Řešení potíží se sdílenými privátními odkazy ve službě Azure AI Search
Sdílený privátní odkaz umožňuje službě Azure AI Search zajistit zabezpečená odchozí připojení přes privátní koncový bod při přístupu k prostředkům zákazníků ve virtuální síti. Tento článek vám může pomoct vyřešit chyby, ke kterým může dojít.
Vytvoření sdíleného privátního propojení je operace řídicí roviny vyhledávací služby. Sdílený privátní odkaz můžete vytvořit pomocí portálu nebo rozhraní REST API pro správu. Během zřizování se stav požadavku aktualizuje. Po úspěšném dokončení operace je stav Úspěch. Vytvoří se privátní koncový bod pro prostředek spolu s všemi zónami a mapováními DNS. Tento koncový bod používá výhradně vaše instance vyhledávací služby a spravuje se prostřednictvím služby Azure AI Search.
Níže jsou uvedeny některé běžné chyby, ke kterým dochází během fáze vytváření.
Selhání ověření požadavku
Nepodporovaná skladová položka: Sdílené privátní propojení jsou podporovány na úrovni Basic a vyšší. Pro indexery se sadami dovedností je minimální úroveň Standard 2 (S2).
Neplatný název: Pravidla pojmenování sdíleného privátního propojení jsou:
- Délka by měla být mezi 1 až 60 znaky.
- Alfanumerické znaky
- Názvy můžou obsahovat podtržítko
_, tečku.a pomlčka-, pokud se nejedná o první znak v názvu.
Neplatné ID skupiny: ID skupin rozlišují malá a velká písmena a musí se jednat o jednu z hodnot z následující tabulky:
Prostředek Azure ID skupiny První dostupná verze rozhraní API Azure Storage – Objekt blob (nebo) ADLS Gen2 blob2020-08-01Azure Storage – Tabulky table2020-08-01Azure Cosmos DB for NoSQL Sql2020-08-01Azure SQL Database sqlServer2020-08-01Azure Database for MySQL (Preview) mysqlServer2020-08-01-PreviewAzure Key Vault vault2020-08-01Azure Functions (Preview) sites2020-08-01-PreviewProstředky označené jako "(Preview)" musí být vytvořeny pomocí verze Preview verzí rozhraní REST API pro správu.
privateLinkResourceIdověřování typu: Podobně jakogroupIdslužba Azure AI Search ověřuje, že je v nástrojiprivateLinkResourceIdAzure AI Search zadaný "správný" typ prostředku . Toto jsou platné typy prostředků:Prostředek Azure Typ prostředku První dostupná verze rozhraní API Azure Storage Microsoft.Storage/storageAccounts2020-08-01Azure Cosmos DB Microsoft.DocumentDb/databaseAccounts2020-08-01Azure SQL Database Microsoft.Sql/servers2020-08-01Azure Key Vault Microsoft.KeyVault/vaults2020-08-01Azure Database for MySQL (Preview) Microsoft.DBforMySQL/servers2020-08-01-PreviewAzure Functions (Preview) Microsoft.Web/sites2020-08-01-PreviewSpravovaná instance Azure SQL (Preview) Microsoft.Sql/managedInstance2020-08-01-PreviewKromě toho musí být zadaný
groupIdtyp prostředku platný. NapříkladgroupId"blob" je platný pro typ Microsoft.Storage/storageAccounts, nedá se použít s žádným jiným typem prostředku. Pro danou verzi rozhraní API pro správu vyhledávání můžou zákazníci zjistit podporovanégroupIdpodrobnosti a podrobnosti o typu prostředku pomocí rozhraní API se seznamem podporovaných rozhraní API.Vynucení limitu kvóty: Search mají kvóty stanovené pro jedinečný počet prostředků sdíleného privátního propojení, které lze vytvořit, a počet různých typů cílových prostředků, které se používají (na
groupIdzákladě). Ty jsou popsané v části Omezení prostředků sdíleného privátního propojení na stránce omezení azure AI Search.
