A beállításjegyzék hálózati problémáinak elhárítása

Ez a cikk segítséget nyújt az Azure-tárolóregisztrációs adatbázis virtuális hálózaton vagy tűzfal vagy proxykiszolgáló mögötti elérésekor felmerülő problémák elhárításában.

Hibajelenségek

Az alábbiak közül egy vagy több is szerepelhet:

• Nem lehet leküldéses vagy lekéréses képeket lekérni, és hibaüzenet jelenik meg dial tcp: lookup myregistry.azurecr.io
• Nem lehet leküldéses vagy lekéréses képeket lekérni, és hibaüzenet jelenik meg Client.Timeout exceeded while awaiting headers
• Nem lehet leküldni vagy lekérni a rendszerképeket, és Azure CLI-hibaüzenet jelenik meg Could not connect to the registry login server
• Nem lehet rendszerképeket lekérni a beállításjegyzékből az Azure Kubernetes Service-be vagy egy másik Azure-szolgáltatásba
• Https-proxy mögött nem lehet hozzáférni egy beállításjegyzékhez, és hibaüzenet Error response from daemon: login attempt failed with status: 403 Forbidden jelenik meg, vagy Error response from daemon: Get <registry>: proxyconnect tcp: EOF Login failed
• Nem lehet konfigurálni a virtuális hálózati beállításokat, és hibaüzenet jelenik meg Failed to save firewall and virtual network settings for container registry
• Nem lehet hozzáférni vagy megtekinteni a beállításjegyzék beállításait az Azure Portalon, vagy kezelni a beállításjegyzéket az Azure CLI használatával
• Nem lehet virtuális hálózati beállításokat vagy nyilvános hozzáférési szabályokat hozzáadni vagy módosítani
• Az ACR-feladatok nem tudnak képeket leküldenni vagy lekérni
• Felhőhöz készült Microsoft Defender nem tud képeket beolvasni a beállításjegyzékben, vagy a vizsgálati eredmények nem jelennek meg a Felhőhöz készült Microsoft Defender
• Hibaüzenet host is not reachable jelenik meg egy privát végponttal konfigurált beállításjegyzék elérésekor.

Causes

• Az ügyfél tűzfala vagy proxyja megakadályozza a hozzáférést – megoldás
• A beállításjegyzék nyilvános hálózati hozzáférési szabályai megakadályozzák a hozzáférést – megoldás
• A virtuális hálózat vagy a privát végpont konfigurációja megakadályozza a hozzáférést – megoldás
• Megpróbál integrálni Felhőhöz készült Microsoft Defender vagy bizonyos egyéb Azure-szolgáltatásokat egy privát végponttal, szolgáltatásvégponttal vagy nyilvános IP-hozzáférési szabályokkal rendelkező beállításjegyzékkel – megoldás

További diagnosztikák

Futtassa az az acr check-health parancsot a beállításjegyzék-környezet állapotáról és opcionálisan a célregisztrációs adatbázishoz való hozzáférésről. Diagnosztizálhat például bizonyos hálózati csatlakozási vagy konfigurációs problémákat.

A parancsok példáiért tekintse meg az Azure Container Registry állapotának ellenőrzését. Ha hibaüzenetet jelentenek, tekintse át a hibahivatkozást és az alábbi szakaszokat az ajánlott megoldásokhoz.

Ha egy integrált beállításjegyzékkel rendelkező Azure Kubernetes-szolgáltatással kapcsolatos problémákat tapasztal, futtassa az az aks check-acr parancsot annak ellenőrzéséhez, hogy az AKS-fürt eléri-e a beállításjegyzéket.

Megjegyzés:

A hálózati kapcsolat néhány tünete akkor is jelentkezhet, ha a beállításjegyzék hitelesítésével vagy engedélyezésével kapcsolatos problémák merülnek fel. Lásd: Beállításjegyzék-bejelentkezés hibaelhárítása.

