A beállításjegyzék hálózati problémáinak elhárítása
Ez a cikk segítséget nyújt az Azure-tárolóregisztrációs adatbázis virtuális hálózaton vagy tűzfal vagy proxykiszolgáló mögötti elérésekor felmerülő problémák elhárításában.
Hibajelenségek
Az alábbiak közül egy vagy több is szerepelhet:
- Nem lehet leküldéses vagy lekéréses képeket lekérni, és hibaüzenet jelenik meg
dial tcp: lookup myregistry.azurecr.io
- Nem lehet leküldéses vagy lekéréses képeket lekérni, és hibaüzenet jelenik meg
Client.Timeout exceeded while awaiting headers
- Nem lehet leküldni vagy lekérni a rendszerképeket, és Azure CLI-hibaüzenet jelenik meg
Could not connect to the registry login server
- Nem lehet rendszerképeket lekérni a beállításjegyzékből az Azure Kubernetes Service-be vagy egy másik Azure-szolgáltatásba
- Https-proxy mögött nem lehet hozzáférni egy beállításjegyzékhez, és hibaüzenet
Error response from daemon: login attempt failed with status: 403 Forbidden
jelenik meg, vagyError response from daemon: Get <registry>: proxyconnect tcp: EOF Login failed
- Nem lehet konfigurálni a virtuális hálózati beállításokat, és hibaüzenet jelenik meg
Failed to save firewall and virtual network settings for container registry
- Nem lehet hozzáférni vagy megtekinteni a beállításjegyzék beállításait az Azure Portalon, vagy kezelni a beállításjegyzéket az Azure CLI használatával
- Nem lehet virtuális hálózati beállításokat vagy nyilvános hozzáférési szabályokat hozzáadni vagy módosítani
- Az ACR-feladatok nem tudnak képeket leküldenni vagy lekérni
- Felhőhöz készült Microsoft Defender nem tud képeket beolvasni a beállításjegyzékben, vagy a vizsgálati eredmények nem jelennek meg a Felhőhöz készült Microsoft Defender
- Hibaüzenet
host is not reachable
jelenik meg egy privát végponttal konfigurált beállításjegyzék elérésekor.
Causes
- Az ügyfél tűzfala vagy proxyja megakadályozza a hozzáférést – megoldás
- A beállításjegyzék nyilvános hálózati hozzáférési szabályai megakadályozzák a hozzáférést – megoldás
- A virtuális hálózat vagy a privát végpont konfigurációja megakadályozza a hozzáférést – megoldás
- Megpróbál integrálni Felhőhöz készült Microsoft Defender vagy bizonyos egyéb Azure-szolgáltatásokat egy privát végponttal, szolgáltatásvégponttal vagy nyilvános IP-hozzáférési szabályokkal rendelkező beállításjegyzékkel – megoldás
További diagnosztikák
Futtassa az az acr check-health parancsot a beállításjegyzék-környezet állapotáról és opcionálisan a célregisztrációs adatbázishoz való hozzáférésről. Diagnosztizálhat például bizonyos hálózati csatlakozási vagy konfigurációs problémákat.
A parancsok példáiért tekintse meg az Azure Container Registry állapotának ellenőrzését. Ha hibaüzenetet jelentenek, tekintse át a hibahivatkozást és az alábbi szakaszokat az ajánlott megoldásokhoz.
Ha egy integrált beállításjegyzékkel rendelkező Azure Kubernetes-szolgáltatással kapcsolatos problémákat tapasztal, futtassa az az aks check-acr parancsot annak ellenőrzéséhez, hogy az AKS-fürt eléri-e a beállításjegyzéket.
Megjegyzés:
A hálózati kapcsolat néhány tünete akkor is jelentkezhet, ha a beállításjegyzék hitelesítésével vagy engedélyezésével kapcsolatos problémák merülnek fel. Lásd: Beállításjegyzék-bejelentkezés hibaelhárítása.
Lehetséges megoldások
Ügyfél tűzfalhozzáférésének konfigurálása
Ha egy beállításjegyzéket ügyfél tűzfal vagy proxykiszolgáló mögött szeretne elérni, konfiguráljon tűzfalszabályokat a beállításjegyzék nyilvános REST- és adatvégpontjaihoz való hozzáféréshez. Ha a dedikált adatvégpontok engedélyezve vannak, szabályokra van szükség a hozzáféréshez:
- REST-végpont:
<registryname>.azurecr.io
- Adatvégpont(ok):
<registry-name>.<region>.data.azurecr.io
Georeplikált beállításjegyzék esetén konfigurálja az adatvégponthoz való hozzáférést az egyes regionális replikákhoz.
HTTPS-proxy mögött győződjön meg arról, hogy a Docker-ügyfél és a Docker démon is proxy-viselkedésre van konfigurálva. Ha módosítja a Docker-démon proxybeállításait, mindenképpen indítsa újra a démont.
A ContainerRegistryLoginEvents táblában található beállításjegyzék-erőforrásnaplók segíthetnek diagnosztizálni a blokkolt kapcsolatot.
Kapcsolódó hivatkozások:
- Szabályok konfigurálása egy Azure-tárolóregisztrációs adatbázis tűzfal mögötti eléréséhez
- HTTP-/HTTPS-proxykonfiguráció
- Georeplikáció az Azure Container Registryben
- Az Azure Container Registry monitorozása
A beállításjegyzékhez való nyilvános hozzáférés konfigurálása
Ha az interneten keresztül fér hozzá egy beállításjegyzékhez, győződjön meg arról, hogy a beállításjegyzék engedélyezi a nyilvános hálózati hozzáférést az ügyféltől. Alapértelmezés szerint egy Azure-tárolóregisztrációs adatbázis lehetővé teszi a nyilvános beállításjegyzék végpontjaihoz való hozzáférést az összes hálózatból. A beállításjegyzék korlátozhatja a kijelölt hálózatokhoz vagy a kiválasztott IP-címekhez való hozzáférést.
Ha a beállításjegyzék szolgáltatásvégponttal rendelkező virtuális hálózathoz van konfigurálva, a nyilvános hálózati hozzáférés letiltása a szolgáltatásvégponton keresztüli hozzáférést is letiltja. Ha a beállításjegyzék privát kapcsolattal rendelkező virtuális hálózathoz van konfigurálva, az IP-hálózati szabályok nem vonatkoznak a beállításjegyzék privát végpontjaira.
Kapcsolódó hivatkozások:
- Nyilvános IP-hálózati szabályok konfigurálása
- Csatlakozás privát módon egy Azure-tárolóregisztrációs adatbázisba az Azure Private Link használatával
- Tárolóregisztrációs adatbázishoz való hozzáférés korlátozása szolgáltatásvégpont használatával egy Azure-beli virtuális hálózaton
Virtuális hálózatok hozzáférésének konfigurálása
Győződjön meg arról, hogy a virtuális hálózat privát végponttal van konfigurálva a Private Linkhez vagy egy szolgáltatásvégponthoz (előzetes verzió). Az Azure Bastion-végpont jelenleg nem támogatott.
Ha privát végpont van konfigurálva, győződjön meg arról, hogy a DNS feloldja a beállításjegyzék nyilvános teljes tartománynevét, például myregistry.azurecr.io a beállításjegyzék privát IP-címére.
- Futtassa az az acr check-health parancsot a paraméterrel a
--vnet
DNS-útválasztás megerősítéséhez a virtuális hálózat privát végpontjához. - Használjon olyan hálózati segédprogramot, mint például
dig
a DNS-keresés.nslookup
- Győződjön meg arról, hogy a DNS-rekordok konfigurálva vannak a beállításjegyzék teljes tartománynevéhez és minden adatvégpont teljes tartománynevéhez.
Tekintse át az NSG-szabályokat és a szolgáltatáscímkéket, amelyek a hálózat más erőforrásaiból a beállításjegyzékbe történő forgalom korlátozására szolgálnak.
Ha a beállításjegyzék szolgáltatásvégpontja konfigurálva van, győződjön meg arról, hogy a beállításjegyzékhez olyan hálózati szabály van hozzáadva, amely lehetővé teszi a hozzáférést az adott hálózati alhálózatról. A szolgáltatásvégpont csak a hálózatban lévő virtuális gépekről és AKS-fürtökről támogatja a hozzáférést.
