Bérlőközi Customer-Managed kulcs (CMK) hibaelhárítási útmutatója

A KÖVETKEZŐKRE VONATKOZIK: NoSQL MongoDB Cassandra Gremlin Asztal

Ez a cikk segít a bérlők közötti CMK-hibák elhárításában

Nyilvános dokumentációs hivatkozások

• A Cosmos DB ügyfél által felügyelt kulcsdokumentációja:
• A Cosmos DB felügyelt identitás (MSI) dokumentációja:

A Cosmos DB-fiók visszavonási állapotban van

• Törölték a Key Vaultot?
  • Ha az IGEN a válasz, állítsa helyre a kulcstartó tárolót a lomtárból.
• Le van tiltva a Key Vault kulcs?
  • ha IGEN, engedélyezze újra a kulcsot.
• Ellenőrizze a Key Vault – Hálózatkezelés –>> A tűzfalak és a virtuális hálózatok "Nyilvános hozzáférés engedélyezése az összes hálózatból" vagy a "Nyilvános hozzáférés engedélyezése adott virtuális hálózatokból és IP-címekről" értékre vannak beállítva. Ha később van kiválasztva, ellenőrizze, hogy a tűzfal engedélyezési listája megfelelően van-e konfigurálva, és a "Megbízható Microsoft-szolgáltatások megkerülhetik ezt a tűzfalat" beállítás van kiválasztva.
• Ellenőrizze, hogy a Key Vault nem tartalmazza-e a Wrap/Unwrap/Get engedélyt a hozzáférési szabályzatban a Cosmos DB ügyfél által felügyelt kulcsdokumentációját követve :
  • Ha IGEN, engedélyezze újra a hozzáférést
• Abban az esetben, ha az alapértelmezett identitásban használt több-bérlős alkalmazást tévesen törölték
  • Ha IGEN, kövesse a visszaállítási alkalmazás dokumentációját az alkalmazás visszaállításához.
• Abban az esetben, ha az alapértelmezett identitásban használt UserAssigned identitást tévesen törölték
  • Ha IGEN, mivel a UserAssigned identitás nem állítható helyre a törlés után. Az ügyfélnek új UserAssigned Identity-et kell létrehoznia a db-fiókhoz, majd pontosan ugyanazokat a konfigurációs lépéseket kell követnie a kiépítés során, mint például a FedereatedCrdential beállítása több-bérlős alkalmazással. Végül az ügyfélnek frissítenie kell a db-fiók alapértelmezett identitását az új UserAssigned identitással.
    • Példa: _az cosmosdb update --resource-group \<rg\> --name \<dbname\> --default-identity "UserAssignedIdentity=\<New\_UA\_Resource\_ID1\>&FederatedClientId=00000000-0000-0000-0000-000000000000"_.
    • Az ügyfélnek törölnie kell a régi UserAssigned identitást is az Azure-ban törölt Cosmos DB-fiókból. Mintaparancs: az cosmosdb identity remove --resource-group \<rg\> --name \<dbname\> --identities \<OLD\_UA\_Resource\_ID\>
  • Várjon 1 órát, hogy a fiók kiléphessen a visszavont állapotból.
  • Próbáljon meg hozzáférni a Cosmos DB adatsíkhoz SDK/REST API-kéréssel vagy az Azure Portal Adatkezelőjének használatával egy dokumentum megtekintéséhez.

1. Alapszintű vezérlősík létrehozási és frissítési esetek hibái

---

1.1

---

Forgatókönyv

Az ügyfél létrehoz egy CMK db-fiókot az Azure CLI-/ARM-sablonon keresztül, a Key Vault tűzfalkonfigurációjának "Megbízható Microsoft-szolgáltatások engedélyezése a tűzfal megkerüléséhez" beállítás nincs bejelölve.

Hibaüzenet

Database account creation failed. Operation Id: 00000000-0000-0000-0000-000000000000, Error: {\"error\":{\"code\":\"Forbidden\",\"message\":\"Client address is not authorized and caller was ignored **because bypass is set to None** \\r\\nClient address: xx.xx.xx.xx\\r\\nCaller: name=Unknown/unknown;appid=00001111-aaaa-2222-bbbb-3333cccc4444;oid=aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb\\r\\nVault: mykeyvault;location=eastus\",\"innererror\":{\"code\":\" **ForbiddenByFirewall** \"}}}\r\nActivityId: 00000000-0000-0000-0000-000000000000,

Állapotkód

Tiltott (403)