Selhání nasazení
Vyhledávací služba zahájí požadavek na vytvoření sdíleného privátního propojení, ale Azure Resource Manager provede skutečnou práci. Stav nasazení můžete zkontrolovat na portálu nebo podle dotazu a vyřešit případné chyby.
Sdílené prostředky privátního propojení, u kterých selhalo nasazení Azure Resource Manageru, se zobrazí v seznamu a získání volání rozhraní API, ale bude mít stav Failedzřizování . Jakmile se zjistí důvod selhání nasazení Azure Resource Manageru, odstraňte Failed prostředek a po použití příslušného řešení z následující tabulky ho znovu vytvořte.
| Důvod selhání nasazení | Popis | Rozlišení |
|---|---|---|
| LinkedAuthorizationFailed | Chybová zpráva uvádí, že klient má oprávnění k vytvoření sdíleného privátního propojení ve vyhledávací službě, ale nemá oprávnění k provedení akce privateEndpoint Připojení ionApproval/action v propojeném oboru. | Znovu zkontrolujte ID privátního propojení v požadavku a ujistěte se, že identifikátor URI neobsahuje žádné chyby nebo vynechání. Pokud se služba Azure AI Search a prostředek Azure PaaS nacházejí v různých předplatných a pokud používáte rozhraní REST nebo příkazového řádku, ujistěte se, že je aktivní účet Azure pro prostředek Azure PaaS. V případě klientů REST se ujistěte, že nepoužíváte nosný token s vypršenou platností a že je token platný pro aktivní předplatné. |
| Poskytovatel síťových prostředků není zaregistrovaný v předplatném cílového prostředku | Pro cílový prostředek (účet úložiště, Azure Cosmos DB, Azure SQL) se vytvoří privátní koncový bod (a přidružené mapování DNS) prostřednictvím Microsoft.Network poskytovatele prostředků (RP). Pokud předplatné, které hostuje cílový prostředek (cílové předplatné), není zaregistrované v Microsoft.Network rp, nasazení Azure Resource Manageru může selhat. |
Tento poskytovatel prostředků musíte zaregistrovat v cílovém předplatném. Poskytovatele prostředků můžete zaregistrovat pomocí webu Azure Portal, PowerShellu nebo rozhraní příkazového řádku. |
Neplatné groupId pro cílový prostředek |
Po vytvoření účtů Služby Azure Cosmos DB můžete zadat typ rozhraní API pro účet databáze. I když Azure Cosmos DB nabízí několik různých typů rozhraní API, Azure AI Search podporuje jako prostředky sdíleného privátního groupId propojení pouze sql. Když se pro účet databáze mimo Sql vytvoří privateLinkResourceId sdílené privátní propojení typu Sql, nasazení Azure Resource Manageru se nezdaří kvůli neshodě groupId . ID prostředku Azure účtu služby Azure Cosmos DB nestačí k určení používaného typu rozhraní API. Azure AI Search se pokusí vytvořit privátní koncový bod, který pak služba Azure Cosmos DB odepře. |
Měli byste zajistit, aby privateLinkResourceId zadaný prostředek Služby Azure Cosmos DB byl určený pro účet databáze typu rozhraní SQL API. |
| Cílový prostředek nebyl nalezen. | Existence cílového prostředku zadaného v privateLinkResourceId rámci kontroly se kontroluje pouze během zahájení nasazení Azure Resource Manageru. Pokud už cílový prostředek není dostupný, nasazení selže. |
Měli byste zajistit, aby cílový prostředek byl v zadaném předplatném a skupině prostředků a nebyl přesunut nebo odstraněn. |
| Přechodné nebo jiné chyby | Nasazení Azure Resource Manageru může selhat, pokud dojde k výpadku infrastruktury nebo z jiných neočekávaných důvodů. To by mělo být vzácné a obvykle značí přechodný stav. | Zkuste tento prostředek vytvořit znovu později. Pokud problém přetrvává, spojte se s podporou Azure. |
Problémy se schvalováním privátního koncového bodu backingu
Privátní koncový bod se vytvoří pro cílový prostředek Azure, jak je uvedeno v požadavku na vytvoření sdíleného privátního propojení. Toto je jeden z posledních kroků v asynchronní operaci nasazení Azure Resource Manageru, ale Služba Azure AI Search musí v rámci konfigurace sítě propojit privátní IP adresu privátního koncového bodu. Jakmile se tento odkaz dokončí, provisioningState prostředek sdíleného privátního propojení přejde do stavu Succeededúspěšného terminálu . Zákazníci by měli schválit nebo odepřít (nebo obecně změnit konfiguraci backingového privátního koncového bodu) až po přechodu stavu na Succeeded. Úprava privátního koncového bodu jakýmkoli způsobem dříve, než by to mohlo vést k neúplné operaci nasazení, a může způsobit, že sdílený prostředek privátního propojení skončí (buď okamžitě, nebo obvykle během několika hodin) ve Failed stavu.
