Beállításjegyzék-bejelentkezés hibaelhárítása
Ez a cikk segítséget nyújt az Azure-tárolóregisztrációs adatbázisba való bejelentkezéskor felmerülő problémák elhárításához.
Hibajelenségek
Az alábbiak közül egy vagy több is szerepelhet:
- Nem lehet bejelentkezni a beállításjegyzékbe ,
az acr login
vagy mindkettő használatávaldocker login
- Nem lehet bejelentkezni a beállításjegyzékbe, és hibaüzenetet
unauthorized: authentication required
vagyunauthorized: Application not registered with AAD
- Nem lehet bejelentkezni a beállításjegyzékbe, és Azure CLI-hibaüzenet jelenik meg
Could not connect to the registry login server
- Nem lehet leküldéses vagy lekéréses képeket lekérni, és Docker-hibaüzenet jelenik meg
unauthorized: authentication required
- Nem lehet hozzáférni egy beállításjegyzékhez,
az acr login
és hibaüzenet jelenik megCONNECTIVITY_REFRESH_TOKEN_ERROR. Access to registry was denied. Response code: 403. Unable to get admin user credentials with message: Admin user is disabled. Unable to authenticate using AAD or admin login credentials.
- A beállításjegyzék nem érhető el az Azure Kubernetes Service-ből, az Azure DevOpsból vagy egy másik Azure-szolgáltatásból
- Nem érhető el a beállításjegyzék, és hibaüzenet
Error response from daemon: login attempt failed with status: 403 Forbidden
jelenik meg – Lásd: A beállításjegyzék hálózati problémáinak elhárítása - Nem lehet hozzáférni vagy megtekinteni a beállításjegyzék beállításait az Azure Portalon, vagy kezelni a beállításjegyzéket az Azure CLI használatával
Causes
- A Docker nincs megfelelően konfigurálva a környezetben – megoldás
- A beállításjegyzék nem létezik, vagy a név helytelen – megoldás
- A beállításjegyzék hitelesítő adatai érvénytelenek – megoldás
- A beállításjegyzék nyilvános hozzáférése le van tiltva. A beállításjegyzék nyilvános hálózati hozzáférési szabályai megakadályozzák a hozzáférést – megoldás
- A hitelesítő adatok nincsenek engedélyezve leküldéses, lekéréses vagy Azure Resource Manager-műveletekhez – megoldás
- A hitelesítő adatok lejártak – megoldás
További diagnosztikák
Futtassa az az acr check-health parancsot a beállításjegyzék-környezet állapotáról és opcionálisan a célregisztrációs adatbázishoz való hozzáférésről. Diagnosztizálhatja például a Docker konfigurációs hibáit vagy a Microsoft Entra bejelentkezési problémáit.
A parancsok példáiért tekintse meg az Azure Container Registry állapotának ellenőrzését. Ha hibaüzenetet jelentenek, tekintse át a hibahivatkozást és az alábbi szakaszokat az ajánlott megoldásokhoz.
Kövesse az AKS támogatási dokumentum utasításait, ha nem tud képeket lekérni az ACR-ből az AKS-fürtbe.
Megjegyzés:
Bizonyos hitelesítési vagy engedélyezési hibák akkor is előfordulhatnak, ha tűzfal- vagy hálózati konfigurációk megakadályozzák a beállításjegyzék-hozzáférést. Lásd: A beállításjegyzék hálózati problémáinak elhárítása.
Lehetséges megoldások
Docker-konfiguráció ellenőrzése
A legtöbb Azure Container Registry-hitelesítési folyamathoz helyi Docker-telepítés szükséges, hogy a beállításjegyzékkel hitelesíthesse az olyan műveletekhez, mint a képek leküldése és lekérése. Ellenőrizze, hogy a Docker CLI-ügyfél és a démon (Docker Engine) fut-e a környezetben. A Docker-ügyfél 18.03-s vagy újabb verziójára van szüksége.
Kapcsolódó hivatkozások:
A beállításjegyzék helyes nevének megadása
Ha ezt használja docker login
, adja meg a beállításjegyzék teljes bejelentkezési kiszolgálójának nevét, például myregistry.azurecr.io. Győződjön meg arról, hogy csak kisbetűket használ. Példa:
docker login myregistry.azurecr.io
Ha az acr-bejelentkezést Microsoft Entra-identitással használja, először jelentkezzen be az Azure CLI-be, majd adja meg a beállításjegyzék Azure-erőforrásnevét. Az erőforrás neve a beállításjegyzék létrehozásakor megadott név, például myregistry (tartomány utótag nélkül). Példa:
az acr login --name myregistry
Kapcsolódó hivatkozások:
Hitelesítő adatok megerősítése a beállításjegyzék eléréséhez
Ellenőrizze a forgatókönyvhöz használt hitelesítő adatok érvényességét, vagy egy beállításjegyzék-tulajdonos adta meg Önnek. Néhány lehetséges probléma:
- Active Directory-szolgáltatásnév használata esetén győződjön meg arról, hogy a megfelelő hitelesítő adatokat használja az Active Directory-bérlőben:
- Felhasználónév – szolgáltatásnév alkalmazásazonosítója (más néven ügyfél-azonosító)
- Jelszó – szolgáltatásnév jelszava (más néven ügyfélkód)
- Ha olyan Azure-szolgáltatást használ, mint az Azure Kubernetes Service vagy az Azure DevOps a beállításjegyzék eléréséhez, erősítse meg a szolgáltatás beállításjegyzék-konfigurációját.