Kiváltó ok

A Key Vault nincs megfelelően konfigurálva a virtuális hálózat/megbízható szolgáltatás megkerülése engedélyezéséhez. A rendelkezés észleli, hogy nem fér hozzá a kulcs tárhoz, ezért hibát jelez. | | Kockázatcsökkentés | Nyissa meg az Azure Portalt –> Key Vault –> Hálózatkezelés –> Tűzfalak és virtuális hálózatok –> Győződjön meg arról, hogy a "Nyilvános hozzáférés engedélyezése adott virtuális hálózatokból és IP-címekről" jelölőnégyzet be van jelölve, és a "Megbízható Microsoft-szolgáltatások engedélyezése a tűzfal megkerüléséhez" jelölőnégyzet be van jelölve –> Mentés

---

1.2

---

Forgatókönyv

1. Az ügyfél megpróbál egy CMK-fiókot létrehozni egy olyan Key Vault kulcs URI-val, amely nem létezik a bérlőben.
2. Az ügyfél megpróbál egy keresztbérlői CMK-fiókot létrehozni, ahol a db-fiók és a kulcstár különböző bérlőben található, de az ügyfél elfelejtette befoglalni a "&FederatedClientId=<00000000-0000-0000-0000-000000000000>" értéket az alapértelmezett identitásba.

Például: az cosmosdb create -n mydb -g myresourcegroup --key-uri "https://myvault.vault.azure.net/keys/mykey" --assign-identity "/subscriptions/aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb/resourceGroups/myresourcegroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myuserassignedidentity" --default-identity "UserAssignedIdentity=/subscriptions/aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb/resourceGroups/myresourcegroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myuserassignedidentity"

A "&federatedClientId=<00000000-0000-0000-0000-00000000000>" hiányzik az alapértelmezett identitásból.

3. Az ügyfél úgy próbál létrehozni egy bérlőközi CMK-fiókot, hogy az adatbázisfiók és a kulcstár más bérlőben van, az alapértelmezett azonosítóban "&FederatedClientId=<00000000-0000-0000-0000-000000000000>" szerepel. A több-bérlős alkalmazás azonban nem létezik vagy törölve lett.

Hibaüzenet

Database account creation failed. Operation Id: 00000000-0000-0000-0000-000000000000, Error: Error contacting the Azure Key Vault resource. Please try again.

Állapotkód

SzolgáltatásNemElérhető(503)

Kiváltó ok

Az 1. forgatókönyvben: Várt

A 2. forgatókönyvben: a "&FederatedClientId=<00000000-0000-0000-0000-000000000000>" kifejezés hiányzik, ami miatt a rendszer azt gondolja, hogy a kulcstár ugyanabban a bérlőben van, mint az adatbázis fiók. Azonban előfordulhat, hogy az ügyfélnek nincs ugyanilyen nevű kulcstár az adott bérlőben, ami ezt a hibát eredményezi.

A 3. forgatókönyvben: A több-bérlős alkalmazás nem található vagy törölve.

Enyhítés

1. forgatókönyv esetén: az ügyfélnek követnie kell az Azure Key Vault-példány konfigurálását ismertető szakaszt az ügyfél által felügyelt kulcsok beállításának dokumentációjában a Key Vault key Uri-jának lekéréséhez

A 2. forgatókönyv esetében az ügyfélnek hozzá kell adnia a hiányzó "&FederatedClientId=<00000000-0000-0000-00000000000>" értéket az alapértelmezett identitáshoz.

3. forgatókönyv esetén az ügyfélnek a megfelelő FederatedClientId azonosítót kell használnia, vagy a több-bérlős alkalmazást a visszaállítási dokumentáció szerint kell visszaállítaniarestore application documentation

---

1.3

---

Forgatókönyv

Az ügyfél megpróbál létrehozni/frissíteni egy CMK-fiókot érvénytelen Key Vault-kulcs URI-val.

Hibaüzenet

Provided KeyVaultKeyUri http://mykeyvault.vault1.azure2.net3/keys4/mykey is Invalid. ActivityId: 00000000-0000-0000-0000-000000000000, Microsoft.Azure.Documents.Common/2.14.0

Állapotkód

BadRequest(400)

Kiváltó ok

A bemeneti Key Vault kulcs URI-ja érvénytelen.

Enyhítés

Az ügyfélnek követnie kell az ügyfél által felügyelt kulcsok beállításának dokumentációját , hogy lekérje a megfelelő Key Vault-kulcs URI-ját a portálról.