Search změna připojení k síti se zastavila ve stavu Aktualizace
Sdílené privátní propojení a privátní koncové body se používají, když je zakázaný přístup k veřejné síti vyhledávací služby. Změna síťového připojení by měla být obvykle úspěšná během několika minut po přijetí požadavku. Za některých okolností může dokončení operace změny připojení trvat několik hodin.
Pokud zjistíte, že operace změny připojení trvá značné množství času, počkejte několik hodin. Připojení operace změny účinnosti zahrnují operace, jako je aktualizace záznamů DNS, které můžou trvat déle, než se čekalo.
Pokud se změní přístup k veřejné síti, stávající sdílené privátní propojení a privátní koncové body nemusí správně fungovat. Pokud během operace změny připojení přestanou fungovat existující sdílené privátní propojení a privátní koncové body, počkejte několik hodin, než se operace dokončí. Pokud stále nefungují, zkuste je odstranit a znovu vytvořit.
Sdílený prostředek privátního propojení se zastavil ve stavu Aktualizace nebo Neúplné
Prostředek sdíleného privátního propojení by obvykle měl během několika minut po přijetí žádosti přejít do stavu terminálu (Succeeded nebo Failed).
Ve výjimečných případech může Azure AI Search správně označit stav prostředku sdíleného privátního propojení do stavu terminálu (Succeeded nebo Failed). K tomu obvykle dochází kvůli neočekávanému selhání. Sdílené prostředky privátního propojení se automaticky přejdou do Failed stavu, pokud se "zablokovaly" v nekon terminálovém stavu déle než několik hodin.
Pokud zjistíte, že se prostředek sdíleného privátního propojení nepřepojil do stavu terminálu, počkejte několik hodin, abyste se ujistili, že se stane Failed , než ho budete moct odstranit, a znovu ho vytvořit. Alternativně místo čekání můžete zkusit vytvořit jiný sdílený prostředek privátního propojení s jiným názvem (zachovat všechny ostatní parametry stejné).
Aktualizace sdíleného prostředku privátního propojení
Existující sdílený prostředek privátního propojení je možné aktualizovat pomocí rozhraní API pro vytvoření nebo aktualizaci. Hledání umožňuje pouze úzké aktualizace sdíleného prostředku privátního propojení – prostřednictvím tohoto rozhraní API je možné upravit pouze zprávu požadavku.
Není možné aktualizovat žádné z "základních" vlastností existujícího prostředku sdíleného privátního propojení (například
privateLinkResourceId)groupIda tato vlastnost bude vždy nepodporovaná. Pokud je potřeba změnit jakoukoli jinou vlastnost kromě zprávy požadavku, doporučujeme zákazníkům odstranit a znovu vytvořit sdílený prostředek privátního propojení.Pokus o aktualizaci zprávy žádosti o sdílený prostředek privátního propojení je možný pouze v případě, že dosáhl stavu
Succeededzřizování .
