Dépannage des problèmes Cloud OnRamp dans Microsoft Azure
Introduction
Ce document décrit certains des problèmes courants lors du déploiement de passerelles cloud dans Azure à partir du cloud vManage sur Ramp.
Problème
Lors de la configuration de Cisco SD-WAN Cloud OnRamp pour Microsoft Azure, le champ de sélection de l'image logicielle pour les périphériques cEdge apparaît vide dans les paramètres globaux vManage, ce qui empêche le déploiement des instances cEdge dans le cloud Azure.
Symptômes :
-
La version logicielle de cEdge qui est planifiée pour une implémentation future sur le champ Cloud Azure dans vManage > Cloud OnRamp For Multicloud > Cloud Global Settings est vide.
- Les journaux admin-tech initiaux peuvent afficher l'erreur Azure : "AuthorizationFailed" avec un message indiquant que le client n'est pas autorisé à effectuer l'action Microsoft.Network/networkVirtualApplianceSkus/read.
- Les journaux Admin-tech peuvent afficher RetryError : HTTPSConnectionPool(...) Nombre maximal de tentatives dépassé avec l'URL : ... (Causé par l'erreur Response Error "too many 502 error réponses") lorsque vManage tente de récupérer les références des appliances virtuelles de réseau (NVA) from management.azure.com.
Vous pouvez trouver ce journal dans le chemin d'accès /var/log/nms/containers/cloudagent-v2/cloudagent.log et il indique que le niveau de privilège est incorrect dans le compte Azure.
|
[2025-07-18T04:14:53UTC+0000:140226169132800:ERROR:ca-v2:azure_resource_helper.py:351] Impossible d'obtenir les ressources pour { 'Microsoft.Network/networkVirtualApplianceSkus/read' sur l'étendue '/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/providers/Microsoft.Network/networkVirtualApplianceSkus/ciscosdwan' ou l'étendue n'est pas valide. Si l'accès a été récemment accordé, actualisez vos informations d'identification. } } |
Ce journal se trouve dans le même chemin /var/log/nms/containers/cloudagent-v2/cloudagent.log et il indique que plusieurs groupes de ressources ont été configurés dans Azure.
|
[2025-09-01T04:07:35UTC+0000:140226169132800:ERROR:ca-v2:azure_resource_helper.py:351] Impossible d'obtenir les ressources pour { "cloudType" : "AZURE", "IDcompte" : "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxx", "accountName" : "<nom_compte>", "région" : "eastus2", "type" : "NVA_SKUS" }:Une erreur s'est produite dans la demande., RetryError : HTTPSConnectionPool(host='management.azure.com', port=443) : Nombre maximal de tentatives dépassé avec l'URL : /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/providers/Microsoft.Network/networkVirtualApplianceSkus/ciscosdwan?api-version=2020-05-01 (Causé par ResponseError('trop de réponses d'erreur 502')) [2025-09-01T04:07:35UTC+0000:140226169132800:INFO:ca-v2:grpc_service.py:1011] Renvoi de la réponse GetAzureResourceInfo : { "mcCtxt" : { "tenantId" : "<nom du locataire>", "ctxId" : "zzzzzzzz-zzzz-zzzz-zzzz-zzzzzzzzzzzz" }, "état" : { "code" : "OK" } } |
À partir de vManage, il s'agit de l'un des journaux courants affichés lorsque la tâche est déployée après que le compte dans Azure a été attribué avec le niveau de privilège ; toutefois, le type de compte n'est pas Entreprise.
|
[27-Aug-2025 19:46:46 UTC] Création d'une passerelle multicloud : <nom du compte> [27-Aug-2025 19:46:47 UTC] Groupe de ressources correctement récupéré : <nom du compte> à partir du cloud [27-Aug-2025 19:46:47 UTC] Création d'un compte de stockage sous Groupe de ressources : <nom du compte> dans le cloud [27-Aug-2025 19:46:49 UTC] Compte de stockage sous le groupe de ressources : <nom du compte> n'a pas pu être créé dans le cloud [27-Aug-2025 19:46:49 UTC] Détails supplémentaires : Erreur Azure : DemandeInterditeParStratégie Message: La ressource 'lcoix7mu7rcrswtdkyj0jsyw' a été interdite par la stratégie. Identificateurs de stratégie : '[{"policyAssignment":{"name":"ASC Default (abonnement : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxx)","id":"/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/providers/Microsoft.Authorization/policyAssignments/SecurityCenterBuiltIn"}, "policyDefinition":{"name":"L'accès public au compte de stockage ne doit pas être autorisé","id":"/providers/Microsoft.Authorization/policyDefinitions/yyyyy-yyyy-yyyy-yyyyyyyyyy","version":"3.1.1"}, <<< Le type de compte dans Azure n'est pas correct, l'abonnement doit être Entreprise "policySetDefinition":{"name":"Test de sécurité du cloud Microsoft","id":"/providers/Microsoft.Authorization/policySetDefinitions/zzzzzzzz-zzzz-zzzz-zzzzzzzzzzzzzz","version":"57.53.0"}}]. Target (cible) : lcoix7mu7rcrswtdkyj0jsyw Informations supplémentaires: type : Violation de stratégie Infos : { "evaluationDetails" : { "AssessedExpressions" : [ { "résultat" : "Vrai", "expressionKind" : "Champ", "expression" : "type", "chemin" : "type", "expressionValue" : "Microsoft.Storage/storageAccounts", "targetValue" : "Microsoft.Storage/storageAccounts", "opérateur" : "Est