---

1.4

---

Forgatókönyv

1. Az ügyfél "keyVaultKeyUri" használatával próbál CMK-fiókot létrehozni, miközben a "2019-12-12" API-verziónál kevesebbet használ.
2. Az ügyfél frissíti a CMK-fiók "keyVaultKeyUri" mezőjét, miközben a használt API-verzió kisebb, mint "2019-12-12".
3. Az ügyfél null értékűre próbálja frissíteni a "keyVaultKeyUri" értéket a meglévő CMK-fiókon a nem null értékű "keyVaultKeyUri" értékkel. (CMK-fiók átalakítása nem-CMK fiókká)

Hibaüzenet

ActivityId: 00000000-0000-0000-0000-000000000000

Állapotkód

BadRequest(400)

Kiváltó ok

1. az ügyfél a KeyVaultKeyUri frissítésekor a "2019-12-12" alatti API-verziót használja.
2. A CMK-fiók konvertálása nem CMK-fiókra jelenleg nem támogatott.

Enyhítés

N/A, jelenleg nem támogatott.

---

1.5

---

Forgatókönyv

Az ügyfél megpróbálja frissíteni a visszavont állapotú Cosmos DB CMK-fiókot. Figyelje meg, hogy az ügyfél frissítése nem frissíti az alapértelmezett identitást, és nem rendeli hozzá/nem rendeli hozzá a felügyeltszolgáltatás-identitást.

Hibaüzenet

No Update is allowed on Database Account with Customer Managed Key in Revoked Status
ActivityId: 00000000-0000-0000-0000-000000000000, Microsoft.Azure.Documents.Common/2.14.0

Állapotkód

BadRequest(400)

Kiváltó ok

A visszavonási állapot során csak az alapértelmezett identitás frissítése vagy a felügyelt szolgáltatás identitásának hozzárendelése/hozzárendelése engedélyezett a fiókon. Az egyéb frissítések mindaddig tilosak, amíg a db-fiók vissza nem áll a Visszavonás állapotból.

Enyhítés

Az ügyfélnek a "Kulcstár visszavont állapotának hibaelhárítási útmutatóját" kell követnie a kulcstár-hozzáférés visszaállításához.

---

1.6

---

Forgatókönyv

Az ügyfél egy CMK db-fiókot próbál létrehozni, amelynek a SystemAssigned az alapértelmezett identitása.

Mintaparancs: az cosmosdb create -n mydb -g myresourcegroup --key-uri "https://myvault.vault.azure.net/keys/mykey" --assign-identity "[system]" --default-identity "SystemAssignedIdentity&FederatedClientId=00000000-0000-0000-0000-000000000000" --backup-policy-type Continuous

Hibaüzenet

Database account creation failed. Operation Id: 00000000-0000-0000-0000-000000000000, Error: Updating default identity not allowed. Cannot set SystemAssignedIdentity as the default identity during provision. ActivityId: 00000000-0000-0000-0000-000000000000

Állapotkód

BadRequest(400)

Kiváltó ok

A systemAssigned identitás alapértelmezett identitásként jelenleg nem támogatott a db-fiók létrehozásakor. A SystemAssigned identitás alapértelmezett identitásként csak akkor támogatott, ha az ügyfél az alapértelmezett identitást SystemAssigned identitásra frissíti, és a kulcstár és a db-fiók ugyanabban a bérlőben található.

Enyhítés

Ha egy ügyfél CMK-fiókot szeretne létrehozni folyamatos biztonsági mentéssel / Synapse linkkel / Teljes hűségű változáscsatornával / Materializált nézet engedélyezésével, akkor a UserAssigned identitás jelenleg az egyetlen támogatott alapértelmezett identitás. Figyelje meg, hogy a SystemAssignedIdentity mint alapértelmezett identitás csak akkor támogatott, ha az ügyfél frissíti az alapértelmezett identitást a SystemAssigned identitásra, és a kulcstartónak és a db-fióknak ugyanabban a bérlőben kell lennie.

Mintaparancs a db-fiók UserAssigned identitással való létrehozásához. (Lásd: "Bérlőközi CMK-fiók kiépítése UserAssigned Identity használatával")

---

1.7

---

Forgatókönyv

Egy ügyfél megpróbálja frissíteni egy meglévő bérlőközi CMK adatbázisfiók KeyVaultKeyUri-ját egy új kulcstartóra, amelynek más bérlője van, mint a régi Key Vaultnak.

Hibaüzenet

The tenant for the new Key Vault 00000000-0000-0000-0000-000000000000 does not match the one in the old Key Vault 00000000-0000-0000-0000-000000000001. New Key Vaults must be on the same tenant as the old ones.

Állapotkód

BadRequest(400)

Kiváltó ok

Miután az alapértelmezett identitást a "FederatedClientId" típusú bérlők közötti értékre állítottuk, csak akkor engedélyezzük a Key Vault kulcs URI-jának frissítését, ha az új ugyanazon bérlőhöz tartozik, mint a régi. Biztonsági okokból nem engedélyezzük a key vault kulcs URI-jének frissítését egy másik bérlőre.

