAS 權杖可能已到期，或儲存體帳戶金鑰可能在建立 SAS 權杖之後進行變更。嘗試使用 SAS 權杖來驗證儲存體帳戶容器的存取權，以確認 SAS 權杖有效。例如，將後面緊接著 SAS 權杖的現有 Blob 端點放在新 Microsoft Edge InPrivate 視窗的網址列中，或使用 az storage blob upload 將 Blob 上傳至具有 SAS 權杖的容器。
SAS 權杖可能沒有足夠的允許的資源類型。確認 SAS 權杖已獲授與 [允許的資源類型] (SAS 權杖中的 srt=sco) 下的服務、容器與物件權限。
SAS 權杖可能沒有足夠的權限。針對匯出管線，所需的 SAS 權杖權限為讀取、寫入、清單與新增。針對匯入管線，所需的 SAS 權杖權限為讀取、刪除與清單。 (只有在匯入管線已啟用 DeleteSourceBlobOnSuccess 選項時，才需要刪除權限。)
SAS 權杖可能未設定為僅使用 HTTPS。確認 SAS 權杖已設定為僅使用 HTTPS (SAS 權杖中的 spr=https)。

SAS 權杖可能無效，或可能具有不足的指定匯出或匯入執行權限。請參閱存取儲存體時發生問題。
來源儲存體帳戶中的現有儲存體 Blob 可能不會在多個匯出執行期間覆寫。確認已在匯出執行中設定 OverwriteBlob 選項，且 SAS 權杖具有足夠的權限。
成功匯入執行之後，可能不會刪除目標儲存體帳戶中的儲存體 Blob。確認已在匯出執行中設定 DeleteBlobOnSuccess 選項，且 SAS 權杖具有足夠的權限。
儲存體 Blob 未建立或已刪除。確認匯出或匯入執行中存在指定的容器，或存在指定的儲存體 Blob 以用於手動匯入執行。

SAS 權杖必須具有來源觸發程序匯入的清單權限才能運作。
只有在儲存體 Blob 於過去 60 天內有上次修改時間時，才會引發來源觸發程序匯入。
儲存體 Blob 必須具有有效的 ContentMD5 屬性，才能由來源觸發程序功能匯入。
儲存體 Blob 必須具有 "category":"acr-transfer-blob" Blob 中繼資料，才能由來源觸發程序功能匯入。此中繼資料會在匯出管線執行期間自動新增，但依據複製的方法，從儲存體帳戶移至儲存體帳戶時可能會移除。

並非所有成品 (或完全沒有) 都已傳輸。確認匯出執行中的成品拼字，以及匯出與匯入執行中的 Blob 名稱。確認您最多傳輸 50 個成品。
管線執行可能尚未完成。匯出或匯入執行可能都需要一些時間。
針對其他管線問題，請提供匯出執行或匯入執行至 Azure Container Registry 小組的部署相互關聯識別碼。
若要建立 exportPipelines、 importPipelines 和 pipelineRuns 這類 ACR 傳輸資源，使用者至少必須擁有 ACR 訂用帳戶的參與者存取權。否則，他們將會看到拒絕執行傳輸的授權或範圍無效錯誤。

若嘗試在實體隔離的環境中提取映像時看到有關外部層或嘗試解決 mcr.microsoft.com 的錯誤，您的映像資訊清單可能具有不可散發層。由於實體隔離環境的本質，這些映像通常無法提取。您可以檢查映像資訊清單中是否有外部登錄的任何參考，以確認這是這種情況。如果是這種情況，則您將需要先將不可散發層推送至公用雲端 ACR，再部署該映像的匯出管線執行。如需如何執行此操作的指引，請參閱如何將不可散發層推送至登錄？