égal à" }, { "résultat" : "Faux", "expressionKind" : "Champ", "expression" : "id", "chemin" : "id", "expressionValue" : "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxx/resourceGroups/<nom du compte>/providers/Microsoft.Storage/storageAccounts/locix7mu7rcrswtdkyj0jsyw", "targetValue" : "/resourceGroups/aro-", "opérateur" : "Contient" }, { "résultat" : "Faux", "expressionKind" : "Champ", "expression" : "Microsoft.Storage/storageAccounts/allowBlobPublicAccess", "chemin" : "properties.allowBlobPublicAccess", "targetValue" : "faux", "opérateur" : "Est égal à" } ] }, "policyDefinitionId" : "/providers/Microsoft.Authorization/policyDefinitions/yyyyyy-yyy-yyy-yyy-yyyy-yyyyyyyy", "policySetDefinitionId" : "/providers/Microsoft.Authorization/policySetDefinitions/zzzzzzzz-zzzz-zzzz-zzzz-zzzzzzzzzzzz", "policyDefinitionReferenceId" : "StorageDisallowPublicAccess", "policySetDefinitionName" : "zzzzzzzz-zzzz-zzzz-zzzz-zzzzzzzzzzzz", "policySetDefinitionDisplayName" : "Test de sécurité du cloud Microsoft", "policySetDefinitionVersion" : "57.53.0", "policyDefinitionName" : "aaaa-aaaa-aaaa-aaaa-aaaa-aaaa-aaaa", "policyDefinitionDisplayName" : "L'accès public au compte de stockage doit être interdit", "policyDefinitionVersion" : "3.1.1", "policyDefinitionEffect" : "refuser", "policyAssignmentId" : "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/providers/Microsoft.Authorization/policyAssignments/SecurityCenterBuiltIn", "policyAssignmentName" : "Centre de sécurité intégré", "policyAssignmentDisplayName" : "Valeur par défaut ASC (abonnement : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxx)", "policyAssignmentScope" : "/abonnements/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx", "policyAssignmentParameters" : { "disallowPublicBlobAccessEffect" : "deny" }, "policyExemptionIds" : [], "policyEnrollmentIds" : [] } [27-Aug-2025 19:46:49 UTC] Annulation des modifications apportées... [27-Aug-2025 19:46:49 UTC] Restauration terminée [27-Aug-2025 19:46:49 UTC] Erreur interne lors de la création ou de l'extraction du compte de stockage |
Causes potentielles :
- Privilèges Azure insuffisants : même si le compte Azure est correctement lié et dispose de droits de contributeur, des autorisations spécifiques sont requises par vManage. Pour lire les références de l'appliance virtuelle réseau, il peut être manquant ou mal configuré.
2. Plusieurs groupes de ressources Azure : la documentation Cisco pour l'intégration vWAN Azure spécifie qu'un seul groupe de ressources est autorisé pour la configuration Cloud OnRamp. Le fait d'avoir plusieurs groupes de ressources anciens ou redondants peut générer trop de réponses d'erreur 502 à partir d'Azure lorsque vManage tente d'interroger les références disponibles.
Solution
1. Vérifiez les autorisations Azure :
- Assurez-vous que l'application Azure ou le principal de service lié à vManage dispose des autorisations nécessaires pour lire les références de l'appliance virtuelle de réseau. L'action spécifique est Microsoft.Network/networkVirtualApplianceSkus/read.
- Si des autorisations ont été récemment accordées ou modifiées, actualisez les informations d'identification dans vManage ou Azure.
- Ces étapes sont décrites dans le Guide de solutions Cisco Cloud onRamp for Multi-Cloud Azure Version2 dans la section Vérifier les autorisations d'abonnement Azure.
2. Gérer les groupes de ressources Azure :
- Vérifiez votre abonnement Azure pour tout groupe de ressources ancien ou redondant lié à Cisco SD-WAN Cloud OnRamp.
- Conformément à la documentation Cisco, un seul groupe de ressources est autorisé pour l'intégration vWAN Azure. Supprimez tous les anciens groupes de ressources, en vous assurant que seul le groupe actif et le groupe nécessaire sont conservés. Cette action a été observée pour résoudre l'erreur, trop de réponses d'erreur 502.
Informations connexes
- Cisco Catalyst SD-WAN Cloud OnRamp Configuration Guide, Cisco IOS XE Catalyst SD-WAN Release 17.x Ce document détaille les restrictions, y compris la condition de groupe de ressources unique pour l'intégration vWAN Azure.
- Extension du fabric Cisco SD-WAN dans Azure avec Cisco Cloud onRamp pour le multicloud : Ce guide peut fournir des détails supplémentaires sur la vérification de l'abonnement Azure et des autorisations pour l'intégration.
- Problème lié à l'interface de ligne de commande Azure (pour le contexte sur les erreurs 502) : Bien qu'il ne s'agisse pas d'un document Cisco direct, ce problème GitHub fournit un aperçu des réponses d'erreur 502 similaires de l'API Azure, qui peuvent être pertinentes pour le comportement sous-jacent d'Azure.
Historique de révision
| Révision | Date de publication | Commentaires |
|---|---|---|
1.0 |
06-Oct-2025
|
Première publication |
CommentairesContacter Cisco
- Ouvrir un dossier d’assistance
- (Un contrat de service de Cisco est requis)