Enyhítés

N/A, nem támogatott

---

1.8

---

Forgatókönyv

Az ügyfél megpróbálja módosítani az alapértelmezett identitást a "UserAssignedIdentity=<UA_Resource_ID>&FederatedClientId=00000000-0000-0000-0000-000000000000" értékről a "SystemAssignedIdentity&FederatedClientId=00000000-0000-0000-0000-000000000000" értékre egy meglévő bérlőközi CMK-fiókon.

Hibaüzenet

Cross-tenant CMK is not supported with System Assigned identities as Default identities. Please use a User Assigned Identity instead.

Állapotkód

BadRequest(400)

Kiváltó ok

A SystemAssigned identitás jelenleg nem támogatott a keresztbérlői CMK-szcenárióban.

Enyhítés

N/A, nem támogatott

---

1.9

---

Forgatókönyv

• Az ügyfél egy bérlőközi CMK-fiókot próbál kiépíteni alapértelmezett identitásként a FirstPartyIdentity azonosítóval.

• Az ügyfél megpróbálja módosítani az alapértelmezett identitást a "UserAssignedIdentity=<UA_Resource_ID>&FederatedClientId=00000000-0000-0000-0000-00000000000" értékről egy létévő keresztbérlői CMK-fiók "FirstPartyIdentity" értékére.

Hibaüzenet

Cross-tenant CMK is not supported with First Party identities as Default identities. Please use a User Assigned identity instead

Állapotkód

BadRequest(400)

Kiváltó ok

Az első fél identitás jelenleg nem támogatott a bérlők közötti CMK-forgatókönyvben.

Enyhítés

N/A, nem támogatott

---

2. Adatsíkkal kapcsolatos hibaesetek

---

2.1

---

Forgatókönyv

Az ügyfél az SDK-n/DocumentDBStudio/Portal DataExplorerén keresztül próbálja lekérdezni az SQL-dokumentumokat /Table Entity/Graph Vertex a Cosmos DB DataPlane-on keresztül, amíg a db-fiók visszavonási állapotban van.

Hibaüzenet

{"Errors":["Request is blocked due to Customer Managed Key not being accessible."]} ActivityId: 00000000-0000-0000-0000-000000000000, Request URI: /apps/00000000-0000-0000-0000-000000000000/services/00000000-0000-0000-0000-000000000000/partitions/00000000-0000-0000-0000-000000000000/replicas/1234567p/, RequestStats: Microsoft.Azure.Cosmos.Tracing.TraceData.ClientSideRequestStatisticsTraceDatum, SDK

Állapotkód

Tiltott (403)

Kiváltó ok

A db-fiók visszavonási állapotba kerülésének több oka lehet; tekintse meg a „Key Vault visszavonási állapotának hibaelhárítási útmutató” „hat ellenőrzés” részét.

Enyhítés

Az ügyfélnek követnie kell a "Key Vault visszavonási állapot hibaelhárítási útmutatót" az állapot visszavonásából való helyreállításhoz.

---

2.2

---

Forgatókönyv

Az ügyfél a Cosmos DB DataPlane-on keresztül próbálja lekérdezni a Cassandra-sort az SDK/DocumentDBStudio/Portal DataExplorerén keresztül, amíg a db-fiók visszavonási állapotban van.

Hibaüzenet

{"readyState":4,"responseText":"","status":401,"statusText":"error"}

Állapotkód

Nem engedélyezett (401)

Kiváltó ok

A db-fiók visszavonási állapotba kerülésének több oka lehet; tekintse meg a „Key Vault visszavonási állapotának hibaelhárítási útmutató” „hat ellenőrzés” részét.

Enyhítés

Az ügyfélnek követnie kell a "Key Vault visszavonási állapot hibaelhárítási útmutatót" az állapot visszavonásából való helyreállításhoz.

---

2.3

---

Forgatókönyv

Az ügyfél próbálja lekérdezni a Mongo API-t a Cosmos DB DataPlane-on keresztül az SDK, a DocumentDBStudio vagy a Portal DataExplorer segítségével, miközben az adatbázis-fiók visszavonási állapotban van.

Hibaüzenet

Error querying documents: An exception occurred while opening a connection to the server., Payload: {<redacted>}

Állapotkód

Belső kiszolgálóhiba (500)

Kiváltó ok

A db-fiók visszavonási állapotba kerülésének több oka lehet; tekintse meg a „Key Vault visszavonási állapotának hibaelhárítási útmutató” „hat ellenőrzés” részét.

Enyhítés

Az ügyfélnek követnie kell a "Key Vault visszavonási állapot hibaelhárítási útmutatót" az állapot visszavonásából való helyreállításhoz.

