Configurar permissões de função para pools em espera em Instâncias de Contêiner do Azure

Os pools em espera para Azure Container Instances exigem permissões específicas para criar e gerir recursos na sua subscrição. Sem as permissões corretas, os grupos de reserva não funcionarão adequadamente. Este artigo explica como configurar permissões de controle de acesso baseado em função (RBAC) para pools em espera e fornece orientação para cenários em que permissões adicionais podem ser necessárias.

Permissões básicas

Para permitir que pools em espera criem e gerenciem instâncias de contêiner em sua assinatura, atribua as permissões apropriadas ao provedor de recursos do pool em espera.

Observação

Essas permissões podem não abranger totalmente todos os cenários. Se o pool em espera usar recursos específicos, como imagens de contêiner armazenadas no Registro de Contêiner do Azure ou em outras assinaturas, verifique se o provedor de recursos do pool em espera tem acesso a esses recursos.

Para cobrir o maior número possível de cenários, sugere-se fornecer as seguintes permissões ao provedor de recursos do pool em espera:

Colaborador de Instâncias de Contêiner do Azure
Colaborador do Pool de Grupo de Contêineres em Espera
Contribuidor de Rede
Contribuidor de identidade gerenciada
Operador de identidade gerenciada
Storage Blob Data Contributor (se estiver a usar o Armazenamento do Azure para dados de contentor)
Leitor de Repositório do Registro de Contêiner (se estiver usando imagens armazenadas no Registro de Contêiner do Azure)

No portal do Azure, navegue para as subscrições.
Selecione a subscrição para a qual pretende ajustar as permissões.
Selecione Controle de acesso (IAM).
Selecione Adicionar e Adicionar atribuição de função.
Na guia Função, procure Colaborador de Instâncias de Contêiner do Azure e selecione-o.
Vá para a guia Membros.
Selecione + Selecionar membros.
Procure por Provedor de Recursos do Pool em Espera e selecione-o.
Vá para a guia Revisar + atribuir.
Aplique as alterações.
Repita as etapas acima e atribua as funções de Colaborador de Rede e Colaborador de Identidade Gerenciada ao Provedor de Recursos do Pool em Espera. Se estiver a usar o Registo de Recipiente Azure ou o Armazenamento Azure, atribua também as funções Container Registry Repository Reader e Storage Blob Data Contributor.

Para obter mais informações sobre como atribuir funções, consulte Atribuir funções do Azure usando o portal do Azure.

Recursos de subscrição cruzada

Se o pool em espera usar recursos, como imagens de contêiner armazenadas no Registro de Contêiner do Azure, em uma assinatura diferente, verifique se o provedor de recursos do pool em espera tem acesso a esses recursos. Talvez seja necessário atribuir funções na outra assinatura para conceder as permissões necessárias.

Resolver problemas de permissão

Questões de autorização são uma causa comum de problemas com grupos de espera. Esses problemas podem manifestar-se de várias maneiras, como o pool gerando e eliminando instâncias continuamente, não conseguindo gerar instâncias, ou não aparecerem instâncias no pool. Siga as seguintes etapas para resolver esses problemas:

Usar o Log Analytics para investigar

Se o pool não estiver funcionando conforme o esperado, use o Log Analytics para analisar os logs e identificar as permissões ausentes:

Navegue até o portal do Azure.
Vá para o espaço de trabalho do Log Analytics associado ao pool de espera. Antes de usar a análise de log, primeiro você precisa configurar um espaço de trabalho de análise de log. Para obter mais informações, consulte Usar o Azure Log Analytics para monitorar eventos do pool de espera.
Consulte a SCGPoolExecutionLog tabela para revisar eventos relacionados à criação e exclusão de instâncias:

   SCGPoolExecutionLog
   | where TimeGenerated > ago(24h)
   | project TimeGenerated, EventName, EventStatus, ResourceId, FailureDetails

Procure erros ou falhas na coluna FailureDetails para identificar permissões ausentes ou outros problemas.

Verifique se há modo degradado na API de exibição de tempo de execução

Se o pool estiver no modo degradado, a criação de recursos será pausada brevemente. Use a API de exibição de tempo de execução para verificar o status de integridade do pool e determinar o motivo do modo degradado:

Envie uma solicitação GET para a API de exibição de tempo de execução ou outros SDKs, como PowerShell ou CLI.

https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.StandbyPool/standbyContainerGroupPools/{standbyPool}/runtime?api-version=2025-03-01

Analise a resposta para o campo healthStatus. Se o pool estiver no modo degradado, a resposta incluirá o motivo do estado degradado.
Resolva o problema identificado, como permissões ausentes ou restrições de recursos, para resolver o modo degradado.

Verificar as permissões necessárias para instâncias em pool

Se você notar instâncias de contêiner em pool reciclando ou nenhuma instância aparecendo no pool, revise os recursos necessários para criar uma instância de contêiner individual. Verifique se o provedor de recursos do pool em espera tem as permissões necessárias para todos os recursos necessários, incluindo, entre outros:

Contribuidor de instância de contêiner
Contribuidor de Rede
Contribuidor de identidade gerenciada
Storage Blob Data Contributor (se estiver a usar o Armazenamento do Azure para dados de contentor)
Azure Container Registry Reader (se estiver usando imagens armazenadas no Azure Container Registry)

Verifique se as funções atribuídas ao provedor de recursos do pool em espera incluem todas as permissões necessárias para criar e gerenciar instâncias de contêiner.

Próximos passos

Use a documentação do Azure Monitor Logs para explorar e analisar ainda mais os logs.
Consulte a documentação da API do Runtime View para obter mais detalhes sobre como verificar a integridade e o status do pool.
Verifique se todas as funções necessárias estão atribuídas conforme descrito na seção Permissões básicas.

Comentários

Esta página foi útil?

Last updated on 2025-05-19