Lehetséges megoldások

Ügyfél tűzfalhozzáférésének konfigurálása

Ha egy beállításjegyzéket ügyfél tűzfal vagy proxykiszolgáló mögött szeretne elérni, konfiguráljon tűzfalszabályokat a beállításjegyzék nyilvános REST- és adatvégpontjaihoz való hozzáféréshez. Ha a dedikált adatvégpontok engedélyezve vannak, szabályokra van szükség a hozzáféréshez:

• REST-végpont: <registryname>.azurecr.io
• Adatvégpont(ok): <registry-name>.<region>.data.azurecr.io

Georeplikált beállításjegyzék esetén konfigurálja az adatvégponthoz való hozzáférést az egyes regionális replikákhoz.

HTTPS-proxy mögött győződjön meg arról, hogy a Docker-ügyfél és a Docker démon is proxy-viselkedésre van konfigurálva. Ha módosítja a Docker-démon proxybeállításait, mindenképpen indítsa újra a démont.

A ContainerRegistryLoginEvents táblában található beállításjegyzék-erőforrásnaplók segíthetnek diagnosztizálni a blokkolt kapcsolatot.

Kapcsolódó hivatkozások:

• Szabályok konfigurálása egy Azure-tárolóregisztrációs adatbázis tűzfal mögötti eléréséhez
• HTTP-/HTTPS-proxykonfiguráció
• Georeplikáció az Azure Container Registryben
• Az Azure Container Registry monitorozása

A beállításjegyzékhez való nyilvános hozzáférés konfigurálása

Ha az interneten keresztül fér hozzá egy beállításjegyzékhez, győződjön meg arról, hogy a beállításjegyzék engedélyezi a nyilvános hálózati hozzáférést az ügyféltől. Alapértelmezés szerint egy Azure-tárolóregisztrációs adatbázis lehetővé teszi a nyilvános beállításjegyzék végpontjaihoz való hozzáférést az összes hálózatból. A beállításjegyzék korlátozhatja a kijelölt hálózatokhoz vagy a kiválasztott IP-címekhez való hozzáférést.

Ha a beállításjegyzék szolgáltatásvégponttal rendelkező virtuális hálózathoz van konfigurálva, a nyilvános hálózati hozzáférés letiltása a szolgáltatásvégponton keresztüli hozzáférést is letiltja. Ha a beállításjegyzék privát kapcsolattal rendelkező virtuális hálózathoz van konfigurálva, az IP-hálózati szabályok nem vonatkoznak a beállításjegyzék privát végpontjaira.

Kapcsolódó hivatkozások:

• Nyilvános IP-hálózati szabályok konfigurálása
• Csatlakozás privát módon egy Azure-tárolóregisztrációs adatbázisba az Azure Private Link használatával
• Tárolóregisztrációs adatbázishoz való hozzáférés korlátozása szolgáltatásvégpont használatával egy Azure-beli virtuális hálózaton

Virtuális hálózatok hozzáférésének konfigurálása

Győződjön meg arról, hogy a virtuális hálózat privát végponttal van konfigurálva a Private Linkhez vagy egy szolgáltatásvégponthoz (előzetes verzió). Az Azure Bastion-végpont jelenleg nem támogatott.

Ha privát végpont van konfigurálva, győződjön meg arról, hogy a DNS feloldja a beállításjegyzék nyilvános teljes tartománynevét, például myregistry.azurecr.io a beállításjegyzék privát IP-címére.

• Futtassa az az acr check-health parancsot a paraméterrel a --vnet DNS-útválasztás megerősítéséhez a virtuális hálózat privát végpontjához.
• Használjon olyan hálózati segédprogramot, mint például dig a DNS-keresés.nslookup
• Győződjön meg arról, hogy a DNS-rekordok konfigurálva vannak a beállításjegyzék teljes tartománynevéhez és minden adatvégpont teljes tartománynevéhez.

Tekintse át az NSG-szabályokat és a szolgáltatáscímkéket, amelyek a hálózat más erőforrásaiból a beállításjegyzékbe történő forgalom korlátozására szolgálnak.

Ha a beállításjegyzék szolgáltatásvégpontja konfigurálva van, győződjön meg arról, hogy a beállításjegyzékhez olyan hálózati szabály van hozzáadva, amely lehetővé teszi a hozzáférést az adott hálózati alhálózatról. A szolgáltatásvégpont csak a hálózatban lévő virtuális gépekről és AKS-fürtökről támogatja a hozzáférést.

