Azure Batch işleri yürütülürken erişim reddedildi

Azure Depolama Hesabı, Azure Batch hesabının kaynak dosyalarını, uygulama paketlerini ve çıkış dosyalarını depolaması için gerekli bir bağımlı bileşendir. Çoğu durumda, güvenlik duvarıyla Azure Depolama Hesabı'nı kullanarak güvenliğini artırırsınız. Ancak, Azure Batch işleri yürütürken güvenlik duvarına sahip Azure Depolama Hesabı hatalara neden olabilir. Bu makalede bu tür sorunlara yönelik çözümler sağlanmaktadır.

Belirtiler

Azure Batch işleri yürütürken ilişkili Azure depolama hesabıyla ilgili hatalarla karşılaşabilirsiniz.

Aşağıda bir hata örneği verilmiştir:

Kategori: UserError
Kod: ResourceContainerAccessDenied
İleti: Belirtilen Azure Blog kapsayıcılarından birine erişim reddedildi

Neden

bir Azure Batch havuzu oluşturduğunuzda, yeni sanal makineler (Batch düğümleri) sağlanır. Batch havuzuna statik genel IP adresi atamazsanız rastgele bir genel IP adresi atanır. Düğüm sayısını 0 olarak yeniden boyutlandırdığınızda ve yeniden yeniden boyutlandırdığınızda, bu yeni Batch düğümlerinin genel IP adresi değişir. Bu nedenle, ilişkili depolama hesabında yapılandırılmış bir güvenlik duvarı varsa, güvenlik duvarının izin verilenler listesini yönetmek sizin için zordur.

Depolama hesabı ve Batch havuzu aynı bölgedeyse, Batch havuzunun statik genel IP adresi olup olmaması fark etmez, Batch düğümlerinden giden trafik her zaman Azure omurga İnterneti (özel IP adresleri) üzerinden gider. Depolama güvenlik duvarının izin verilenler listesine özel bir IP adresi eklemesine izin verilmez ve bu da depolama hesabına gelen trafiğin reddedilmesine neden olur.

Çözüm

Sorunu çözmek için Batch havuzunu ve depolama hesabı yapılandırmalarını senaryolarınıza göre yönetin.

Not

Uygulama paketlerini karşıya yüklemeniz gerekiyorsa, aşağıdaki çözümlerin hiçbiri çalışmaz. Depolama hesabı herhangi bir güvenlik duvarı yapılandırmamalıdır. Daha fazla bilgi için bkz. Depolama hesabını bağlama.

Senaryo 1: Batch havuzu ve depolama hesabı aynı bölgededir ve Batch havuzunun bir sanal ağı vardır

1. Azure portal >Batch HesapHavuzu>Özellikleri'ndenAğ Yapılandırması altındaki Alt ağ> bilgilerini denetleyin. Not alın ve bilgileri not alın.

   

2. Depolama hesabına gidin ve Ağ'ı seçin. Güvenlik duvarları ve sanal ağlar ayarında, Genel ağ erişimi için seçili sanal ağlardan ve IP adreslerinden Etkinleştir'i seçin. Batch havuzunun alt akını güvenlik duvarı izin verilenler listesine ekleyin.

   

   Alt ağ hizmet uç noktasını etkinleştirmezse, bunu seçtiğinizde aşağıdaki gibi bir bildirim görüntülenir:

   Aşağıdaki ağlarda 'Microsoft.Storage' için etkinleştirilmiş hizmet uç noktaları yoktur. Erişimin etkinleştirilmesi 15 dakika kadar sürer. Bu işlemi başlattıktan sonra, beklemek istemiyorsanız ayrılıp daha sonra geri dönmek güvenlidir.

   Bu nedenle, alt ağı eklemeden önce Depolama hesabı için hizmet uç noktasının etkinleştirilip etkinleştirilmediğini görmek için Batch sanal ağında denetleyin.

   

Yukarıdaki yapılandırmaları tamamladıktan sonra havuzdaki Batch düğümleri depolama hesabına başarıyla erişebilir.

Senaryo 2: Batch havuzu ve depolama hesabı farklı bölgelerde

1. Statik genel IP adresi olan bir sanal ağda yeni bir Batch havuzu oluşturun. Daha fazla bilgi için bkz. Belirtilen genel IP adresleriyle Batch havuzu oluşturma.

   Batch havuzu ve depolama hesabı farklı bölgelerde olduğundan, giden trafik genel IP adresi aracılığıyla genel İnternet üzerinden gider.

2. Genel IP adresini yazın.

3. Genel IP adresini Batch havuzu genel Load Balancer IP'sine atayın.

   Bundan sonra Batch havuzunuzun özelliklerini denetleyin. Bunlar aşağıdaki ekran görüntüsündeki gibi olacaktır:

   

4. Genel IP adresini depolama güvenlik duvarı izin verilenler listesine ekleyin.

   

   

5. Batch işlerini yeni oluşturulan Batch havuzuyla çalıştırın.

Yardım için bize ulaşın

Sorularınız veya yardıma ihtiyacınız varsa bir destek isteği oluşturun veya Azure topluluk desteği isteyin. Ürün geri bildirimini Azure geri bildirim topluluğuna da gönderebilirsiniz.