對Microsoft Azure中的雲OnRamp問題進行故障排除
簡介
本文檔介紹從vManage Cloud on Ramp在Azure中部署雲網關時的一些常見問題。
問題
為Microsoft Azure配置Cisco SD-WAN雲OnRamp時,cEdge裝置的「軟體映像」選擇欄位在「vManage全域性設定」中顯示為空,從而阻止在Azure雲中部署cEdge例項。
症狀:
-
vManage > Cloud OnRamp For Multicloud > Cloud Global Settings中vManage > Cloud OnRamp For Multicloud > Cloud Global Settings中計畫在Azure雲上實施的軟體版本為空。
- 初始管理技術日誌可以顯示Azure錯誤:「AuthorizationFailed」,並出現一條消息,指示客戶端缺少執行Microsoft.Network/networkVirtualApplianceSku/read操作的授權。
- 管理技術日誌可以顯示RetryError:HTTPSConnectionPool(...)使用url超出最大重試次數:...(由vManage嘗試檢索Network Virtual Appliance(NVA)SKU時出現的響應錯誤「太多502個錯誤響應」導致from management.azure.com。
你可以在/var/log/nms/containers/cloudagent-v2/cloudagent.log 路徑中找到此日誌,它顯示Azure帳戶中的許可權級別不正確。
|
[2025-07-18T04:14:53UTC+0000:140226169132800:ERROR:ca-v2:azure_resource_helper.py:351]無法獲取{ 通過「/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/providers/Microsoft.Network/networkVirtualApplianceSkus/ciscosdwan」作用域「Microsoft.Network/networkVirtualApplianceSkus/read」或作用域無效。如果最近授予了訪問許可權,請刷新您的憑據。 } } |
此日誌可以在同一路徑/var/log/nms/containers/cloudagent-v2/cloudagent.log中找到,表明已在Azure中配置了多個資源組。
|
[2025-09-01T04:07:35UTC+0000:140226169132800:ERROR:ca-v2:azure_resource_helper.py:351]無法獲取{ "cloudType":"AZURE", "accountId":"xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx", "帳戶名":"<account_name>", "區域":"eastus2", "型別":"NVA_SKUS" }:請求時出錯。,RetryError:HTTPSConnectionPool(host='management.azure.com', port=443):使用url超出最大重試次數:/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/providers/Microsoft.Network/networkVirtualApplianceSkus/ciscosdwan?api-version=2020-05-01(由ResponseError(「502錯誤響應過多」)引起) [2025-09-01T04:07:35UTC+0000:140226169132800:INFO:ca-v2:grpc_service.py:1011]返回GetAzureResourceInfo響應:{ "McCtxt":{ "租戶Id":"<tenan name>", "ctxId":"zzzzzz-zzzz-zzzzz-zzzzzzzz" }, "狀態":{ "代碼":"確定" } } |
在vManage中,這是在為Azure中的帳戶分配許可權級別之後部署任務時顯示的常見日誌之一;但是,帳戶型別不是「企業」。
|
[2025年8月27日19:46:46 UTC]建立多雲網關:<帳戶名稱> [2025年8月27日19:46:47 UTC]已成功獲取資源組:來自雲的<account name> [2025年8月27日19:46:47 UTC]在資源組下建立儲存帳戶:雲中的<account name> [2025年8月27日19:46:49 UTC]資源組下的儲存帳戶:無法在雲中建立<account name> [2025年8月27日19:46:49 UTC]其他詳細資訊:Azure錯誤:RequestDisallowedByPolicy 消息:策略不允許資源「lcoix7mu7rcrswtdkyj0jsyw」。策略識別符號:'[{"policyAssignment":{"name":"ASC預設值(訂閱:xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx)","id":"/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/providers/Microsoft.Authorization/policyAssignments/SecurityCenterBuiltIn"}, "policyDefinition":{"name":"Storage account public access should be disallowed","id":"/providers/Microsoft.Authorization/policyDefinitions/yyyyyy-yyyy-yyyy-yyyyyyyyyy","version":"3.1.1"}, <<<它引用Azure中的帳戶型別不正確,訂閱必須為Enterprise "policySetDefinition":{"name":"Microsoft cloud security benchmark","id":"/providers/Microsoft.Authorization/policySetDefinitions/zzzzzzz-zzzz-zzzzz-zzzzzzzzz","version":"57.53.0"}}]'。 