Не удалось получить изображение "xx.azurecr.io/xx:latest": ошибка rpc: code = Unknown desc = Ответ об ошибке от демона: неавторизован: требуется аутентификация

Question

Не удалось получить изображение "xx.azurecr.io/xx:latest": ошибка rpc: code = Unknown desc = Ответ об ошибке от демона: неавторизован: требуется аутентификация

Мои ACR и AKS находятся в одном каталоге Azure с одинаковой подпиской.

После того, как ACR Pull получил доступ к моему Принципалу обслуживания, ничего не работало и все еще получаю эту ошибку.

Ошибка:- Не удалось получить изображение "xx.azurecr.io/xx:latest": ошибка rpc: code = Unknown desc = Ответ об ошибке от демона: Получить https://xx.azurecr.io/v2/xx/manifests/latest: unauthorized: требуется аутентификация

скриншот приборной панели

4

image authentication azure-aks required azure-acr

Источник

user10640922 08 апр '19 в 12:58

1 ответ

Решение

У нас была другая причина этой ошибки: по умолчанию принципал службы, созданный с помощью кластеров AKS, истекает через год. Инструкции на https://docs.microsoft.com/en-us/azure/aks/update-credentials показывают, как обновить или создать нового участника.

1

Источник

user1868549 04 ноя '19 в 19:42

Принципал службы, под которым работал кластер, не является тем принципалом, который я думал. Чтобы проверить это, выполните следующие действия.

Выполните команду "az aks show -n aks-cluster-name -g resource-group-name | grep client"
Запустите запятую "az ad sp credential list --id " - эта команда проверяет, связан ли секрет.
Войдите на лазурный портал.
Перейдите в реестр контейнеров Azure
IAM -> Просмотреть назначение ролей -> Проверить, существует ли идентификатор клиента в списке с минимальным доступом "AcrPull". Если нет, предоставьте доступ к SP.

Пожалуйста, проверьте в YAML, видим ли мы правильную аутентификацию или нет.

0

Источник

user9546772 01 окт '19 в 20:06

Другие вопросы по тегам image authentication azure-aks required azure-acr

user9773937 09 апр '19 в 08:18 2019-04-09 08:18 · Accepted Answer · 2019-04-09 08:18

Из сообщения об ошибке видно, что вы не проходите проверку подлинности, чтобы извлечь изображение из реестра Azure Container.

Для AKS есть два способа получить разрешение на извлечение образа из реестра контейнеров Azure.

Одним из них является предоставление разрешения субъекту службы, используемому кластером AKS. Вы можете получить детали в Grant AKS для доступа к ACR. Таким образом, вам нужен только один участник службы.

Другой - это предоставление разрешения новому принципалу службы, который отличается от того, который использовал AKS. Затем вы создаете секрет с принципалом службы, чтобы вытащить образ. Вы можете получить подробности в Access с Kubernetes Secret.

Это два разных способа, поэтому вы должны убедиться, что в ваших шагах нет ошибок. Чтобы проверить назначение роли для участника службы, введите следующую команду CLI:

az role assignment list --assignee $SP_ID --role acrpull --scope $ACR_ID

SP_ID зависит от того, как вы использовали.