Azure Cosmos DB 사용할 수 없음 예외 진단 및 문제 해결

  • 아티클

적용 대상: NoSQL

HTTP 상태 코드 403은 요청을 완료할 수 없음을 나타냅니다.

방화벽 차단 요청

데이터 평면 요청은 다음 세 가지 경로를 통해 Azure Cosmos DB에 올 수 있습니다.

  • 공용 인터넷(IPv4)
  • 서비스 엔드포인트
  • 프라이빗 엔드포인트

데이터 평면 요청이 403 사용할 수 없음으로 차단되면 오류 메시지는 위의 3개 경로 중 어느 경로를 통해 요청이 Azure Cosmos DB로 전달되었는지 지정합니다.

  • Request originated from client IP {...} through public internet.
  • Request originated from client VNET through service endpoint.
  • Request originated from client VNET through private endpoint.

솔루션

Azure Cosmos DB에 예상되는 요청 경로를 이해합니다.

  • 오류 메시지에 요청이 예상 경로를 통해 Azure Cosmos DB로 오지 않았다는 메시지가 표시되면 클라이언트 쪽 설정에 문제가 있을 수 있습니다. 다음 문서에 따라 클라이언트 쪽 설정을 다시 확인합니다.
  • 요청이 예상 경로를 통해 Azure Cosmos DB에 온 경우 원본 네트워크 ID가 계정에 대해 허용되도록 구성되지 않았기 때문에 요청이 차단되었습니다. Azure Cosmos DB에 요청이 들어온 경로에 따라 계정 설정을 확인합니다.
    • 공개 인터넷: 계정의 공용 네트워크 액세스 및 IP 범위 필터 구성을 확인합니다.
    • 서비스 엔드포인트: 계정의 공용 네트워크 액세스 및 VNET 필터 구성을 확인합니다.
    • 프라이빗 엔드포인트: 계정의 프라이빗 엔드포인트 구성과 클라이언트의 프라이빗 DNS 구성을 확인합니다. 이는 다른 계정에 대해 설정된 프라이빗 엔드포인트에서 계정에 액세스하기 때문일 수 있습니다.

최근에 계정의 방화벽 구성을 업데이트한 경우 변경사항이 적용되는 데 최대 15분이 소요될 수 있습니다.

스토리지를 초과하는 파티션 키

이 시나리오에서는 아래와 같은 오류가 발생하는 것이 일반적입니다.

Response status code does not indicate success: Forbidden (403); Substatus: 1014

Partition key reached maximum size of {...} GB

솔루션

이 오류는 현재 분할 설계 및 워크로드가 지정된 파티션 키 값에 대해 허용된 양보다 많은 데이터를 저장하려고 함을 의미합니다. 컨테이너의 논리 파티션 수에는 제한이 없지만 각 논리 파티션이 저장할 수 있는 데이터 크기는 제한되어 있습니다. 지원을 위해 연락할 수 있습니다.

비데이터 작업은 허용되지 않습니다.

이 시나리오는 Microsoft Entra ID를 사용하여 비데이터 작업을 수행하려고 시도할 때 발생합니다. 이 시나리오에서는 아래와 같은 오류가 발생하는 것이 일반적입니다.

Operation 'POST' on resource 'calls' is not allowed through Azure Cosmos DB endpoint

Forbidden (403); Substatus: 5300; The given request [PUT ...] cannot be authorized by AAD token in data plane.

솔루션

Azure Resource Manager, Azure Portal, Azure CLI 또는 Azure PowerShell을 통해 작업을 수행합니다. Azure Functions Azure Cosmos DB 트리거를 사용하는 경우 트리거의 CreateLeaseContainerIfNotExists 속성이 true로 설정되지 않았는지 확인합니다. Microsoft Entra ID를 사용하면 임대 컨테이너 만들기와 같은 데이터가 아닌 작업이 차단됩니다.

다음 단계