目標:lcoix7mu7rcrswtdkyj0jsyw Additional Information: Type:PolicyViolation 資訊:{ "評估詳細資訊":{ "evaluatedExpressions":[ { "結果":"真", "expressionKind":"欄位", "表達式":"型別", "路徑":"型別", "expressionValue":"Microsoft.Storage/storageAccount", "目標值":"Microsoft.Storage/storageAccount", "操作員":「等於」 }, { "結果":"假", "expressionKind":"欄位", "表達式":"id", "路徑":"id", "expressionValue":"/subscriptions/xxxxxxxx-xxxx-xxxx-xxxxxxxxxx/resourceGroups/<account name>/providers/Microsoft.Storage/storageAccounts/lcoix7mu7rcrswtdkyj0jsyw", "目標值":"/resourceGroups/aro-", "操作員":"包含" }, { "結果":"假", "expressionKind":"欄位", "表達式":"Microsoft.Storage/storageAccounts/allowBlobPublicAccess", "路徑":"properties.allowBlobPublicAccess", "目標值":"假", "操作員":「等於」 } ] }, "policyDefinitionId":"/providers/Microsoft.Authorization/policyDefinitions/yyyyyy-yyyy-yyyy-yyyyyyyyyyyy", "policySetDefinitionId":"/providers/Microsoft.Authorization/policySetDefinitions/zzzzzz-zzzz-zzzz-zzzz-zzzzzzzzz", "policyDefinitionReferenceId":"StorageDisallowPublicAccess", "policySetDefinitionName":"zzzzzz-zzzz-zzzzz-zzzzzzzz", "policySetDefinitionDisplayName":"Microsoft雲安全基準", "policySetDefinitionVersion":"57.53.0", "policyDefinitionName":"yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyyyyy", "policyDefinitionDisplayName":"應禁止儲存帳戶公共訪問", "policyDefinitionVersion":"3.1.1", "policyDefinitionEffect":"拒絕", "policyAssignmentId":"/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/providers/Microsoft.Authorization/policyAssignments/SecurityCenterBuiltIn", "policyAssignmentName":"SecurityCenterBuiltIn", "policyAssignmentDisplayName":"ASC預設(訂閱:xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx)」, "policyAssignmentScope":"/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx", "policyAssignmentParameters":{ "disallowPublicBlobAccessEffect":"拒絕" }, "policyExemptionIds":[], "policyEnrollmentIds":[] } [2025年8月27日19:46:49 UTC]正在回滾所做的更改…… [2025年8月27日19:46:49 UTC]回滾完成 [2025年8月27日19:46:49 UTC]建立或提取儲存帳戶時出現內部錯誤 |
潛在原因:
- Azure許可權不足:即使Azure帳戶已成功連結並具有參與者許可權,vManage仍需要特定許可權。要讀取Network Virtual Appliance SKU,可能會丟失或配置不正確。
2.多個Azure資源組:Azure vWAN整合的思科文檔指定僅允許一個資源組用於雲OnRamp設定。當vManage嘗試查詢可用的SKU時,有多個舊資源組或冗餘資源組會導致Azure發出太多的502錯誤響應。
解決方案
1.驗證Azure許可權:
- 確保連結到vManage的Azure應用程式或服務主體具有讀取Network Virtual Appliance SKU的必要許可權。特定操作為Microsoft.Network/networkVirtualApplianceSku/read。
- 如果最近授予或修改了許可權,請在vManage或Azure中刷新憑據。
- 這些步驟在Cisco Cloud onRamp for Multi-Cloud Azure Version2 Solution Guide的檢查Azure訂閱許可權一節中進行了介紹。
2.管理Azure資源組:
- 檢視你的Azure訂閱,瞭解與Cisco SD-WAN雲OnRamp相關的任何舊資源組或冗餘資源組。
- 根據思科文檔,僅允許一個資源組用於Azure vWAN整合。刪除所有舊資源組,確保僅保留活動資源組和必要的資源組。已觀察到此操作以解決錯誤,502錯誤響應太多。
相關資訊
- Cisco Catalyst SD-WAN雲OnRamp配置指南,Cisco IOS XE Catalyst SD-WAN版本17.x本文檔詳細介紹限制,包括Azure vWAN整合的單一資源組要求。
- 通過適用於多雲的Cisco Cloud onRamp將Cisco SD-WAN交換矩陣擴展到Azure:此指南可以提供有關檢查Azure訂閱和整合許可權的進一步詳細資訊。
- 相關Azure CLI問題(針對502個錯誤的上下文):雖然不是直接的思科文檔,但此GitHub問題可深入瞭解來自Azure API的類似502錯誤響應,這些響應可能與基礎Azure行為相關。
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
06-Oct-2025
|
初始版本 |
意見