---

2.4

---

Forgatókönyv

Az ügyfél a Cosmos DB DataPlane-on keresztül próbál gyűjteményt/dokumentumokat létrehozni/módosítani (vagy más elnevezést az API-tól függően) az SDK/DocumentDBStudio/Portal DataExplorer használatával, amíg a db-fiók visszavonási állapotban van.

Hibaüzenet

Request timed out.

Állapotkód

Kérelem időtúllépés (408)

Kiváltó ok

A db-fiók visszavonási állapotba kerülésének több oka lehet; tekintse meg a „Key Vault visszavonási állapotának hibaelhárítási útmutató” „hat ellenőrzés” részét.

Enyhítés

Az ügyfélnek követnie kell a "Key Vault visszavonási állapot hibaelhárítási útmutatót" az állapot visszavonásából való helyreállításhoz.

---

3. Cosmos DB bérlők közötti CMK folyamatos biztonsági mentéssel / Azure Synapse Link / Teljes hűségű változáscsatorna / Materializált nézet

---

3.1

---

Forgatókönyv

1. Az ügyfelek megpróbálnak létrehozni egy db-fiókot folyamatos biztonsági mentési móddal és több írási hely engedélyezésével
2. Az ügyfelek megpróbálják engedélyezni a folyamatos biztonsági mentési módot a meglévő adatbázisfiókon, ahol több írási hely is engedélyezve van
3. Az ügyfelek több írási helyet is engedélyeznek a meglévő db-fiókban, és engedélyezve van a folyamatos biztonsági mentési mód.

Hibaüzenet

Continuous backup mode and multiple write locations cannot be enabled together for a global database account
ActivityId: 00000000-0000-0000-0000-000000000000

Állapotkód

BadRequest(400)

Kiváltó ok

A folyamatos biztonsági mentési mód és a több írási hely együttesen nem engedélyezhető

Enyhítés

N/A, jelenleg nem támogatott.

---

3.2

---

Forgatókönyv

1. Az ügyfél létrehoz egy CMK db-fiókot folyamatos biztonsági mentéssel / Azure Synapse Link / magas hűségű változáscsatornával / anyagi nézettel, az Elsődleges fél azonosítót alapértelmezett identitásként használva.
2. Az ügyfél engedélyezi a folyamatos biztonsági mentést / Azure Synapse Link / teljes hűségű változáskövetést / anyagi nézetet egy meglévő fiókon, amelynek alapértelmezett identitása a First Party.

Mintaparancs: az cosmosdb create -n mydb -g myresourcegroup --key-uri "https://myvault.vault.azure.net/keys/mykey" --assign-identity "[system]" --default-identity "FirstPartyIdentity" --backup-policy-type Continuous

Hibaüzenet

Setting Non-FPI default identity is required for dedicated storage account features. Please set a valid System or User Assigned Identity to default and retry the request.\r\nActivityId: 00000000-0000-0000-0000-000000000000

Állapotkód

BadRequest(400)

Kiváltó ok

A Folyamatos biztonsági mentés, az Azure Synapse Link, a Teljes hűség változáscsatorna és a Materializált nézet funkciók speciális tárfiókot igényelnek, amely nem támogatja a FirstPartyIdentity használatát alapértelmezett identitásként.

Enyhítés

Ha az ügyfél folyamatos biztonsági mentéssel, Synapse-linkkel, teljes hűségű változáscsatornával vagy anyagiasított nézettel szeretne CMK-fiókot létrehozni, akkor a UserAssigned identitás jelenleg az egyetlen támogatott alapértelmezett identitás. Vegye figyelembe, hogy a SystemAssigned identitás mint alapértelmezett identitás csak akkor támogatott, ha az ügyfél az alapértelmezett identitást SystemAssigned identitásra frissíti, és a kulcstartárnak és a db-fióknak ugyanabban a bérlőben kell lennie.

Mintaparancs a db-fiók UserAssigned identitással való létrehozásához. az cosmosdb create -n mydb -g myresourcegroup --key-uri "https://myvault.vault.azure.net/keys/mykey" --assign-identity "/subscriptions/aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb/resourceGroups/myresourcegroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myuserassignedidentity" --default-identity "UserAssignedIdentity=/subscriptions/aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb/resourceGroups/myresourcegroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myuserassignedidentity&FederatedClientId=00000000-0000-0000-0000-000000000000"

---

3.3

---

Forgatókönyv

Az ügyfél megpróbálja a CMK-t engedélyezni a meglévő, nem CMK-fiókon, ahol már engedélyezve van a folyamatos biztonsági mentés, a Synapse-hivatkozás, a teljes hűségű változáscsatorna és a materializált nézet.

