Freigeben über

Problembehandlung für die ACR-Übertragung

  • Artikel

Vorlagenbereitstellungsprobleme oder -fehler

Probleme beim Zugriff auf den Schlüsseltresor

  • Wenn ihre pipelineRun-Bereitstellung beim Zugriff auf Azure Key Vault mit dem Fehler 403 Forbidden fehlschlägt, überprüfen Sie, ob die verwaltete Identität Ihrer Pipeline über ausreichende Berechtigungen verfügt.
  • pipelineRun verwendet die verwaltete Identität exportPipeline oder importPipeline, um das SAS-Tokengeheimnis von Ihrem Schlüsseltresor abzurufen. ExportPipelines und importPipelines werden entweder mit einer systemseitig oder benutzerseitig zugewiesenen verwalteten Identität bereitgestellt. Diese verwaltete Identität muss über secret get-Berechtigungen für den Schlüsseltresor verfügen, um das SAS-Tokengeheimnis lesen zu können. Stellen Sie sicher, dass dem Schlüsseltresor eine Zugriffsrichtlinie für die verwaltete Identität hinzugefügt wurde. Weitere Informationen finden Sie unter Erteilen von keyvault-Richtlinienzugriff für die ExportPipeline-Identität und Erteilen von keyvault-Richtlinienzugriff für die ImportPipeline-Identität.

Probleme beim Zugriff auf den Speicher

  • Wenn für den Speicher ein Fehler vom Typ 403 Forbidden angezeigt wird, liegt wahrscheinlich ein Problem mit Ihrem SAS-Token vor.
  • Das SAS-Token ist möglicherweise nicht gültig. Vielleicht ist das SAS-Token abgelaufen, oder die Speicherkontoschlüssel haben sich seit der Erstellung des SAS-Tokens geändert. Überprüfen Sie, ob das SAS-Token gültig ist, indem Sie versuchen, das SAS-Token für die Authentifizierung zum Zugriff auf den Speicherkontocontainer zu verwenden. Geben Sie beispielsweise einen vorhandenen Blobendpunkt gefolgt vom SAS-Token in die Adressleiste eines neuen InPrivate-Fensters in Microsoft Edge ein, oder laden Sie mit dem SAS-Token unter Verwendung von az storage blob upload ein Blob in den Container hoch.
  • Das SAS-Token umfasst möglicherweise nicht genügend zulässige Ressourcentypen. Vergewissern Sie sich, dass dem SAS-Token unter „Zugelassene Ressourcentypen“ (srt=sco im SAS-Token) Berechtigungen für Dienst-, Container- und Objektressourcen gewährt wurden.
  • Das SAS-Token umfasst möglicherweise keine ausreichenden Berechtigungen. Für Exportpipelines werden die SAS-Tokenberechtigungen „Lesen“, „Schreiben“, „Auflisten“ und „Hinzufügen“ benötigt. Für Importpipelines werden die SAS-Tokenberechtigungen „Lesen“, „Löschen“ und „Auflisten“ benötigt. (Die Berechtigung „Löschen“ ist nur erforderlich, wenn für die Importpipeline die Option DeleteSourceBlobOnSuccess aktiviert wurde.)
  • Das SAS-Token ist möglicherweise nicht so konfiguriert, dass es nur mit HTTPS funktioniert. Stellen Sie sicher, dass das SAS-Token so konfiguriert ist, dass es nur mit HTTPS funktioniert (spr=https im SAS-Token).

Probleme beim Exportieren oder Importieren von Speicherblobs

  • Das SAS-Token ist möglicherweise abgelaufen oder umfasst keine ausreichenden Berechtigungen für die angegebene Export- oder Importausführung. Siehe Probleme beim Zugriff auf den Speicher.
  • Ein vorhandenes Speicherblob im Quellspeicherkonto wird bei mehreren Exportausführungen möglicherweise nicht überschrieben. Vergewissern Sie sich, dass die Option OverwriteBlob in der Exportausführung festgelegt ist und das SAS-Token über ausreichende Berechtigungen verfügt.
  • Das Speicherblob in Zielspeicherkonto wird nach einer erfolgreichen Importausführung möglicherweise nicht gelöscht. Vergewissern Sie sich, dass die Option DeleteBlobOnSuccess in der Exportausführung festgelegt ist und das SAS-Token über ausreichende Berechtigungen verfügt.
  • Das Speicherblob wurde nicht erstellt oder gelöscht. Vergewissern Sie sich, dass der in der Export- oder Importausführung angegebene Container oder das angegebene Speicherblob für die manuelle Importausführung vorhanden ist.

Probleme bei Quelltriggerimporten

  • Das SAS-Token muss über die Berechtigung zum Auflisten verfügen, damit Quelltriggerimporte funktionieren.
  • Quelltriggerimporte werden nur ausgelöst, wenn der Zeitpunkt der letzten Änderung für das Speicherblob innerhalb der letzten 60 Tage liegt.
  • Das Speicherblob muss über eine gültige ContentMD5-Eigenschaft verfügen, damit es von der Quelltriggerfunktion importiert werden kann.
  • Das Speicherblob muss über Blobmetadaten vom Typ „"category":"acr-transfer-blob"“ verfügen, damit es von der Quelltriggerfunktion importiert werden kann. Diese Metadaten werden während der Ausführung einer Exportpipeline automatisch hinzugefügt, können jedoch beim Verschieben zwischen Speicherkonten je nach Kopiermethode entfernt werden.

AzCopy-Probleme

Artefaktübertragungsprobleme

  • Nicht alle Artefakte (oder gar keine) werden übertragen. Überprüfen Sie die Schreibweise von Artefakten in der Exportausführung sowie den Namen des Blobs in Export- und Importausführungen. Vergewissern Sie sich, dass Sie maximal 50 Artefakte übertragen.
  • Die Pipelineausführung wurde möglicherweise nicht abgeschlossen. Die Export- oder Importausführung kann einige Zeit in Anspruch nehmen.
  • Stellen Sie bei anderen Pipelineproblemen dem Azure Container Registry-Team die Korrelations-ID der Bereitstellung der Export- oder Importausführung zur Verfügung.
  • Um ACR-Übertragungsressourcen wie exportPipelines, importPipelines und pipelineRuns zu erstellen, muss der Benutzer mindestens über „Mitwirkender“-Zugriff auf das ACR-Abonnement verfügen. Andernfalls gibt die Autorisierung Fehler wie „Übertragung verweigert“ oder „Ungültiger Bereich“ aus.

Probleme beim Abrufen des Images in einer physisch isolierten Umgebung

  • Wenn bei dem Versuch, ein Image in einer physisch isolierten Umgebung abzurufen, Fehler im Zusammenhang mit fremden Ebenen oder der Auflösung von mcr.microsoft.com auftreten, weist das Imagemanifest wahrscheinlich nicht verteilbare Ebenen auf. Diese Images können in einer physisch isolierten Umgebung naturgemäß häufig nicht abgerufen werden. Sie können bestätigen, ob dies der Fall ist, indem Sie das Imagemanifest auf Verweise auf externe Registrierungen überprüfen. Wenn dies der Fall ist, müssen Sie die nicht verteilbaren Ebenen vor dem Bereitstellen einer Exportpipelineausführung für das Image in die Public Cloud-ACR pushen. Anleitungen hierzu finden Sie unter Wie kann ich nicht verteilbare Ebenen an eine Registrierung pushen?