Rozwiązywanie problemów z transferem usługi ACR

Błędy lub błędy wdrażania szablonu

• Jeśli uruchomienie potoku zakończy się niepowodzeniem, przyjrzyj się pipelineRunErrorMessage właściwości zasobu uruchamiania.
• Aby uzyskać typowe błędy wdrażania szablonu, zobacz Rozwiązywanie problemów z wdrożeniami szablonów usługi ARM

Problemy z uzyskiwaniem dostępu do usługi Key Vault

• Jeśli wdrożenie potoku nie powiedzie się z 403 Forbidden powodu błędu podczas uzyskiwania dostępu do usługi Azure Key Vault, sprawdź, czy tożsamość zarządzana potoku ma odpowiednie uprawnienia.
• Funkcja pipelineRun używa tożsamości zarządzanej exportPipeline lub importPipeline, aby pobrać klucz tajny tokenu SAS z usługi Key Vault. Funkcja ExportPipelines i importPipelines są aprowizowane przy użyciu tożsamości zarządzanej przypisanej przez system lub przypisanej przez użytkownika. Ta tożsamość zarządzana jest wymagana do posiadania secret get uprawnień w usłudze Key Vault w celu odczytania wpisu tajnego tokenu SAS. Upewnij się, że dodano zasady dostępu dla tożsamości zarządzanej do usługi Key Vault. Aby uzyskać więcej informacji, zapoznaj się z tematem Give the ExportPipeline identity keyvault policy access and Give the ImportPipeline identity keyvault policy access (Nadaj dostęp zasadom tożsamości ImportPipeline).

Problemy z uzyskiwaniem dostępu do magazynu

• Jeśli wystąpi 403 Forbidden błąd z magazynu, prawdopodobnie masz problem z tokenem SAS.
• Token SAS może być obecnie nieprawidłowy. Token SYGNATURy dostępu współdzielonego może wygasł lub klucze konta magazynu mogły ulec zmianie od czasu utworzenia tokenu SAS. Sprawdź, czy token SAS jest prawidłowy, próbując użyć tokenu SAS do uwierzytelnienia w celu uzyskania dostępu do kontenera konta magazynu. Na przykład umieść istniejący punkt końcowy obiektu blob, a następnie token SAS na pasku adresu nowego okna InPrivate przeglądarki Microsoft Edge lub przekaż obiekt blob do kontenera przy użyciu tokenu SAS przy użyciu polecenia az storage blob upload.
• Token SAS może nie mieć wystarczających dozwolonych typów zasobów. Sprawdź, czy token SAS otrzymał uprawnienia do usługi, kontenera i obiektu w obszarze Dozwolone typy zasobów (srt=sco w tokenie SAS).
• Token SAS może nie mieć wystarczających uprawnień. W przypadku potoków eksportu wymagane uprawnienia tokenu SAS to Odczyt, Zapis, Lista i Dodaj. W przypadku potoków importu wymagane uprawnienia tokenu SAS to Odczyt, Usuń i Lista. (Uprawnienie Usuń jest wymagane tylko wtedy, gdy potok importu ma włączoną DeleteSourceBlobOnSuccess opcję).
• Token SAS może nie być skonfigurowany do pracy tylko z protokołem HTTPS. Sprawdź, czy token SAS jest skonfigurowany do pracy tylko z protokołem HTTPS (spr=https w tokenie SAS).

Problemy z eksportowaniem lub importowaniem obiektów blob magazynu

• Token SAS może być nieprawidłowy lub może mieć niewystarczające uprawnienia do określonego eksportu lub uruchomienia importu. Zobacz Problemy z dostępem do magazynu.
• Istniejący obiekt blob magazynu na źródłowym koncie magazynu może nie zostać zastąpiony podczas wielu przebiegów eksportu. Upewnij się, że opcja OverwriteBlob jest ustawiona w przebiegu eksportu, a token SAS ma wystarczające uprawnienia.
• Obiekt blob magazynu na docelowym koncie magazynu może nie zostać usunięty po pomyślnym uruchomieniu importu. Upewnij się, że opcja DeleteBlobOnSuccess jest ustawiona w przebiegu importu, a token SAS ma wystarczające uprawnienia.
• Obiekt blob magazynu nie został utworzony ani usunięty. Upewnij się, że kontener określony w przebiegu eksportu lub importu istnieje lub określony obiekt blob magazynu istnieje na potrzeby ręcznego uruchomienia importu.

Problemy z importowaniem wyzwalacza źródłowego

• Token SYGNATURy dostępu współdzielonego musi mieć uprawnienie Lista dla importów wyzwalacza źródłowego, aby działały.
• Import wyzwalacza źródłowego zostanie wyzwolony tylko wtedy, gdy obiekt blob magazynu ma czas ostatniej modyfikacji w ciągu ostatnich 60 dni.
• Obiekt blob magazynu musi mieć prawidłową właściwość ContentMD5, aby można je było zaimportować za pomocą funkcji Wyzwalacz źródłowy.
• Obiekt blob usługi Storage musi mieć metadane obiektu blob "category":"acr-transfer-blob", aby można je było zaimportować za pomocą funkcji Wyzwalacz źródła. Te metadane są dodawane automatycznie podczas uruchamiania potoku eksportu, ale mogą zostać usunięte po przeniesieniu z konta magazynu do konta magazynu w zależności od metody kopiowania.

Problemy z narzędziem AzCopy

• Zobacz Rozwiązywanie problemów z narzędziem AzCopy.

Problemy z transferem artefaktów

• Nie wszystkie artefakty lub żadne nie są przenoszone. Potwierdź pisownię artefaktów w przebiegu eksportu oraz nazwę obiektu blob w uruchomieniach eksportu i importu. Upewnij się, że przenosisz maksymalnie 50 artefaktów.
• Uruchomienie potoku mogło nie zostać ukończone. Uruchomienie eksportu lub importu może zająć trochę czasu.
• W przypadku innych problemów z potokiem podaj identyfikator korelacji wdrożenia przebiegu eksportu lub uruchomienia importu do zespołu usługi Azure Container Registry.
• Aby utworzyć zasoby usługi ACR Transfer, takie jak exportPipelines, importPipelines i pipelineRuns, użytkownik musi mieć co najmniej dostęp współautora w subskrypcji usługi ACR. W przeciwnym razie zobaczysz autoryzację do wykonania odmowy transferu lub zakres jest nieprawidłowy.

Problemy z ściąganiem obrazu w środowisku fizycznie izolowanym

• Jeśli podczas próby ściągnięcia obrazu w środowisku fizycznie odizolowanym są błędy dotyczące warstw obcych lub próby rozwiązania mcr.microsoft.com, manifest obrazu prawdopodobnie ma warstwy niedystrybucyjne. Ze względu na charakter środowiska fizycznie odizolowanego te obrazy często nie będą ściągać. Możesz potwierdzić, że tak jest, sprawdzając manifest obrazu pod kątem wszelkich odwołań do rejestrów zewnętrznych. W takim przypadku należy wypchnąć warstwy niedystrybucyjne do usługi ACR w chmurze publicznej przed wdrożeniem uruchomienia potoku eksportu dla tego obrazu. Aby uzyskać wskazówki dotyczące tego, jak to zrobić, zobacz Jak mogę wypychanie warstw niedystrybucyjnych do rejestru?