Hibaüzenet

Customer Managed Key enablement on an existing Analytical Store/Continuous Backup/Materialized View/Full Fidelity Change Feed enabled Account is not supported ActivityId: 00000000-0000-0000-0000-000000000000

Állapotkód

BadRequest(400)

Kiváltó ok

A CMK engedélyezése meglévő, nem CMK-fiókon, ahol már engedélyezett a folyamatos biztonsági mentés, az Azure Synapse Link, a teljes hűségű változáscsatorna és a materializált nézet, jelenleg fejlesztés alatt áll, és még nem támogatott.

Enyhítés

N/A, jelenleg nem támogatott.

---

3.4

---

Forgatókönyv

Az ügyfél megpróbálja kikapcsolni az Azure Synapse Linket (más néven elemzési tárterületet) azon meglévő db-fiókokon, amelyeken már engedélyezve van az Azure Synapse Link.

Hibaüzenet

EnableAnalyticalStorage cannot be disabled once it is enabled on an account.\r\nActivityId: 00000000-0000-0000-0000-000000000000, Microsoft.Azure.Documents.Common/2.14.0

Állapotkód

BadRequest(400)

Kiváltó ok

Ma az Azure Synapse Link bekapcsolás után nem kapcsolható ki.

Enyhítés

N/A, jelenleg nem támogatott.

---

3.5

---

Forgatókönyv

Az ügyfél megpróbálja kikapcsolni a folyamatos biztonsági mentési módot, más néven időponthoz kötött visszaállítást (PITR) azon meglévő adatbázisfiókokon, amelyeken már engedélyezve van a folyamatos biztonsági mentési mód.

Hibaüzenet

Continuous backup mode cannot be disabled once it is enabled on the account.\\r\\nActivityId: 00000000-0000-0000-0000-000000000000, Microsoft.Azure.Documents.Common/2.14.0\

Állapotkód

BadRequest(400)

Kiváltó ok

Ma a folyamatos biztonsági mentési mód, miután be van kapcsolva, nem kapcsolható ki.

Enyhítés

N/A, jelenleg nem támogatott.

---

3.6

---

Forgatókönyv

Az ügyfél megpróbálja kikapcsolni a Materialized View funkciót olyan meglévő db-fiókokon, amelyeken már engedélyezve van a Materialized Nézet.

Hibaüzenet

EnableMaterializedViews cannot be disabled once it is enabled on an account.\r\nActivityId: 00000000-0000-0000-0000-000000000000

Állapotkód

BadRequest(400)

Kiváltó ok

Ma a Materialized View bekapcsolás után nem kapcsolható ki.

Enyhítés

N/A, jelenleg nem támogatott.

---

3.7

---

Forgatókönyv

Az ügyfelek megpróbálják bármilyen más beállítással engedélyezni a folyamatos biztonsági mentési módot. Például: az cosmosdb update -n mydb -g myresourcegroup --backup-policy-type Continuous --enable-analytical-storage

Hibaüzenet

Cannot update continuous backup mode and other properties at the same time. ActivityId: 00000000-0000-0000-0000-000000000000

Állapotkód

BadRequest(400)

Kiváltó ok

A folyamatos biztonsági mentési mód engedélyezése a meglévő fiók bármely más tulajdonságával nem támogatott.

Enyhítés

Engedélyezze a folyamatos biztonsági mentési módot a meglévő fiók egyéb tulajdonságai nélkül.

---

3.8

---

Forgatókönyv

Az ügyfél olyan CMK-fiókot próbál létrehozni, amelyen engedélyezve van a folyamatos biztonsági mentés (más néven PITR) és az Azure Synapse Link (más néven elemzési tár).

Hibaüzenet

Continuous backup mode cannot be enabled together with Storage Analytics feature.

Állapotkód

BadRequest(400)

Kiváltó ok

A folyamatos biztonsági mentés (más néven PITR) és az Azure Synapse Link (más néven elemzési tár) nem engedélyezhető egyszerre a létrehozás során. Az ügyfél azonban engedélyezheti az Azure Synapse Linket egy meglévő db-fiókon, amelyen engedélyezve van a folyamatos biztonsági mentés.

Enyhítés

N/A, jelenleg nem támogatott.

---

3.9

---

Forgatókönyv

Az ügyfél megpróbálja létrehozni a CMK-fiókot a teljes hűség változáscsatorna engedélyezésével.

Hibaüzenet

Customer Managed Key and Full Fidelity Change Feed cannot be enabled together for a global database account\r\nActivityId: 00000000-0000-0000-0000-000000000000

Állapotkód

BadRequest(400)

Kiváltó ok

Az ügyfél által felügyelt kulcs és a teljes hűség változáscsatorna jelenleg nem engedélyezhető együtt egy globális adatbázisfiókhoz.

Enyhítés

N/A, jelenleg nem támogatott.

---

3.10

---

Forgatókönyv

Az ügyfél megpróbálja engedélyezni a Materialized View szolgáltatást egy meglévő db-fiókon, amelyen már engedélyezve van a folyamatos biztonsági mentési mód.

Hibaüzenet

Cannot enable Materialized View when continuous backup mode is already enabled.\r\nActivityId: 00000000-0000-0000-0000-000000000000

Állapotkód

BadRequest(400)

Kiváltó ok

a Materialized View engedélyezése, ha a folyamatos biztonsági mentési mód már engedélyezve van, nem támogatott.

Enyhítés

N/A, jelenleg nem támogatott.

---

3.11

---

Forgatókönyv

Az ügyfél megpróbálja engedélyezni a folyamatos biztonsági mentési módot egy meglévő fiókon, amelyen engedélyezve van a Materialized View.

Hibaüzenet

Cannot enable continuous backup mode when Materialized View is already enabled.\r\nActivityId: 00000000-0000-0000-0000-000000000000

Állapotkód

BadRequest(400)

Kiváltó ok

A folyamatos biztonsági mentési mód nem engedélyezhető, ha a Materialized Nézet már engedélyezve van

Enyhítés

N/A, jelenleg nem támogatott.

---

3.12

---

Forgatókönyv

Az ügyfél megpróbálja engedélyezni a teljes hűség változáscsatornát egy meglévő fiókon, amelyen engedélyezve van a Materialized View.

Hibaüzenet

Cannot enable full fidelity change feed when materialized view is already enabled.\r\nActivityId: 00000000-0000-0000-0000-000000000000

Állapotkód

BadRequest(400)

Kiváltó ok

A teljes pontosságú változásfeed nem engedélyezhető, ha a materializált nézet már engedélyezve van

Enyhítés

N/A, jelenleg nem támogatott.

---

4. Cosmos DB Multi-API kompatibilitás a folyamatos biztonsági mentéssel / Azure Synapse Link / Teljes hűségű változáscsatorna / Materializált nézet hibakezelési esetek

---

4.1

---

Forgatókönyv

1. Mongo/Gremlin/Table CMK adatbázis-fiókok beállítása anyagolt nézetek engedélyezésével.
2. MaterializedViews engedélyezése Mongo/Gremlin/Table CMK db-fiókokon.

Hibaüzenet

MaterializedViews is not supported on this account type.\r\nActivityId: 00000000-0000-0000-0000-000000000000

Állapotkód

BadRequest(400)

Kiváltó ok

Csak az SQL és a Cassandra API mód kompatibilis a Materialized Nézettel. A Mongo, Gremlin és Table API jelenleg nem támogatott.

Enyhítés

1. CmK db-fiók kiépítése materializált nézetekkel, amelyek csak SQL és Cassandra API használatával engedélyezettek.
2. Csak SQL-vel és Cassandra API-val rendelkező CMK-fiókok materializált nézeteinek engedélyezése.

---

4.2

---

Forgatókönyv

1. Az ügyfél létrehoz egy CMK db-fiókot a Cassandra API használatával, amelyen engedélyezve van a folyamatos biztonsági mentési mód.
2. Az ügyfél a Cassandra API használatával engedélyezi a folyamatos biztonsági mentési módot EGY CMK db-fiókon.

Hibaüzenet

Continuous backup mode cannot be enabled together with Cassandra database account\r\nActivityId: e2b1b7c8-211a-4fa5-bd9c-253e6c65d6f0, Microsoft.Azure.Documents.Common/2.14.0

Állapotkód

BadRequest(400)

Kiváltó ok

A folyamatos biztonsági mentési mód nem engedélyezhető a Cassandra-adatbázissal együtt

Enyhítés

Jelenleg nem elérhető, mától nem támogatott.

---

4.3

---

Forgatókönyv

1. Az ügyfél a Gremlin V1 és a Folyamatos biztonsági mentés mód engedélyezésével is megpróbál db-fiókot létrehozni.
2. Az ügyfél a Gremlin API-val próbálja engedélyezni a folyamatos biztonsági mentési módot a meglévő db-fiókon.

Hibaüzenet

Continuous backup mode cannot be enabled together with Gremlin V1 enabled database account\\r\\nActivityId: 00000000-0000-0000-0000-000000000000

Állapotkód

BadRequest(400)

Kiváltó ok

A folyamatos biztonsági mentési mód jelenleg nem engedélyezhető a Gremlin V1-fiókkal együtt.

Enyhítés

Várt viselkedés.

---

4.4

---

Forgatókönyv

1. Az ügyfél a Table API-val és a folyamatos biztonsági mentési móddal is megpróbál db-fiókot létrehozni.
2. Az ügyfél a Table API-val próbálja engedélyezni a folyamatos biztonsági mentési módot a meglévő db-fiókon.

