Risoluzione dei problemi relativi a Cloud onRamp in Microsoft Azure
Introduzione
In questo documento vengono descritti alcuni dei problemi comuni relativi alla distribuzione di gateway cloud in Azure da vManage Cloud on Ramp.
Problema
Quando si configura Cisco SD-WAN Cloud onRamp per Microsoft Azure, il campo di selezione dell'immagine software per i dispositivi cEdge appare vuoto in vManage Global Settings, impedendo la distribuzione delle istanze cEdge in Azure Cloud.
Sintomi:
-
La versione software di cEdge pianificata per l'implementazione futura nel campo Cloud di Azure in vManage > Cloud OnRamp For Multicast > Cloud Global Settings è vuota.
- I log admin-tech iniziali possono visualizzare l'errore di Azure: "AuthorizationFailed" (Autorizzazione non riuscita) con un messaggio indicante che il client non è autorizzato a eseguire l'azione Microsoft.Network/networkVirtualApplianceSkus/read.
- I log Admin-tech possono visualizzare RetryError: Numero massimo di tentativi HTTPSConnectionPool(...) superato con URL: ... (causato dall'errore di risposta "troppe risposte di errore 502") quando vManage tenta di recuperare gli SKU NVA (Network Virtual Appliance) from management.azure.com.
Questo registro è disponibile nel percorso /var/log/nms/containers/cloudagent-v2/cloudagent.log e indica che il livello di privilegio non è corretto nell'account di Azure.
|
[2025-07-18T04:14:53UTC+0000:140226169132800:ERROR:ca-v2:azure_resource_helper.py:351] Impossibile ottenere le risorse per { 'Microsoft.Network/networkVirtualApplianceSkus/read' sull'ambito '/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/providers/Microsoft.Network/networkVirtualApplianceSkus/ciscosdwan' oppure l'ambito non è valido. Se l'accesso è stato concesso di recente, aggiornare le credenziali. } } |
Questo registro è disponibile nel percorso /var/log/nms/containers/cloudagent-v2/cloudagent.log ant indica che in Azure sono stati configurati diversi gruppi di risorse.
|
[2025-09-01T04:07:35UTC+0000:140226169132800:ERROR:ca-v2:azure_resource_helper.py:351] Impossibile ottenere le risorse per { "cloudType": "AZURE" "ID account": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx", "NomeAccount": "<nome_account>", "regione": "est2", "tipo": "NVA_SKUS" }:Errore nella richiesta., RetryError: HTTPSConnectionPool(host='management.azure.com', porta=443): Numero massimo di tentativi superato con l'URL: /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/providers/Microsoft.Network/networkVirtualApplianceSkus/ciscosdwan?api-version=2020-05-01 (causato da ResponseError('troppe risposte di errore 502')) [2025-09-01T04:07:35UTC+0000:140226169132800:INFO:ca-v2:grpc_service.py:1011] Restituzione risposta GetAzureResourceInfo: { "mcCtxt" { "tenantId": "<nome tenan>", "ctxId": "zzzzzzzz-zzzz-zzzz-zzzz-zzzzzzzzzzzz" }, "stato": { "codice": "OK" } } |
Da vManage, questo è uno dei log comuni visualizzati quando l'attività viene distribuita dopo che l'account in Azure è stato assegnato con il livello di privilegio; tuttavia, il tipo di account non è Enterprise.
|
[27 agosto 2025 19:46:46 UTC] Creazione di MultiCloud Gateway: <nome account> [27-Aug-2025 19:46:47 UTC] Recupero del gruppo di risorse completato: <nome account> dal cloud [27 agosto 2025 19:46:47 UTC] Creazione dell'account di archiviazione nel gruppo di risorse: <nome account> nel cloud [27-Aug-2025 19:46:49 UTC] Account di archiviazione nel gruppo di risorse: Impossibile creare <nome account> nel cloud [27-ago-2025 19:46:49 UTC] Ulteriori dettagli: Errore di Azure: RichiediNonConsentitoPerCriterio Messaggio: La risorsa 'lcoix7mu7rcrswtdkyj0jsyw' non è consentita dai criteri. Identificatori criteri: '[{"policyAssignment":{"name":"Predefinito ASC (sottoscrizione: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx)","id":"/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/providers/Microsoft.Authorization/policyAssignments/SecurityCenterBuiltIn"}, "policyDefinition":{"name":"L'accesso pubblico all'account di archiviazione non deve essere consentito","id":"/providers/Microsoft.Authorization/policyDefinitions/yyyyyyyy-yyyy-yyyy-yyyyyyy","version":"3.1.1"}, <<<< Fa riferimento a un tipo di account in Azure non corretto, la sottoscrizione deve essere Enterprise "policySetDefinition":{"name":"Microsoft cloud security benchmark","id":"/providers/Microsoft.Authorization/policySetDefinitions/zzzzzzzz-zzzz-zzzz-zzzzzzzzzzzz","version":"57.53.0"}}]'. Destinazione: lcoix7mu7rcrswtdkyj0jsyw Ulteriori informazioni: Tipo: ViolazioneCriteri Informazioni: { "evaluationDetails" (Dettagli valutazione): { "espressioni valutate": [ { "risultato": "Vero", "expressionKind": "Campo" "espressione": "tipo", percorso: "tipo", "expressionValue": "Microsoft.AccountArchiviazione/Archiviazione", "targetValue": "Microsoft.AccountArchiviazione/Archiviazione", "operatore": "Uguale" }, { "risultato": "Falso", "expressionKind": "Campo" "espressione": "id", percorso: "id", "expressionValue": "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/<nome account>/providers/Microsoft.Storage/storageAccounts/lcoix7mu7rcrswtdkyj0jsyw", "targetValue": "/resourceGroups/aro-", "operatore": "Contiene" }, { "risultato": "Falso", "expressionKind": "Campo" "espressione": "Microsoft.Storage/storageAccounts/allowBlobPublicAccess", percorso: "properties.allowBlobPublicAccess", "targetValue": "falso", "operatore": "Uguale" } ] }, "policyDefinitionId": "/providers/Microsoft.Authorization/policyDefinitions/yyyyyyyyy-yyyy-yyyyy-yyyyyyyy", "policySetDefinitionId": "/providers/Microsoft.Authorization/policySetDefinitions/zzzzzzzz-zzzz-zzzz-zzzz-zzzzzzzzzz", "policyDefinitionReferenceId": "StorageDisallowPublicAccess", "policySetDefinitionName": "zzzzzzzz-zzzz-zzzz-zzzz-zzzzzzzzzzzz", "policySetDefinitionDisplayName": "Benchmark sulla sicurezza del cloud Microsoft", "policySetDefinitionVersion": "57,53,0", "policyDefinitionName": "aaaaaaaa-aaaaa-aaaaa-aaaaa-aaaaaaa", "policyDefinitionDisplayName": "L'accesso pubblico all'account di archiviazione deve essere negato", "policyDefinitionVersion": "3.1.1" "policyDefinitionEffect": "nega", "policyAssignmentId": "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/providers/Microsoft.Authorization/policyAssignments/SecurityCenterBuiltIn", "policyAssignmentName": "CentroSicurezzaIntegrato", "policyAssignmentDisplayName": "ASC Default (sottoscrizione: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx)", "policyAssignmentScope": "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxx-xxxxxxxxxx", "policyAssignmentParameters": { "effetto disallowPublicBlobAccess": "nega" }, "policyExemptionIds": [] "policyEnrollmentIds": [] } [27-ago-2025 19:46:49 UTC] Ripristino delle modifiche apportate... [27-ago-2025 19:46:49 UTC] Rollback completato [27-Aug-2025 19:46:49 UTC] Errore interno nella creazione o recupero dell'account di archiviazione |
Possibili cause:
- Privilegi di Azure insufficienti: anche se l'account Azure è collegato correttamente e dispone dei diritti per i collaboratori, vManage richiede autorizzazioni specifiche. Per leggere gli SKU di Network Virtual Appliance, è possibile che manchi o che non sia configurato correttamente.
2. Più gruppi di risorse di Azure: nella documentazione Cisco per l'integrazione di Azure vWAN è specificato che è consentito un solo gruppo di risorse per l'installazione Cloud OnRamp. La presenza di più gruppi di risorse obsoleti o ridondanti può causare un numero eccessivo di risposte di errore 502 da Azure quando vManage tenta di eseguire una query sugli SKU disponibili.
Soluzione
1. Verificare le autorizzazioni di Azure:
- Verificare che l'applicazione o l'entità servizio di Azure collegata a vManage disponga delle autorizzazioni necessarie per leggere gli SKU di Network Virtual Appliance. L'azione specifica è Microsoft.Network/networkVirtualApplianceSkus/read.
- Se le autorizzazioni sono state concesse o modificate di recente, aggiornare le credenziali in vManage o Azure.
- Questi passaggi sono documentati nella guida alla soluzione Cisco Cloud onRamp per Multi-Cloud Azure versione2 nella sezione Controllare le autorizzazioni di sottoscrizione di Azure.
2. Gestire i gruppi di risorse di Azure:
- Esaminare la sottoscrizione ad Azure per individuare eventuali gruppi di risorse obsoleti o ridondanti relativi a Cisco SD-WAN Cloud onRamp.
- Come indicato nella documentazione Cisco, per l'integrazione di Azure vWAN è consentito un solo gruppo di risorse. Eliminare tutti i gruppi di risorse precedenti, garantendo che rimanga solo quello attivo e necessario. Questa azione è stata eseguita per risolvere gli errori. Troppe risposte di errore 502.
Informazioni correlate
- Guida alla configurazione di Cisco Catalyst SD-WAN Cloud onRamp, Cisco IOS XE Catalyst SD-WAN release 17.x In questo documento vengono descritte in dettaglio le restrizioni, tra cui i requisiti del gruppo di risorse singolo per l'integrazione di Azure vWAN.
- Estensione di Cisco SD-WAN Fabric in Azure con Cisco Cloud onRamp per Multi-Cloud: In questa guida sono disponibili ulteriori dettagli sulla verifica della sottoscrizione di Azure e delle autorizzazioni per l'integrazione.
- Problema correlato alla CLI di Azure (per il contesto sugli errori 502): Anche se non si tratta di un documento Cisco diretto, questo problema GitHub fornisce informazioni dettagliate sulle risposte di errore 502 simili dall'API di Azure, che possono essere rilevanti per il comportamento di Azure sottostante.
Cronologia delle revisioni
| Revisione | Data di pubblicazione | Commenti |
|---|---|---|
1.0 |
06-Oct-2025
|
Versione iniziale |
Feedback