Odstranění sdíleného prostředku privátního propojení
Zákazníci můžou odstranit existující sdílený prostředek privátního propojení prostřednictvím rozhraní API pro odstranění. Podobně jako při vytváření (nebo aktualizaci) se jedná také o asynchronní operaci se čtyřmi kroky:
Požádáte vyhledávací službu o odstranění sdíleného prostředku privátního propojení.
Vyhledávací služba ověří, že prostředek existuje a je ve stavu platném pro odstranění. Pokud ano, zahájí operaci odstranění Azure Resource Manageru, která prostředek odebere.
Vyhledávací dotazy na dokončení operace (obvykle trvá několik minut). V tomto okamžiku by sdílený prostředek privátního propojení měl stav zřizování Odstranění.
Po úspěšném dokončení operace se odeberou záložní privátní koncový bod a všechna přidružená mapování DNS. Prostředek se nezobrazí jako součást operace Seznam a pokus o operaci Get pro tento prostředek bude mít za následek 404 Nenalezena.
Níže jsou uvedeny některé běžné chyby, ke kterým dochází během fáze odstranění.
| Typ selhání | Popis | Rozlišení |
|---|---|---|
| Prostředek je v nekon terminálovém stavu | Sdílený prostředek privátního propojení, který není ve stavu terminálu (Succeeded nebo Failed) nejde odstranit. Prostředek sdíleného privátního propojení je možné (vzácné) uvíznout v nekon terminálovém stavu po dobu až 8 hodin. |
Počkejte, až prostředek dosáhne stavu terminálu, a zkuste žádost o odstranění zopakovat. |
| Operace odstranění selhala s chybou Konflikt | Operace Azure Resource Manageru pro odstranění sdíleného prostředku privátního propojení se dostane k poskytovateli prostředků cílového prostředku zadaného v privateLinkResourceId cílovém bodu obnovení, než může odebrat privátní koncový bod a mapování DNS. Zákazníci můžou využívat zámky prostředků Azure, aby zabránili jakýmkoli změnám prostředků. Když Azure Resource Manager dosáhne cílového poskytovatele prostředků, vyžaduje, aby cílový poskytovatel prostředků upravil stav cílového prostředku (aby z metadat odebral podrobnosti o privátním koncovém bodu). Pokud má cílový prostředek nakonfigurovaný zámek (nebo jeho skupinu prostředků nebo předplatné), operace Azure Resource Manageru selže s chybou Konflikt (a příslušné podrobnosti). Sdílený prostředek privátního propojení se neodstraní. |
Zákazníci by měli před opakováním operace odstranění odebrat zámek cílového prostředku. Poznámka: K tomuto problému může dojít také v případě, že se zákazníci pokusí odstranit vyhledávací službu se sdílenými prostředky privátního propojení, které odkazují na "uzamčené" cílové prostředky. |
| Operace odstranění selhala. | Asynchronní operace odstranění Azure Resource Manageru může ve výjimečných případech selhat. Pokud tato operace selže, dotazování na stav asynchronní operace zobrazí zákazníkům chybovou zprávu a příslušné podrobnosti. | Zkuste operaci zopakovat později nebo se spojte s podporou Azure, pokud problém přetrvává. |
| Prostředek se zasekl ve stavu Odstranění | Ve výjimečných případech může být prostředek sdíleného privátního propojení zablokovaný ve stavu Odstranění až 8 hodin, pravděpodobně kvůli závažnému selhání vyhledávacího poskytovatele prostředků. | Počkejte 8 hodin, po které se prostředek přepojí do Failed stavu a pak žádost znovu spustí. |
Další kroky
Přečtěte si další informace o sdílených prostředcích privátního propojení a o tom, jak ho používat pro zabezpečený přístup k chráněnému obsahu.