Résoudre les problèmes courants liés aux conteneurs confidentiels
Cet article fournit des solutions aux problèmes courants liés aux conteneurs confidentiels sur Azure Container Instances.
Problèmes courants
Vous pouvez rencontrer les problèmes et erreurs suivants lorsque vous déployez des conteneurs confidentiels :
Échecs de stratégie :
Deployment Failed. ErrorMessage=failed to create containerd task: failed to create shim task: uvm::Policy: failed to modify utility VM configuration: guest modify: guest RPC failure: error creating Rego policy: rego compilation failed: rego compilation failed: 4 errors occurred:Deployment Failed. ErrorMessage=failed to create containerd task: failed to create shim task: uvm::Policy: failed to modify utility VM configuration: guest modify:guest RPC failure: error creating Rego policy: rego compilation failed: rego compilation failed: 1 error occurred: policy.rego:48 rego_parse_error: non-terminated string;Container creation denied due to policy: create_container not allowed by policy. Errors: [invalid command].Denied by policy: rule for mount_device is missing from policy: unknown.Failed to create containerd task: failed to create shim task: failed to mount container storage: failed to add LCOW layer: failed to add SCSI layer: failed to modify UVM with new SCSI mount: guest modify: guest RPC failure: mounting scsi device controller 3 lun 2 onto /run/mounts/m4 denied by policy: mount_device not allowed by policy. Errors: [deviceHash not found].Container creation denied due to policy: create_container not allowed by policy.Une stratégie applique une nouvelle infrastructure :
Failed to create containerd task: failed to create shim task: failed to mount container storage: guest modify: guest RPC failure: overlay creation denied by policy: mount_overlay not allowed by policy. Errors: [framework_svn is ahead of the current svn: 1.1.0 > 0.1.0].Stratégie CCE (Confidential Computing Enforcement) en base64 non valide :
The CCE Policy is not valid Base64.Limitation : limite de 120 kilo-octets (Ko) sur la stratégie CCE :
Failed to create containerd task: failed to create shim task: error while creating the compute system: hcs::CreateComputeSystem <compute system id>@vm: The requested operation failed.: unknown.\r\n; The container group provisioning has failed. Refer to 'DeploymentFailedReason' event for more details.;Failed to create containerd task: failed to create shim task: task with id: '<task id>' cannot be created in pod: '<pod>' which is not running: failed precondition.\r\n;The container group provisioning has failed. Refer to 'DeploymentFailedReason' event for more details.Le hachage de l’appareil est introuvable :
Denied by policy: rule for mount_device is missing from policy: unknown.Failed to create containerd task: failed to create shim task: failed to mount container storage: failed to add LCOW layer: failed to add SCSI layer: failed to modify UVM with new SCSI mount: guest modify: guest RPC failure: mounting scsi device controller 3 lun 2 onto /run/mounts/m4 denied by policy: mount_device not allowed by policy. Errors: [deviceHash not found]Autres problèmes :
- Les journaux n’apparaissent pas.
- La fonctionnalité exec ne fonctionne pas.
- Le déploiement de l’abonnement expire au bout de 30 minutes.
- Sonde Liveness avec une stratégie non autorisée.
- Code de sortie 139.
Cause
Dans la plupart des cas, ces problèmes se produisent en raison de la stratégie CCE.
Solution
Si vous rencontrez des échecs de stratégie, régénérez la stratégie CCE et réessayez le déploiement.
Si la stratégie CCE applique une infrastructure, revenez à un svn de framework plus ancien.
Si le hachage de l’appareil est introuvable ou s’il existe un problème avec une image, effacez le cache et régénérez la stratégie CCE.
Pour propre le cache, exécutez la
docker rmi <image_name>:<tag>commande . Pour propre toutes les images du cache, exécutez ladocker rmi $(docker images -a -q)commande . Pour inspecter le hachage manquant, exécutez ladocker inspect <image_name>:<tag>commande .
Contactez-nous pour obtenir de l’aide
Pour toute demande ou assistance, créez une demande de support ou posez une question au support de la communauté Azure. Vous pouvez également soumettre des commentaires sur les produits à la communauté de commentaires Azure.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour