Azure Arc リソース ブリッジに関する問題のトラブルシューティング

  • [アーティクル]

この記事では、Azure Arc リソース ブリッジをデプロイ、使用、または削除しようとする際に発生しうる問題のトラブルシューティングと解決に関する情報を提供します。 リソース ブリッジは、管理 Kubernetes クラスターをホストする、パッケージ化された仮想マシンです。 一般的な情報については、「Azure Arc リソース ブリッジの概要」を参照してください。

一般的な問題

ログの収集

Arc リソース ブリッジに問題がある場合は、Azure CLI az arcappliance logs コマンドを使用して、詳細な調査のためにログを収集します。 このコマンドは、Arc リソース ブリッジのデプロイに使用する管理マシンから実行する必要があります。 別のマシンを使用している場合は、そのマシンが管理マシンの要件を満たしている必要があります。

ログの収集に問題がある場合、管理マシンがアプライアンス VM に到達できないことが原因である可能性が最も高いです。 管理マシンからアプライアンス VM の TCP ポート 22 への SSH 通信を許可するように、ネットワーク管理者に問い合わせてください。

アプライアンス VM の IP、または logs コマンドの kubeconfig のいずれかを渡すことにより、Arc リソース ブリッジ ログを収集できます。

アプライアンス VM の IP アドレスを使って VMware 上の Arc リソース ブリッジ ログを収集するには:

az arcappliance logs vmware --ip <appliance VM IP> --username <vSphere username> --password <vSphere password> --address <vCenter address> --out-dir <path to output directory>

アプライアンス VM の IP アドレスを使って Azure Stack HCI の Arc リソース ブリッジ ログを収集するには:

az arcappliance logs hci --ip <appliance VM IP> --cloudagent <cloud agent service IP/FQDN> --loginconfigfile <file path of kvatoken.tok>

アプライアンス VM の IP が不明な場合は、kubeconfig を使うオプションもあります。 kubeconfig を取得するには、get-credentials コマンドを実行してから、logs コマンドを実行します。

Arc 対応 VMware の Arc リソース ブリッジをデプロイするのに使ったものとは異なるマシンから、kubeconfig とログ キーを取得し、Arc 対応 VMware のログを収集するには:

az account set -s <subscription id>
az arcappliance get-credentials -n <Arc resource bridge name> -g <resource group name> 
az arcappliance logs vmware --kubeconfig kubeconfig --out-dir <path to specified output directory>

ダウンロード/アップロード接続が成功しなかった

ネットワーク速度が遅い場合、Arc リソース ブリッジ VM イメージを正常にダウンロードできず、次のエラーが発生する可能性があります: ErrorCode: ValidateKvaError, Error: Pre-deployment validation of your download/upload connectivity was not successful. Timeout error occurred during download and preparation of appliance image to the on-premises fabric storage. Common causes of this timeout error are slow network download/upload speeds, a proxy limiting the network speed or slow storage performance.

アップロードに影響するネットワーク速度が遅いためにエラーが発生する場合、回避策としては、オンプレミスのプライベート クラウド上に直接 VM を作成し、その VM から Arc リソース ブリッジ デプロイ スクリプトを実行します。 この回避策により、イメージをデータストアにアップロードする速度が確実に速くなります。

フェーズ ApplyingKvaImageOperator 中にコンテキストがタイムアウトした

Arc リソース ブリッジのデプロイ時に次のエラーが発生する場合があります: Deployment of the Arc resource bridge appliance VM timed out. Please collect logs with _az arcappliance logs_ and create a support ticket for help. To troubleshoot the error, refer to aka.ms/arc-rb-error { _errorCode_: _ContextError_, _errorResponse_: _{\n\_message\_: \_Context timed out during phase _ApplyingKvaImageOperator_\_\n}_ }

このエラーは通常、低速なネットワーク、または断続的な接続が発生しているネットワーク経由で KVAIO イメージ (400 MB で圧縮済み) をダウンロードしようとした場合に発生します。 KVAIO コントローラー マネージャーは、イメージのダウンロードが完了するのを待っていますが、タイムアウトになります。Arc リソース ブリッジ VM と Microsoft Container Registry (mcr.microsoft.com) との間のネットワーク速度が安定しており、少なくとも 2 Mbps であることを確認してみてください。 ネットワークの接続と速度が安定していても、このエラーが引き続き発生する場合は、Microsoft Container Registry が大量のトラフィックを受信して​​いる可能性があるため、30 分以上待ってから再試行してください。

