Megosztás a következőn keresztül:

Beállításjegyzék-bejelentkezés hibaelhárítása

  • Cikk

Ez a cikk segítséget nyújt az Azure-tárolóregisztrációs adatbázisba való bejelentkezéskor felmerülő problémák elhárításához.

Hibajelenségek

Az alábbiak közül egy vagy több is szerepelhet:

  • Nem lehet bejelentkezni a beállításjegyzékbe , az acr loginvagy mindkettő használatával docker login
  • Nem lehet bejelentkezni a beállításjegyzékbe, és hibaüzenetet unauthorized: authentication required vagy unauthorized: Application not registered with AAD
  • Nem lehet bejelentkezni a beállításjegyzékbe, és Azure CLI-hibaüzenet jelenik meg Could not connect to the registry login server
  • Nem lehet leküldéses vagy lekéréses képeket lekérni, és Docker-hibaüzenet jelenik meg unauthorized: authentication required
  • Nem lehet hozzáférni egy beállításjegyzékhez, az acr login és hibaüzenet jelenik meg CONNECTIVITY_REFRESH_TOKEN_ERROR. Access to registry was denied. Response code: 403. Unable to get admin user credentials with message: Admin user is disabled. Unable to authenticate using AAD or admin login credentials.
  • A beállításjegyzék nem érhető el az Azure Kubernetes Service-ből, az Azure DevOpsból vagy egy másik Azure-szolgáltatásból
  • Nem érhető el a beállításjegyzék, és hibaüzenet Error response from daemon: login attempt failed with status: 403 Forbidden jelenik meg – Lásd: A beállításjegyzék hálózati problémáinak elhárítása
  • Nem lehet hozzáférni vagy megtekinteni a beállításjegyzék beállításait az Azure Portalon, vagy kezelni a beállításjegyzéket az Azure CLI használatával

Causes

  • A Docker nincs megfelelően konfigurálva a környezetben – megoldás
  • A beállításjegyzék nem létezik, vagy a név helytelen – megoldás
  • A beállításjegyzék hitelesítő adatai érvénytelenek – megoldás
  • A beállításjegyzék nyilvános hozzáférése le van tiltva. A beállításjegyzék nyilvános hálózati hozzáférési szabályai megakadályozzák a hozzáférést – megoldás
  • A hitelesítő adatok nincsenek engedélyezve leküldéses, lekéréses vagy Azure Resource Manager-műveletekhez – megoldás
  • A hitelesítő adatok lejártak – megoldás

További diagnosztikák

Futtassa az az acr check-health parancsot a beállításjegyzék-környezet állapotáról és opcionálisan a célregisztrációs adatbázishoz való hozzáférésről. Diagnosztizálhatja például a Docker konfigurációs hibáit vagy a Microsoft Entra bejelentkezési problémáit.

A parancsok példáiért tekintse meg az Azure Container Registry állapotának ellenőrzését. Ha hibaüzenetet jelentenek, tekintse át a hibahivatkozást és az alábbi szakaszokat az ajánlott megoldásokhoz.

Kövesse az AKS támogatási dokumentum utasításait, ha nem tud képeket lekérni az ACR-ből az AKS-fürtbe.

Megjegyzés:

Bizonyos hitelesítési vagy engedélyezési hibák akkor is előfordulhatnak, ha tűzfal- vagy hálózati konfigurációk megakadályozzák a beállításjegyzék-hozzáférést. Lásd: A beállításjegyzék hálózati problémáinak elhárítása.

Lehetséges megoldások

Docker-konfiguráció ellenőrzése

A legtöbb Azure Container Registry-hitelesítési folyamathoz helyi Docker-telepítés szükséges, hogy a beállításjegyzékkel hitelesíthesse az olyan műveletekhez, mint a képek leküldése és lekérése. Ellenőrizze, hogy a Docker CLI-ügyfél és a démon (Docker Engine) fut-e a környezetben. A Docker-ügyfél 18.03-s vagy újabb verziójára van szüksége.

Kapcsolódó hivatkozások:

A beállításjegyzék helyes nevének megadása

Ha ezt használja docker login, adja meg a beállításjegyzék teljes bejelentkezési kiszolgálójának nevét, például myregistry.azurecr.io. Győződjön meg arról, hogy csak kisbetűket használ. Példa:

docker login myregistry.azurecr.io

Ha az acr-bejelentkezést Microsoft Entra-identitással használja, először jelentkezzen be az Azure CLI-be, majd adja meg a beállításjegyzék Azure-erőforrásnevét. Az erőforrás neve a beállításjegyzék létrehozásakor megadott név, például myregistry (tartomány utótag nélkül). Példa:

az acr login --name myregistry

Kapcsolódó hivatkozások:

Hitelesítő adatok megerősítése a beállításjegyzék eléréséhez

Ellenőrizze a forgatókönyvhöz használt hitelesítő adatok érvényességét, vagy egy beállításjegyzék-tulajdonos adta meg Önnek. Néhány lehetséges probléma:

  • Active Directory-szolgáltatásnév használata esetén győződjön meg arról, hogy a megfelelő hitelesítő adatokat használja az Active Directory-bérlőben:
    • Felhasználónév – szolgáltatásnév alkalmazásazonosítója (más néven ügyfél-azonosító)
    • Jelszó – szolgáltatásnév jelszava (más néven ügyfélkód)
  • Ha olyan Azure-szolgáltatást használ, mint az Azure Kubernetes Service vagy az Azure DevOps a beállításjegyzék eléréséhez, erősítse meg a szolgáltatás beállításjegyzék-konfigurációját.
  • Ha a beállítással futott az acr login , amely lehetővé teszi a --expose-token beállításjegyzék-bejelentkezést a Docker démon használata nélkül, győződjön meg arról, hogy a felhasználónévvel 00000000-0000-0000-0000-000000000000hitelesít.
  • Ha a beállításjegyzék névtelen lekéréses hozzáférésre van konfigurálva, az előző Docker-bejelentkezésből tárolt Docker-hitelesítő adatok megakadályozhatják a névtelen hozzáférést. Futtassa docker logout , mielőtt névtelen lekéréses műveletet kísérel meg a beállításjegyzékben.

Kapcsolódó hivatkozások:

Ellenőrizze, hogy a hitelesítő adatok jogosultak-e a beállításjegyzék elérésére

Ellenőrizze a hitelesítő adatokhoz társított beállításjegyzék-engedélyeket, például az AcrPull Azure-szerepkört a rendszerképek beállításjegyzékből való lekéréséhez, vagy a AcrPush rendszerképek leküldéséhez szükséges szerepkört.

A portálon vagy a beállításjegyzék-kezelésben az Azure CLI használatával történő hozzáféréshez legalább az Reader Azure Resource Manager-műveletek végrehajtásához szükséges szerepkör vagy azzal egyenértékű engedély szükséges.

Ha az engedélyek a közelmúltban úgy változtak, hogy a beállításjegyzék-hozzáférést engedélyezhessék a portálon, előfordulhat, hogy inkognitó vagy privát munkamenetet kell kipróbálnia a böngészőben, hogy elkerülje az elavult böngészőgyorsítótárat vagy cookie-kat.

Önnek vagy a beállításjegyzék-tulajdonosnak elegendő jogosultsággal kell rendelkeznie az előfizetésben a szerepkör-hozzárendelések hozzáadásához vagy eltávolításához.

Kapcsolódó hivatkozások:

Ellenőrizze, hogy a hitelesítő adatok nem jártak-e le

A jogkivonatok és az Active Directory hitelesítő adatai meghatározott időszakok után lejárhatnak, ami megakadályozza a beállításjegyzék elérését. A hozzáférés engedélyezéséhez előfordulhat, hogy a hitelesítő adatokat alaphelyzetbe kell állítani vagy újra kell létrehozni.

  • Ha egyéni AD-identitást, felügyelt identitást vagy szolgáltatásnevet használ a beállításjegyzékbeli bejelentkezéshez, az AD-jogkivonat 3 óra elteltével lejár. Jelentkezzen be újra a beállításjegyzékbe.
  • Ha lejárt ügyfélkóddal rendelkező AD-szolgáltatásnevet használ, az előfizetés tulajdonosának vagy a fiókadminisztrátornak alaphelyzetbe kell állítania a hitelesítő adatokat, vagy létre kell hoznia egy új szolgáltatásnevet.
  • Adattár hatókörű jogkivonat használata esetén előfordulhat, hogy a beállításjegyzék tulajdonosának új jelszót kell létrehoznia, vagy új jogkivonatot kell létrehoznia.

Kapcsolódó hivatkozások:

Speciális hibaelhárítás

Ha az erőforrásnaplók gyűjtése engedélyezve van a beállításjegyzékben, tekintse át a ContainerRegistryLoginEvents naplót. Ez a napló tárolja a hitelesítési eseményeket és állapotokat, beleértve a bejövő identitást és az IP-címet. A beállításjegyzék-hitelesítési hibák naplójának lekérdezése.

Kapcsolódó hivatkozások:

További lépések

Ha itt nem oldja meg a problémát, tekintse meg az alábbi lehetőségeket.