Устранение неполадок сети с реестром

Эта статья поможет устранить проблемы, которые могут возникнуть при доступе к реестру контейнеров Azure в виртуальной сети или за брандмауэром или прокси-сервером.

Симптомы

Может содержать один или несколько из следующих элементов.

  • Не удается отправить или извлечь изображения и вы получаете ошибку dial tcp: lookup myregistry.azurecr.io
  • Не удается отправить или извлечь изображения и вы получаете ошибку Client.Timeout exceeded while awaiting headers
  • Не удается отправить или извлечь изображения, возникает ошибка Azure CLI Could not connect to the registry login server
  • Не удалось извлечь образы из реестра в службу Azure Kubernetes или другую службу Azure
  • Не удается получить доступ к реестру за прокси-сервером HTTPS и получить сообщение об ошибке Error response from daemon: login attempt failed with status: 403 Forbidden или Error response from daemon: Get <registry>: proxyconnect tcp: EOF Login failed
  • Не удалось настроить параметры виртуальной сети и получить ошибку Failed to save firewall and virtual network settings for container registry
  • Не удается получить доступ или просмотреть параметры реестра на портале Azure или управлять реестром с помощью Azure CLI
  • Не удается добавить или изменить параметры виртуальной сети или правила общедоступного доступа
  • Задачи ACR не могут отправлять или вгружать изображения
  • Microsoft Defender для Облака не может сканировать образы в реестре или не отображать результаты сканирования в Microsoft Defender для Облака
  • При попытке получить доступ к реестру, настроенном с помощью частной конечной точки, возникает ошибка host is not reachable .

Причины

  • Брандмауэр клиента или прокси-сервер запрещает доступ — решение
  • Правила доступа к публичной сети в реестре блокируют доступ — решение
  • Конфигурация виртуальной сети или частной конечной точки запрещает доступ — решение
  • Вы пытаетесь интегрировать Microsoft Defender for Cloud или некоторые другие службы Azure с реестром, имеющим частную конечную точку, конечную точку службы или правила доступа к общедоступным IP-адресам — решением

Дальнейшая диагностика

Выполните команду az acr check-health, чтобы получить дополнительную информацию о работоспособности среды реестра и, при необходимости, получить доступ к целевому реестру. Например, диагностика определенных проблем с сетевым подключением или конфигурацией.

Примеры команд см. в статье Проверка работоспособности реестра контейнеров Azure. Если сообщается об ошибках, см. справку по ошибкам и следующие статьи, чтобы найти информацию по рекомендуемым решениям.

Если у вас возникли проблемы с использованием службы Azure Kubernetes с интегрированным реестром, выполните команду az aks check-acr , чтобы убедиться, что кластер AKS может получить доступ к реестру.

Замечание

Некоторые симптомы сетевого подключения также могут возникать при возникновении проблем с проверкой подлинности или авторизацией реестра. См. статью "Устранение неполадок входа в реестр", проверки подлинности и авторизации.

Возможные решения

Настройка доступа к брандмауэру клиента

Чтобы получить доступ к реестру за брандмауэром клиента или прокси-сервером, настройте правила брандмауэра для доступа к общедоступным конечным точкам REST и данных реестра. Если включены выделенные конечные точки данных , вам потребуются правила для доступа:

  • Конечная точка REST: <registryname>.azurecr.io
  • Конечные точки данных: <registry-name>.<region>.data.azurecr.io

Для геореплицированного реестра настройте доступ к конечной точке данных для каждой региональной реплики.

За прокси-сервером HTTPS убедитесь, что клиент Docker и управляющая программа Docker настроены для поведения прокси-сервера. Если вы измените параметры прокси-сервера для управляющей программы Docker, обязательно перезапустите управляемую программу.

Журналы ресурсов реестра в таблице ContainerRegistryLoginEvents могут помочь диагностировать заблокированное подключение.

Связанные ссылки

Настройка общедоступного доступа к реестру

При доступе к реестру через Интернет убедитесь, что реестр разрешает доступ к общедоступной сети от клиента. По умолчанию реестр контейнеров Azure разрешает доступ к конечным точкам общедоступного реестра из всех сетей. Реестр может ограничить доступ к выбранным сетям или выбранным IP-адресам.

Если реестр настроен для виртуальной сети с конечной точкой службы, отключение доступа к общедоступной сети также отключает доступ через конечную точку службы. Если реестр настроен для виртуальной сети с приватным каналом, правила сети IP не применяются к частным конечным точкам реестра.

Связанные ссылки

Настройка доступа к виртуальной сети

Убедитесь, что виртуальная сеть настроена с частной конечной точкой для приватного канала связи или конечной точки службы (в предварительном доступе). В настоящее время конечная точка Бастиона Azure не поддерживается.

Если настроена частная конечная точка, убедитесь, что DNS разрешает общедоступное полное доменное имя реестра, например myregistry.azurecr.io в частный IP-адрес реестра.

  • Выполните команду az acr check-health с --vnet параметром, чтобы подтвердить маршрутизацию DNS в частную конечную точку в виртуальной сети.
  • Используйте сетевую программу, например dig или nslookup для поиска DNS.
  • Убедитесь, что записи DNS настроены для полного доменного имени реестра и для каждого полного доменного имени конечной точки данных.

Просмотрите правила NSG и теги служб, используемые для ограничения трафика из других ресурсов в реестр сети.

Если конечная точка службы настроена в реестр, убедитесь, что сетевое правило добавляется в реестр, разрешающее доступ из этой сетевой подсети. Конечная точка службы поддерживает доступ только из виртуальных машин и кластеров AKS в сети.

Если вы хотите ограничить доступ к реестру с помощью виртуальной сети в другой подписке Azure, убедитесь, что вы регистрируете Microsoft.ContainerRegistry поставщика ресурсов в этой подписке. Зарегистрируйте поставщика ресурсов для реестра контейнеров Azure с помощью портала Azure, Azure CLI или других средств Azure.

Если брандмауэр Azure или аналогичное решение настроено в сети, убедитесь, что исходящий трафик из других ресурсов, таких как кластер AKS, включен для доступа к конечным точкам реестра.

Связанные ссылки

Настройка доступа к службе

В настоящее время доступ к реестру контейнеров с ограничениями сети не разрешен из нескольких служб Azure:

  • Microsoft Defender для Облака не может выполнять сканирование уязвимостей образа в реестре, который ограничивает доступ к частным конечным точкам, выбранным подсетям или IP-адресам.
  • Ресурсы некоторых служб Azure не могут получить доступ к реестру контейнеров с ограничениями сети, включая Службу приложений Azure и экземпляры контейнеров Azure.

Если требуется доступ или интеграция этих служб Azure с реестром контейнеров, удалите ограничение сети. Например, удалите частные конечные точки реестра или удалите или измените правила общедоступного доступа реестра.

Вы можете настроить реестр, ограниченный сетью, чтобы разрешить доступ из выбора доверенных служб.

Связанные ссылки

Продвинутое устранение неполадок

Если коллекция журналов ресурсов включена в реестре, просмотрите журнал ContainterRegistryLoginEvents. В этом журнале хранятся события проверки подлинности и состояния, включая входящий идентификатор и IP-адрес. Запросите журнал о сбоях проверки подлинности в реестре.

Связанные ссылки

Дальнейшие шаги

Если проблема не решена, воспользуйтесь следующими вариантами.

  • Last updated on