フェーズ WaitingForAPIServer 中にコンテキストがタイムアウトした

Arc リソース ブリッジをデプロイしているときに、次のエラーが発生する場合があります: Deployment of the Arc resource bridge appliance VM timed out. Please collect logs with _az arcappliance logs_ and create a support ticket for help. To troubleshoot the error, refer to aka.ms/arc-rb-error { _errorCode_: _ContextError_, _errorResponse_: _{\n\_message\_: \_Context timed out during phase _WaitingForAPIServer

このエラーは、デプロイ マシンが制限時間内に Arc リソース ブリッジのコントロール プレーン IP に接続できないことを示します。 このエラーの一般的な原因は、多くの場合、ネットワークに関係しています。例としては、デプロイ マシンとコントロール プレーン IP との間の通信がプロキシ経由でルーティングされている場合があります。 デプロイ マシンからコントロール プレーンおよびアプライアンス VM IP へのトラフィックは、プロキシを通過しないようにする必要があります。 トラフィックがプロキシされている場合は、デプロイ マシンと、コントロール プレーン IP およびアプライアンス VM IP との間のトラフィックがプロキシされないように、ネットワークまたはデプロイ マシンのプロキシ設定を構成します。 このエラーのもう 1 つの原因は、ファイアウォールがデプロイ マシンとコントロール プレーン IP との間、またはデプロイ マシンとアプライアンス VM IP との間のポート 6443 とポート 22 へのアクセスを閉じている場合です。

UploadError 403 Forbidden または 404 Site Not Found

Arc リソース ブリッジをデプロイしているときに、エラー { _errorCode_: _UploadError_, _errorResponse_: _{\n\_message\_: \_Pre-deployment validation of your download/upload connectivity was not successful. {\\n \\\_code\\\_: \\\_ImageProvisionError\\\_,\\n \\\_message\\\_: \\\_403 Forbidden または { _errorCode_: _UploadError_, _errorResponse_: _{\n\_message\_: \_Pre-deployment validation of your download/upload connectivity was not successful. {\\n \\\_code\\\_: \\\_ImageProvisionError\\\_,\\n \\\_message\\\_: \\\_404 Site Not Found が発生する場合があります。

このエラーは、デプロイ プロセスで、イメージを Microsoft レジストリからデプロイ マシンにダウンロードする必要があり、ダウンロードがプロキシまたはファイアウォールによってブロックされている場合に発生します。 ネットワーク要件を確認し、必要なすべての URL にアクセスできることを確認します。 デプロイ マシンから Microsoft の必要な URL へのトラフィックがプロキシを経由しないようにするには、プロキシなし設定を更新することが必要な場合があります。

Arc リソース ブリッジがオフラインである

リソース ブリッジがオフラインの場合、これは、通常、インフラストラクチャ、環境、またはクラスター内のネットワークの変更により、アプライアンス VM が対応する Azure リソースと通信できなくなることが原因です。 何が変更されたかを判断できない場合は、アプライアンス VM を再起動し、ログを収集し、さらに調査するためにサポート チケットを送信できます。

リモート PowerShell はサポートされていません

Arc リソース ブリッジの az arcappliance CLI コマンドをリモート PowerShell を介して実行すると、さまざまな問題が発生する可能性があります。 たとえば、Azure Stack HCI クラスターにリソース ブリッジをインストールしようとすると、 認証ハンドシェイク エラー や別の型のエラーが発生する場合があります。 リモート PowerShell からの az arcappliance コマンドの使用は現在サポートされていません。 代わりに、ノードにリモート デスクトップ プロトコル (RDP) を通じてサインインするか、コンソール セッションを使用します。

リソース ブリッジの構成を更新できない

このリリースでは、作成時にすべてのパラメーターが指定されています。 Azure Arc リソース ブリッジを更新するには、そのブリッジを削除してから再デプロイする必要があります。 たとえば、デプロイ中に間違った場所やサブスクリプションを指定した場合、後でリソースの作成は失敗します。 リソース ブリッジ VM を再デプロイせずにリソースを再作成しようとすると、WaitForHeartBeat で止まった状態になります。 この問題を解決するには、アプライアンスを削除し、アプライアンスの YAML ファイルを更新します。 その後に、リソース ブリッジを再デプロイして作成します。

アプライアンス ネットワークを使用できない

Arc リソース ブリッジでネットワークの問題が発生している場合は、アプライアンス ネットワークが使えないことを示すエラーが表示されることがあります。 一般に、アプライアンス VM へのネットワークまたはインフラストラクチャ接続の問題によってこのエラーが発生する可能性があります。 このエラーは "ダイヤル tcp xx.xx.xxx.xx:55000 のダイヤル中にエラーが発生しました: 接続: ホストするルートがありません" として表示されることもあります。 ホストから Arc リソース ブリッジ VM への、TCP ポート 22 を介した通信をネットワーク管理者の助けを借りて開かなければならないことが問題の可能性があります。 一時的なネットワークの問題により、ホストが Arc リソース ブリッジ VM にアクセスできない場合があります。 ネットワークの問題が解決したら、操作を再試行できます。 Arc リソース ブリッジのアプライアンス VM が停止またはオフラインになっていないことも確認できます。 Azure Stack HCI の場合は、ホスト ストレージがいっぱいで、ストレージへの対処が必要な場合があります。

トークンの更新エラー

Azure CLI のコマンドを実行すると、「更新トークンの有効期限が切れているか、条件付きアクセスによるサインインの頻度のチェックにより無効です」というエラーが返される可能性があります。このエラーは、Azure にサインインすると、トークンの有効期間が最大になるために発生します。 有効期間を超過した場合は、az login コマンドを使用して Azure にもう一度サインインする必要があります。

既定のホスト リソース プールをデプロイに使用できません

az arcappliance createconfig または az arcappliance run コマンドを使用するとき、対話型エクスペリエンスが用意されており、仮想アプライアンスのデプロイ先を選択できる VMware エンティティの一覧が表示されます。 この一覧には、ユーザーが作成したすべてのリソース プールが表示されます。 既定のクラスター リソース プールは含まれますが、既定のホスト リソース プールは一覧に表示されません。 アプライアンスがホスト リソース プールにデプロイされているとき、ホスト ハードウェアに障害が発生した場合に高可用性は確保されません。 アプライアンスはホスト リソース プールにデプロイしないことをお勧めします。

リソース ブリッジの状態が "オフライン" で provisioningState が "失敗"

Arc リソース ブリッジをデプロイすると、az arcappliance deploy または az arcappliance create を実行したときにエラーが発生しなかったため、ブリッジが正常にデプロイされているように見える場合があります。 しかし、Azure portal でブリッジを表示すると状態が [オフライン] と表示され、az arcappliance show では provisioningStateFailed と表示される場合があります。 このようなことは、ブリッジがデプロイされる前に、必要なプロバイダーが登録されていない場合に発生します。

この問題を解決するには、リソース ブリッジを削除し、プロバイダーを登録してから、リソース ブリッジをデプロイし直します。

  1. リソース ブリッジを削除します。

    az arcappliance delete <fabric> --config-file <path to appliance.yaml>

  2. プロバイダーを登録します。

    az provider register --namespace Microsoft.ExtendedLocation –-wait
az provider register --namespace Microsoft.ResourceConnector –-wait

  3. リソース ブリッジをデプロイし直します。

Note

パートナー製品 (Arc 対応 VMware vSphere など) には、登録する必要のある独自のプロバイダーが含まれる場合があります。 登録する必要がある他のプロバイダーを確認するには、製品のドキュメントをご覧ください。

アプライアンス VM での有効期限が切れた資格情報

Arc リソース ブリッジは、オンプレミスのインフラストラクチャに展開されるアプライアンス VM で構成されます。 アプライアンス VM は、ローカル環境に格納された資格情報を使って、オンプレミス インフラストラクチャの管理エンドポイントへの接続を維持します。 これらの資格情報を更新しないと、リソース ブリッジは管理エンドポイントと通信できなくなります。 これにより、リソース ブリッジをアップグレードしたり、Azure から VM を管理したりするときに、問題が発生する可能性があります。 これを解決するには、アプライアンス VM で資格情報を更新する必要があります。 詳しくは、「アプライアンス VM の資格情報を更新する」をご覧ください。

Arc リソース ブリッジでは、プライベート リンクはサポートされていません。 アプライアンス VM からのすべての呼び出しがプライベート リンクのセットアップを経由しないようにする必要があります。 Private Link の IP は、アプライアンス IP プールの範囲と競合する可能性があります。これは、リソース ブリッジでは構成できません。 Arc リソース ブリッジは、プライベート リンク接続を経由してはならない必要な URL にアクセスしようとします。 プライベート リンクの設定とは関係のない別のネットワーク セグメントに Arc リソース ブリッジをデプロイする必要があります。

ネットワークの問題

イメージのバックオフ プルのエラー

Arc リソース ブリッジをデプロイしようとすると、back-off pulling image \\\"url"\\\: FailFastPodCondition を含むエラーが表示されることがあります。 このエラーは、アプライアンス VM がエラーで指定されている URL に到達できない場合に発生します。 この問題を解決するには、アプライアンス VM が、必要な許可リスト URL へのインターネット アクセス接続などのシステム要件を満たしていることを確認します。

