Solucionar Problemas do Cloud OnRamp no Microsoft Azure

Opções de download

  • PDF     (308.2 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (145.5 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (125.8 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:6 de outubro de 2025
ID do documento:225146

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introdução

    Este documento descreve alguns dos problemas comuns na implantação de gateways de nuvem no Azure a partir do vManage Cloud na plataforma.

    Problema

    Ao configurar o Cisco SD-WAN Cloud OnRamp para o Microsoft Azure, o campo de seleção Imagem de Software para dispositivos cEdge aparece vazio nas Configurações Globais do vManage, impedindo a implantação de instâncias do cEdge na Nuvem do Azure.

    Sintomas:

    • A versão do software do cEdge que está agendada para implementação futura no campo Nuvem do Azure em vManage > Cloud OnRamp For Multicloud > Configurações Globais da Nuvem está em branco.

    • Os logs administrativos técnicos iniciais podem mostrar o Erro do Azure: "AuthorizationFailed" com uma mensagem indicando que o cliente não tem autorização para executar a ação Microsoft.Network/networkVirtualApplianceSkus/read.
    • Os logs Admin-tech podem mostrar RetryError: Máximo de tentativas de HTTPSConnectionPool(...) excedido com a URL: ... (Causado pelo erro de resposta "muitas respostas de erro 502") quando o vManage tenta recuperar as SKUs do Network Virtual Appliance (NVA) from management.azure.com.

    Software Image Field Appears Empty in vManage Global Settings

    Você pode encontrar esse log no caminho /var/log/nms/containers/cloudagent-v2/cloudagent.log e ele mostra que o nível de privilégio está incorreto na conta do Azure.

    [2025-07-18T04:14:53UTC+0000:140226169132800:ERROR:ca-v2:azure_resource_helper.py:351] Falha ao obter recursos para {
    "Tipo de nuvem": "AZURE"
    "ID da conta": "xxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
    "Nome da conta": "<account_name>",
    "Região": "eastus2",
    "Tipo": "NVA_SKUS"
    }:Erro do Azure: Falha naAutorização
    Mensagem: O cliente 'yyyyyyyyyyy-yyyyy-yyyyyyyyyyyyyy' com o id de objeto 'yyyyyyyyyy-yyyy-yyyy-yyyyyyyyyy' não tem autorização para executar a ação <<<< Confirma que os privilégios não são suficientes

    'Microsoft.Network/networkVirtualApplianceSkus/read' sobre o escopo '/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/providers/Microsoft.Network/networkVirtualApplianceSkus/ciscosdwan' ou o escopo é inválido. Se o acesso foi concedido recentemente, atualize suas credenciais.
    [2025-07-18T04:14:53UTC+0000:140226169132800:INFO:ca-v2:grpc_service.py:1011] Retornando Resposta de GetAzureResourceInfo: {
    "mcCtxt": {
    "ID do locatário": "<tenan name>",
    "ctxId": "zzzzzzzz-zzzz-zzzz-zzzzzzzzzzzz"
    },
    "Estado": {
    "Código": "OK"

      }

    }

    Este log pode ser encontrado no mesmo caminho /var/log/nms/containers/cloudagent-v2/cloudagent.logant ele mostra que vários grupos de recursos foram configurados no Azure.

    [2025-09-01T04:07:35UTC+0000:140226169132800:ERROR:ca-v2:azure_resource_helper.py:351] Falha ao obter recursos para {

      "Tipo de nuvem": "AZURE"

      "ID da conta": "xxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",

      "Nome da conta": "<account_name>",

      "Região": "eastus2",

      "Tipo": "NVA_SKUS"

    }:Ocorreu um erro na solicitação., RetryError: HTTPonnectionPool(host='management.azure.com', porta=443): Número máximo de tentativas excedido com a URL: /subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/providers/Microsoft.Network/networkVirtualApplianceSkus/ciscosdwan?api-version=2020-05-01 (Causado por ResponseError('excesso de 502 respostas de erro'))

