Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Резервные пулы требуют определенных разрешений для создания ресурсов в подписке и управления ими. Без правильных разрешений резервные пулы не будут работать должным образом. В этой статье объясняется, как настроить разрешения управления доступом на основе ролей (RBAC) для резервных пулов и предоставить рекомендации по сценариям, в которых могут потребоваться дополнительные разрешения.
Основные разрешения
Чтобы разрешить резервным пулам создавать виртуальные машины в подписке и управлять ими, назначьте соответствующие разрешения поставщику ресурсов резервного пула.
Это важно
Эти разрешения могут не полностью охватывать все сценарии. Если резервный пул использует конкретные ресурсы, например, галерея вычислительных ресурсов в других подписках, убедитесь, что поставщик ресурсов резервного пула имеет доступ к тем ресурсам.
Чтобы охватывать как можно больше сценариев, рекомендуется предоставить следующие разрешения поставщику ресурсов резервного пула:
- Сотрудник по управлению виртуальными машинами
- Участник сети
- Участник с управляемой идентификацией
- Администратор общего доступа к галерее вычислений
- Издатель артефактов галереи вычислений
- На портале Azure перейдите к подпискам.
- Выберите подписку, которую нужно настроить.
- Выберите Управление доступом (IAM).
- Выберите Добавить и Добавить назначение роли.
- На вкладке "Роль" найдите участника виртуальной машины и выберите ее.
- Перейдите на вкладку "Элементы ".
- Выберите и выберите участников.
- Найдите поставщика ресурсов резервного пула и выберите его.
- Перейдите на вкладку "Рецензирование и назначение ".
- Примените изменения.
- Повторите описанные выше действия и назначьте роль участника сети и роль оператора управляемого удостоверения поставщику ресурсов резервного пула. Если вы используете образы, хранящиеся в коллекции вычислений, назначьте роли издателя "Администратор общего доступа к коллекции вычислений" и роли издателя коллекции вычислений.
Дополнительные сведения о назначении ролей см. в статье о назначении ролей Azure с помощью портала Azure.
Ресурсы, доступные через подписки
Если резервный пул использует ресурсы, например, образы из галереи вычислений, хранящиеся в другой подписке, убедитесь, что поставщик ресурсов резервного пула имеет доступ к этим ресурсам. Для предоставления необходимых разрешений может потребоваться назначить роли в другой подписке.
Устранение проблем с разрешениями
Проблемы с разрешениями являются распространенными причинами проблем с резервными пулами. Эти проблемы могут проявляться несколькими способами, такими как пул постоянно создает и удаляет экземпляры, если экземпляры не создаются, или когда экземпляры не появляются в пуле. Чтобы устранить эти проблемы, выполните следующие действия.
Используйте Log Analytics для расследования
Если пул не работает должным образом, используйте Log Analytics для анализа журналов и выявления отсутствующих разрешений:
- Перейдите на портал Azure.
- Перейдите в рабочую область Log Analytics, связанную с резервным пулом. Прежде чем использовать log analytics, сначала необходимо настроить рабочую область Log Analytics. Дополнительные сведения см. в статье Об использовании Azure Log Analytics для мониторинга событий резервного пула.
- Запросите таблицу
SVMPoolExecutionLogдля просмотра событий, связанных с созданием экземпляра и удалением:
SVMPoolExecutionLog
| where TimeGenerated > ago(24h)
| project TimeGenerated, EventName, EventStatus, ResourceId, FailureDetails
- Найдите ошибки или сбои в столбце FailureDetails, чтобы определить отсутствующие разрешения или другие проблемы.
Проверьте API представления среды выполнения для режима с пониженной производительностью
Если ваш пул находится в режиме деградации, создание ресурсов будет ненадолго приостановлено. Используйте API представления среды выполнения, чтобы проверить состояние работоспособности пула и определить причину снижения состояния:
- Отправьте запрос GET в API представления среды выполнения или другие пакеты SDK, такие как PowerShell или CLI.
https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.StandbyPool/standbyVirtualMachinePools/{standbyPool}/runtime?api-version=2025-03-01
Просмотрите ответ для поля healthStatus. Если пул находится в деградированном режиме, ответ будет включать причину деградированного состояния.
Устранена обнаруженная проблема, например отсутствующие разрешения или ограничения ресурсов, чтобы устранить пониженный режим.
Просмотр необходимых разрешений для экземпляров из пула
Если вы заметили, что переработка экземпляров в пуле или экземпляры не появляются в пуле, просмотрите ресурсы, требующиеся для создания отдельной виртуальной машины. Убедитесь, что поставщик ресурсов резервного пула имеет необходимые разрешения для всех необходимых ресурсов, включая не только следующие:
- Образы вычислительной галереи
- виртуальные сети и подсети;
- Управляемые идентичности
- Учетные записи хранения
Убедитесь, что роли, назначенные поставщику ресурсов резервного пула, включают все разрешения, необходимые для создания виртуальных машин и управления ими.
Дальнейшие шаги
- Используйте [документацию по журналам Azure Monitor для дальнейшего изучения и анализа журналов.
- Дополнительную информацию о проверке работоспособности и состоянии пула см. в документации по API Runtime View.
- Убедитесь, что все необходимые роли назначены, как описано в разделе "Базовые разрешения".