Ha egy másik Azure-előfizetésben lévő virtuális hálózattal szeretné korlátozni a beállításjegyzék-hozzáférést, győződjön meg arról, hogy regisztrálja az erőforrás-szolgáltatót az Microsoft.ContainerRegistry
előfizetésben. Regisztrálja az Azure Container Registry erőforrás-szolgáltatóját az Azure Portal, az Azure CLI vagy más Azure-eszközök használatával.
Ha az Azure Firewall vagy egy hasonló megoldás van konfigurálva a hálózaton, ellenőrizze, hogy más erőforrásokból, például egy AKS-fürtből érkező kimenő forgalom engedélyezve van-e a beállításjegyzék-végpontok eléréséhez.
Kapcsolódó hivatkozások:
- Csatlakozás privát módon egy Azure-tárolóregisztrációs adatbázisba az Azure Private Link használatával
- Az Azure privát végpont kapcsolati problémáinak hibaelhárítása
- Tárolóregisztrációs adatbázishoz való hozzáférés korlátozása szolgáltatásvégpont használatával egy Azure-beli virtuális hálózaton
- Kötelező kimenő hálózati szabályok és teljes tartománynevek az AKS-fürtökhöz
- Kubernetes: DNS-feloldás hibakeresése
- Virtual network service tags
Szolgáltatáshozzáférés konfigurálása
Jelenleg a hálózati korlátozásokkal rendelkező tárolóregisztrációs adatbázishoz való hozzáférés nem engedélyezett több Azure-szolgáltatásból:
- Felhőhöz készült Microsoft Defender nem tudja elvégezni a rendszerkép biztonsági réseinek vizsgálatát egy olyan beállításjegyzékben, amely korlátozza a privát végpontokhoz, a kijelölt alhálózatokhoz vagy IP-címekhez való hozzáférést.
- Egyes Azure-szolgáltatások erőforrásai hálózati korlátozásokkal nem tudnak hozzáférni a tárolóregisztrációs adatbázishoz, beleértve a Azure-alkalmazás Szolgáltatást és az Azure Container Instancest.
Ha ezeknek az Azure-szolgáltatásoknak a tárolóregisztrációs adatbázishoz való hozzáférésére vagy integrálására van szükség, távolítsa el a hálózati korlátozást. Távolítsa el például a beállításjegyzék privát végpontjait, vagy távolítsa el vagy módosítsa a beállításjegyzék nyilvános hozzáférési szabályait.
2021 januárjától konfigurálhat egy korlátozott hálózatra korlátozott beállításjegyzéket, hogy engedélyezze a hozzáférést a kiválasztott megbízható szolgáltatásokból.
Kapcsolódó hivatkozások:
- Az Azure Container Registry rendszerképének vizsgálata a Microsoft Defender által tárolóregisztrációs adatbázisokhoz
- Visszajelzés küldése
- A megbízható szolgáltatások biztonságos hozzáférésének engedélyezése a hálózat által korlátozott tárolóregisztrációs adatbázishoz
Speciális hibaelhárítás
Ha az erőforrásnaplók gyűjtése engedélyezve van a beállításjegyzékben, tekintse át a ContainterRegistryLoginEvents naplót. Ez a napló tárolja a hitelesítési eseményeket és állapotokat, beleértve a bejövő identitást és az IP-címet. A beállításjegyzék-hitelesítési hibák naplójának lekérdezése.
Kapcsolódó hivatkozások:
- Diagnosztikai kiértékelési és naplózási naplók
- Tárolóregisztrációs adatbázis – gyakori kérdések
- Az Azure Container Registry azure-beli biztonsági alapkonfigurációja
- Az Azure Container Registry ajánlott eljárásai
További lépések
Ha itt nem oldja meg a problémát, tekintse meg az alábbi lehetőségeket.
- A beállításjegyzék egyéb hibaelhárítási témakörei a következők:
- Közösségi támogatási lehetőségek
- Microsoft Q&A
- Támogatási jegy megnyitása