    [2025-09-01T04:07:35UTC+0000:140226169132800:INFO:ca-v2:grpc_service.py:1011] Retornando Resposta de GetAzureResourceInfo: {

      "mcCtxt": {

        "ID do locatário": "<tenan name>",

        "ctxId": "zzzzzzzz-zzzz-zzzz-zzzzzzzzzzzz"

      },

      "Estado": {

        "Código": "OK"

      }

    }

    No vManage, este é um dos logs comuns mostrados quando a tarefa é implantada depois que a conta no Azure foi atribuída com o nível de privilégio; no entanto, o tipo de conta não é Empresa. 

    [27-ago-2025 19:46:46 UTC] Criando o Gateway MultiCloud: <nome da conta>

    [27-ago-2025 19:46:47 UTC] Grupo de Recursos buscado com êxito: da nuvem

    [27-ago-2025 19:46:47 UTC] Criando Conta de Armazenamento no Grupo de Recursos: <nome da conta> na nuvem

    [27-ago-2025 19:46:49 UTC] Conta de Armazenamento no grupo de recursos: Não foi possível criar <nome da conta> na nuvem.

    [27-ago-2025 19:46:49 UTC] Detalhes adicionais: Erro do Azure: RequestDisallowedByPolicy

    Mensagem: O recurso 'locoix7mu7rcrswtdkyj0jsyw' foi desabilitado pela política. Identificadores de política: '[{"policyAssignment":{"name":"ASC Padrão (assinatura: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxx)","id":"/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/providers/Microsoft.Authorization/policyAssignments/SecurityCenterBuiltIn"},

    "policyDefinition":{"name":"O acesso público à conta de armazenamento não deve ser permitido","id":"/providers/Microsoft.Authorization/policyDefinitions/yyyyyyy-yyyyy-yyyyyyyyyyyy","version":"3.1.1"}, <<<< Refere-se ao tipo de conta no Azure que não está correto, a assinatura deve ser Enterprise

    "policySetDefinition":{"name":"Microsoft cloud security benchmark","id":"/providers/Microsoft.Authorization/policySetDefinitions/zzzzzzzz-zzzz-zzzzzzzzzzzz","version":"57.53.0"}}]'.

    Destino: lcoix7mu7rcrswtdkyj0jsyw

    Informações adicionais:

                  Digite: Violaçãode política

                  Informações: {

                      "evaluationDetails" (detalhes da avaliação): {

                          "Expressões avaliadas": [

                              {

                                  "Resultado": "Verdadeiro"

                                  "tipo de expressão": "Campo"

                                  "expressão": "tipo",

                                  "caminho": "tipo",

                                  "valor deexpressão": "Microsoft.Storage/storageAccounts",

                                  "Valor de destino": "Microsoft.Storage/storageAccounts",

                                  "Operador": "Igual"

                              },

                              {

                                  "Resultado": "Falso",

                                  "tipo de expressão": "Campo"

                                  "expressão": "id",

                                  "caminho": "id",

                                  "valor deexpressão": "/subscriptions/xxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxx/resourceGroups/<nome da conta>/providers/Microsoft.Storage/storageAccounts/lcoix7mu7rcrswtdkyj0jsyw",

                                  "Valor de destino": "/resourceGroups/aro-",

                                  "Operador": "Contém"

                              },

                              {

                                  "Resultado": "Falso",

                                  "tipo de expressão": "Campo"

                                  "expressão": "Microsoft.Storage/storageAccounts/allowBlobPublicAccess",

                                  "caminho": "properties.allowBlobPublicAccess",

                                  "Valor de destino": "falso",

                                  "Operador": "Igual"

                              }

                          ]

                      },

                      "IDdeDefiniçãoDePolítica": "/providers/Microsoft.Authorization/policyDefinitions/yyyyyyyy-yyyy-yyyy-yyyyyyyyyyyyyyyyy",