Ha egy másik Azure-előfizetésben lévő virtuális hálózattal szeretné korlátozni a beállításjegyzék-hozzáférést, győződjön meg arról, hogy regisztrálja az erőforrás-szolgáltatót az Microsoft.ContainerRegistry előfizetésben. Regisztrálja az Azure Container Registry erőforrás-szolgáltatóját az Azure Portal, az Azure CLI vagy más Azure-eszközök használatával.

Ha az Azure Firewall vagy egy hasonló megoldás van konfigurálva a hálózaton, ellenőrizze, hogy más erőforrásokból, például egy AKS-fürtből érkező kimenő forgalom engedélyezve van-e a beállításjegyzék-végpontok eléréséhez.

Kapcsolódó hivatkozások:

• Csatlakozás privát módon egy Azure-tárolóregisztrációs adatbázisba az Azure Private Link használatával
• Az Azure privát végpont kapcsolati problémáinak hibaelhárítása
• Tárolóregisztrációs adatbázishoz való hozzáférés korlátozása szolgáltatásvégpont használatával egy Azure-beli virtuális hálózaton
• Kötelező kimenő hálózati szabályok és teljes tartománynevek az AKS-fürtökhöz
• Kubernetes: DNS-feloldás hibakeresése
• Virtual network service tags

Szolgáltatáshozzáférés konfigurálása

Jelenleg a hálózati korlátozásokkal rendelkező tárolóregisztrációs adatbázishoz való hozzáférés nem engedélyezett több Azure-szolgáltatásból:

• Felhőhöz készült Microsoft Defender nem tudja elvégezni a rendszerkép biztonsági réseinek vizsgálatát egy olyan beállításjegyzékben, amely korlátozza a privát végpontokhoz, a kijelölt alhálózatokhoz vagy IP-címekhez való hozzáférést.
• Egyes Azure-szolgáltatások erőforrásai hálózati korlátozásokkal nem tudnak hozzáférni a tárolóregisztrációs adatbázishoz, beleértve a Azure-alkalmazás Szolgáltatást és az Azure Container Instancest.

Ha ezeknek az Azure-szolgáltatásoknak a tárolóregisztrációs adatbázishoz való hozzáférésére vagy integrálására van szükség, távolítsa el a hálózati korlátozást. Távolítsa el például a beállításjegyzék privát végpontjait, vagy távolítsa el vagy módosítsa a beállításjegyzék nyilvános hozzáférési szabályait.

2021 januárjától konfigurálhat egy korlátozott hálózatra korlátozott beállításjegyzéket, hogy engedélyezze a hozzáférést a kiválasztott megbízható szolgáltatásokból.

Kapcsolódó hivatkozások:

• Az Azure Container Registry rendszerképének vizsgálata a Microsoft Defender által tárolóregisztrációs adatbázisokhoz
• Visszajelzés küldése
• A megbízható szolgáltatások biztonságos hozzáférésének engedélyezése a hálózat által korlátozott tárolóregisztrációs adatbázishoz

Speciális hibaelhárítás

Ha az erőforrásnaplók gyűjtése engedélyezve van a beállításjegyzékben, tekintse át a ContainterRegistryLoginEvents naplót. Ez a napló tárolja a hitelesítési eseményeket és állapotokat, beleértve a bejövő identitást és az IP-címet. A beállításjegyzék-hitelesítési hibák naplójának lekérdezése.

Kapcsolódó hivatkozások:

• Diagnosztikai kiértékelési és naplózási naplók
• Tárolóregisztrációs adatbázis – gyakori kérdések
• Az Azure Container Registry azure-beli biztonsági alapkonfigurációja
• Az Azure Container Registry ajánlott eljárásai

További lépések

Ha itt nem oldja meg a problémát, tekintse meg az alábbi lehetőségeket.

• A beállításjegyzék egyéb hibaelhárítási témakörei a következők:
  • Beállításjegyzék-bejelentkezés hibaelhárítása
  • Troubleshoot registry performance
• Közösségi támogatási lehetőségek
• Microsoft Q&A
• Támogatási jegy megnyitása