Hibaüzenet

Continuous backup mode cannot be enabled together with table enabled database account\\r\\nActivityId: 00000000-0000-0000-0000-000000000000

Állapotkód

BadRequest(400)

Kiváltó ok

A folyamatos biztonsági mentési mód nem engedélyezhető a táblaalapú adatbázisfiókkal együtt.

Enyhítés

Várt viselkedés.

---

5. Az Azure Synapse Link hibaesetei

---

5.1

---

Forgatókönyv

Az ügyfél az Azure Synapse Link használatával próbál adatokat lekérdezni egy Cosmos DB CMK-fiókból, amelyen engedélyezve van az Azure Synapse Link, ugyanakkor a kulcstartó hozzáférése elvész.

Az ügyfél például az Azure Synapse Studio Spark Notebookjával próbál Cosmos DB-adatokat lekérdezni az Azure Synapse Linken keresztül, ugyanakkor az ügyfél egy ideig eltávolította az alapértelmezett identitás "GET/WRAP/Unwrap" engedélyét a Key Vault hozzáférési szabályzatából.

Hibaüzenet

Py4JJavaError                             Traceback (most recent call last)
<ipython-input-30-668efb4> in <module>
----> 1 df = spark.read.format("cosmos.olap").option("spark.synapse.linkedService", "CosmosDb1").option("spark.cosmos.container", "cc").load()
      2 
      3 display(df.limit(10))

/opt/spark/python/lib/pyspark.zip/pyspark/sql/readwriter.py in load(self, path, format, schema, **options)
    162             return self._df(self._jreader.load(self._spark._sc._jvm.PythonUtils.toSeq(path)))
    163         else:
--> 164             return self._df(self._jreader.load())
    165 
    166     def json(self, path, schema=None, primitivesAsString=None, prefersDecimal=None,

~/cluster-env/env/lib/python3.8/site-packages/py4j/java_gateway.py in __call__(self, *args)
   1319 
   1320         answer = self.gateway_client.send_command(command)
-> 1321         return_value = get_return_value(
   1322             answer, self.gateway_client, self.target_id, self.name)
   1323 

/opt/spark/python/lib/pyspark.zip/pyspark/sql/utils.py in deco(*a, **kw)
    109     def deco(*a, **kw):
    110         try:
--> 111             return f(*a, **kw)
    112         except py4j.protocol.Py4JJavaError as e:
    113             converted = convert_exception(e.java_exception)

~/cluster-env/env/lib/python3.8/site-packages/py4j/protocol.py in get_return_value(answer, gateway_client, target_id, name)
    324             value = OUTPUT_CONVERTER[type](answer[2:], gateway_client)
    325             if answer[1] == REFERENCE_TYPE:
--> 326                 raise Py4JJavaError(
    327                     "An error occurred while calling {0}{1}{2}.\n".
    328                     format(target_id, ".", name), value)

Py4JJavaError: An error occurred while calling o1292.load.
: org.apache.hadoop.fs.azure.AzureException: java.util.NoSuchElementException: An error occurred while enumerating the result, check the original exception for details.
	at org.apache.hadoop.fs.azure.AzureNativeFileSystemStore.retrieveMetadata(AzureNativeFileSystemStore.java:2223)
...
**Caused by: com.microsoft.azure.storage.StorageException: The key vault key is not found to unwrap the encryption key.**
	at com.microsoft.azure.storage.StorageException.translateException(StorageException.java:87)
	at com.microsoft.azure.storage.core.StorageRequest.materializeException(StorageRequest.java:315)
	at com.microsoft.azure.storage.core.ExecutionEngine.executeWithRetry(ExecutionEngine.java:185)
	at com.microsoft.azure.storage.core.LazySegmentedIterator.hasNext(LazySegmentedIterator.java:109)
  

Állapotkód

BadRequest(400)

Kiváltó ok

Mivel az ügyfél egy ideje eltávolította az aktuális alapértelmezett identitás "GET/WRAP/Unwrap" engedélyét a Key Vault hozzáférési szabályzatából, mind a Cosmos DB-fiók, mind a dedikált tárfiók már nem fér hozzá a kulcstartóhoz, és az állapot visszavonásra kerül. Az Azure Synapse Link lekérdezi az adatokat a dedikált tárfiókból, amely visszavonási állapotban van: "Okozta: com.microsoft.azure.storage.StorageException: A kulcstartó kulcsa nem található a titkosítási kulcs kibontásához."

Enyhítés

Az ügyfélnek a "Key Vault visszavonási állapot hibaelhárítási útmutatót" kell követnie a kulcstár hozzáférésének újraengedélyezéséhez.

---