                      "IDdeDefiniçãoDoConjuntoDePolíticas": "/providers/Microsoft.Authorization/policySetDefinitions/zzzzzzzz-zzzz-zzzz-zzzzzzzzzzzzzz",

                      "IDdeReferênciadeDefiniçãodePolítica": "StorageDisallowPublicAccess",

                      "policySetDefinitionName": "zzzzzzzz-zzzz-zzzz-zzzzzzzzzzzz",

                      "policySetDefinitionDisplayName": "Benchmark de segurança de nuvem da Microsoft",

                      "PolicySetDefinitionVersion": "57.53.0",

                      "NomedeDefiniçãoDePolítica": "aaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaa",

                      "policyDefinitionDisplayName": "O acesso público à conta de armazenamento não deve ser permitido",

                      "Versão de Definição de Política": "3.1.1",

                      "PolicyDefinitionEffect": "negar",

                      "IDdeAtribuiçãoPolítica": "/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/providers/Microsoft.Authorization/policyAssignments/SecurityCenterBuiltIn" (em inglês),

                      "policyAssignmentName": "Centro de segurança integrado",

                      "NomedeExibiçãoAtribuiçãoPolítica": "Padrão ASC (assinatura: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxx)",

                      "EscopoAtribuiçãoPolítica": "/subscriptions/xxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",

                      "ParâmetrosDeAtribuiçãoDePolítica": {

                          "não permitir PublicBlobAccessEffect": "deny"

                      },

                      "IDdeIsençãoDePolítica": [],

                      "IDs de registro de política": []

                  }

    [27-ago-2025 19:46:49 UTC] Revertendo as alterações feitas...

    [27-ago-2025 19:46:49 UTC] Reversão concluída

    [27-ago-2025 19:46:49 UTC] Erro interno ao criar ou buscar Conta de Armazenamento

    Causas potenciais:

    1. Privilégios Insuficientes do Azure: mesmo que a conta do Azure seja vinculada com êxito e tenha direitos de contribuidor, permissões específicas são exigidas pelo vManage. Para ler as SKUs do Network Virtual Appliance, elas podem estar ausentes ou configuradas incorretamente.

    2. Vários Grupos de Recursos do Azure: a documentação da Cisco para integração vWAN do Azure especifica que apenas um grupo de recursos é permitido para a configuração do Cloud OnRamp. Ter vários grupos de recursos antigos ou redundantes pode levar a muitas respostas de erro 502 do Azure quando o vManage tenta consultar as SKUs disponíveis.

    Solução

    1. Verificar Permissões do Azure:

      • Verifique se o aplicativo Azure ou a entidade de serviço vinculada ao vManage tem as permissões necessárias para ler as SKUs do Network Virtual Appliance. A ação específica é Microsoft.Network/networkVirtualApplianceSkus/read.
      • Se as permissões foram concedidas ou modificadas recentemente, atualize as credenciais no vManage ou Azure.
      • Essas etapas são documentadas no Guia de Soluções do Cisco Cloud onRamp para Multi-Cloud Azure Versão2 na seção Verificar Permissões de Assinatura do Azure.

    2. Gerenciar Grupos de Recursos do Azure:

      • Revise sua assinatura do Azure para grupos de recursos antigos ou redundantes relacionados ao Cisco SD-WAN Cloud OnRamp.
      • De acordo com a documentação da Cisco, somente um grupo de recursos é permitido para a integração vWAN do Azure. Exclua todos os grupos de recursos antigos, garantindo que apenas o ativo e o necessário permaneça. Esta ação foi observada para resolver o erro, muitas respostas de erro 502.

    Informações Relacionadas

    Histórico de revisões

    Revisão Data de publicação Comentários
    1.0
    06-Oct-2025
    Versão inicial
    TAC Authored

    Colaborado por engenheiros da Cisco

    • Luis Angel Frias Ramirez
      Engenheiro de consultoria técnica

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos