我的 ACR 和 AKS 位于具有相同订阅的同一 Azure 目录中。
在向我的服务主体授予 ACR Pull 访问权限后,没有任何效果并且仍然出现此错误。
错误:- 无法提取图像“xx.azurecr.io/xx:latest”:rpc 错误:代码 = 未知 desc = 来自守护进程的错误响应:获取 https://xx.azurecr.io/v2/xx/manifests/latest:未经授权:需要身份验证
问问题
7527 次
3 回答
3
从错误消息中可以看出,您未进行身份验证以在 Azure 容器注册表中提取映像。
对于 AKS,有两种方法可以获取从 Azure 容器注册表中提取映像的权限。
一种是向 AKS 群集使用的服务主体授予权限。您可以在授予 AKS 访问 ACR中获取详细信息。这样,您只需要一个服务主体。
另一种是向与 AKS 使用的服务主体不同的新服务主体授予权限。然后,您使用服务主体创建一个密钥以提取映像。您可以在Access with Kubernetes Secret中获取详细信息。
它们是两种不同的方式,所以你应该确保你的步骤没有错误。要检查服务主体的角色分配,CLI 命令如下:
az role assignment list --assignee $SP_ID --role acrpull --scope $ACR_ID
SP_ID 取决于您使用的方式。
于 2019-04-09T08:18:23.660 回答
1
我们对这个错误有不同的原因:默认情况下,使用 AKS 群集创建的服务主体会在一年后过期。https://docs.microsoft.com/en-us/azure/aks/update-credentials上的说明显示了如何更新或创建新主体。
于 2019-11-04T16:42:28.867 回答
0
集群运行的服务主体不是我认为的主体。要检查,请按照以下步骤操作。
运行命令“az aks show -n aks-cluster-name -g resource-group-name | grep client”
运行命令“az ad sp credential list --id”——该命令用于检查密钥是否关联。
登录到 Azure 门户。
导航到 Azure 容器注册表
IAM --> 查看角色分配 --> 检查列表中是否存在具有最少“AcrPull”访问权限的客户 ID。如果不授予对 SP 的访问权限。
如果我们看到正确的身份验证,请检查 YAML。
于 2019-10-01T17:06:51.610 回答