- Ha a beállítással futott
az acr login
, amely lehetővé teszi a--expose-token
beállításjegyzék-bejelentkezést a Docker démon használata nélkül, győződjön meg arról, hogy a felhasználónévvel00000000-0000-0000-0000-000000000000
hitelesít. - Ha a beállításjegyzék névtelen lekéréses hozzáférésre van konfigurálva, az előző Docker-bejelentkezésből tárolt Docker-hitelesítő adatok megakadályozhatják a névtelen hozzáférést. Futtassa
docker logout
, mielőtt névtelen lekéréses műveletet kísérel meg a beállításjegyzékben.
Kapcsolódó hivatkozások:
- A hitelesítés áttekintése
- Egyéni bejelentkezés a Microsoft Entra-azonosítóval
- Bejelentkezés szolgáltatásnévvel
- Bejelentkezés felügyelt identitással
- Bejelentkezés tárház hatókörű jogkivonattal
- Bejelentkezés rendszergazdai fiókkal
- Microsoft Entra authentication and authorization error codes
- az acr login reference
Ellenőrizze, hogy a hitelesítő adatok jogosultak-e a beállításjegyzék elérésére
Ellenőrizze a hitelesítő adatokhoz társított beállításjegyzék-engedélyeket, például az AcrPull
Azure-szerepkört a rendszerképek beállításjegyzékből való lekéréséhez, vagy a AcrPush
rendszerképek leküldéséhez szükséges szerepkört.
A portálon vagy a beállításjegyzék-kezelésben az Azure CLI használatával történő hozzáféréshez legalább az Reader
Azure Resource Manager-műveletek végrehajtásához szükséges szerepkör vagy azzal egyenértékű engedély szükséges.
Ha az engedélyek a közelmúltban úgy változtak, hogy a beállításjegyzék-hozzáférést engedélyezhessék a portálon, előfordulhat, hogy inkognitó vagy privát munkamenetet kell kipróbálnia a böngészőben, hogy elkerülje az elavult böngészőgyorsítótárat vagy cookie-kat.
Önnek vagy a beállításjegyzék-tulajdonosnak elegendő jogosultsággal kell rendelkeznie az előfizetésben a szerepkör-hozzárendelések hozzáadásához vagy eltávolításához.
Kapcsolódó hivatkozások:
- Azure-szerepkörök és engedélyek – Azure Container Registry
- Bejelentkezés tárház hatókörű jogkivonattal
- Azure-beli szerepkör-hozzárendelés hozzáadása vagy eltávolítása az Azure Portal használatával
- A portálon létrehozhat egy Olyan Microsoft Entra-alkalmazást és szolgáltatásnevet, amely hozzáfér az erőforrásokhoz
- Create a new application secret
- Microsoft Entra hitelesítési és engedélyezési kódok
Ellenőrizze, hogy a hitelesítő adatok nem jártak-e le
A jogkivonatok és az Active Directory hitelesítő adatai meghatározott időszakok után lejárhatnak, ami megakadályozza a beállításjegyzék elérését. A hozzáférés engedélyezéséhez előfordulhat, hogy a hitelesítő adatokat alaphelyzetbe kell állítani vagy újra kell létrehozni.
- Ha egyéni AD-identitást, felügyelt identitást vagy szolgáltatásnevet használ a beállításjegyzékbeli bejelentkezéshez, az AD-jogkivonat 3 óra elteltével lejár. Jelentkezzen be újra a beállításjegyzékbe.
- Ha lejárt ügyfélkóddal rendelkező AD-szolgáltatásnevet használ, az előfizetés tulajdonosának vagy a fiókadminisztrátornak alaphelyzetbe kell állítania a hitelesítő adatokat, vagy létre kell hoznia egy új szolgáltatásnevet.
- Adattár hatókörű jogkivonat használata esetén előfordulhat, hogy a beállításjegyzék tulajdonosának új jelszót kell létrehoznia, vagy új jogkivonatot kell létrehoznia.
Kapcsolódó hivatkozások:
- Szolgáltatásnév hitelesítő adatainak alaphelyzetbe állítása
- Jogkivonatjelszavak újragenerálása
- Egyéni bejelentkezés a Microsoft Entra-azonosítóval
Speciális hibaelhárítás
Ha az erőforrásnaplók gyűjtése engedélyezve van a beállításjegyzékben, tekintse át a ContainerRegistryLoginEvents naplót. Ez a napló tárolja a hitelesítési eseményeket és állapotokat, beleértve a bejövő identitást és az IP-címet. A beállításjegyzék-hitelesítési hibák naplójának lekérdezése.
Kapcsolódó hivatkozások:
- Diagnosztikai kiértékelési és naplózási naplók
- Tárolóregisztrációs adatbázis – gyakori kérdések
- Az Azure Container Registry ajánlott eljárásai
További lépések
Ha itt nem oldja meg a problémát, tekintse meg az alábbi lehetőségeket.
- A beállításjegyzék egyéb hibaelhárítási témakörei a következők:
- Közösségi támogatási lehetőségek
- Microsoft Q&A
- Támogatási jegy megnyitása – a megadott információk alapján előfordulhat, hogy a beállításjegyzékben a hitelesítési hibák gyors diagnosztikát futtatnak