URL に接続できない

Not able to connect to https://example.url.com を含むエラーを受け取る場合は、ネットワーク管理者に、Arc リソース ブリッジのデプロイに必要なすべてのファイアウォールとプロキシの URL がネットワークで許可されていることを確認します。 詳細については、「Azure Arc リソース ブリッジのネットワーク要件」を参照してください。

Http2 サーバーが GOAWAY を送信しました

Arc リソース ブリッジをデプロイしようとすると、次のようなエラー メッセージを受け取ることがあります。

"errorResponse": "{\n\"message\": \"Post \\\"https://region.dp.kubernetesconfiguration.azure.com/azure-arc-appliance-k8sagents/GetLatestHelmPackagePath?api-version=2019-11-01-preview\\u0026releaseTrain=stable\\\": http2: server sent GOAWAY and closed the connection; LastStreamID=1, ErrCode=NO_ERROR, debug=\\\"\\\"\"\n}"

これは、ファイアウォールまたはプロキシで SSL/TLS 検査が有効になっており、リソース ブリッジのデプロイに使用されたマシンからの http2 呼び出しがブロックされる場合に発生します。 これが問題であることを確認するには、次の PowerShell コマンドレットを実行し、http2 (PowerShell バージョン 7 以降が必要) で Web 要求を呼び出します。その際、URL のリージョンと API バージョン (例: 2019-11-01) をエラーの値に置き換えます。

Invoke-WebRequest -HttpVersion 2.0 -UseBasicParsing -Uri https://region.dp.kubernetesconfiguration.azure.com/azure-arc-appliance-k8sagents/GetLatestHelmPackagePath?api-version=2019-11-01-preview"&"releaseTrain=stable -Method Post -Verbose

結果が The response ended prematurely while waiting for the next frame from the server の場合、http2 呼び出しがブロックされており、許可する必要があります。 ネットワーク管理者と協力して SSL/TLS 検査を無効にし、ブリッジのデプロイに使用されたマシンからの http2 呼び出しを許可します。

そのようなホストがありません - .local はサポートされていません

Arc リソース ブリッジの構成を設定しようとすると、次のようなエラー メッセージを受け取ることがあります。

"message": "Post \"https://esx.lab.local/52c-acac707ce02c/disk-0.vmdk\": dial tcp: lookup esx.lab.local: no such host"

これは、プロキシ、DNS、データストア、管理エンドポイント (vCenter など) といった構成設定に対して .local パスが指定されている場合に発生します。 Arc リソース ブリッジ アプライアンス VM で使われている Azure Linux OS では、.local は既定ではサポートされません。 回避するには、必要に応じて IP アドレスを指定します。

Azure Arc リソース ブリッジに到達できない場合

Azure Arc リソース ブリッジでは Kubernetes クラスターが実行され、コントロール プレーンには静的 IP アドレスが必要です。 この IP アドレスは、infra.yaml ファイルで指定されています。 IP アドレスが DHCP サーバーから割り当てられている場合は、アドレスが予約されていなと変更される可能性があります。 Azure Arc リソース ブリッジまたは VM を再起動すると、IP アドレスの変更がトリガーされ、サービスが失敗する可能性があります。

Arc リソース ブリッジが予約済み IP 構成を間欠的に失う可能性があります。 この損失は、systemd-networkd を再起動したときの VIP の損失で説明されている動作が原因です。 Azure Arc リソース ブリッジ VM に IP アドレスが割り当てられていない場合、リソース ブリッジ API サーバーの呼び出しは失敗します。 新しいリソースの作成、Azure からプライベート クラウドへの接続、カスタムの場所の作成などのコア操作は、想定どおりに機能しません。 この問題を解決するには、リソース ブリッジ VM を再起動すると、その IP アドレスが復旧されるはずです。 アドレスが DHCP サーバーから割り当てられている場合は、リソース ブリッジに関連付けられている IP アドレスを予約します。

また、ディスク アクセスが遅いため、Arc リソース ブリッジに到達できない可能性もあります。 Azure Arc リソース ブリッジでは、Kubernetes 拡張構成ツリー (ETCD) を使用します。これには 10 ミリ秒以下の待機時間が必要です。 基になるディスクのパフォーマンスが低い場合、操作が影響を受け、エラーが発生する可能性があります。

SSL プロキシ構成の問題

管理マシン上のプロキシ サーバーが、SSL プロキシの SSL 証明書と、Microsoft ダウンロード サーバーの SSL 証明書の両方を信頼していることを確認します。 詳細については、「SSL プロキシの構成」をご覧ください。

そのようなホストはありません - dp.kubernetesconfiguration.azure.com

Arc リソース ブリッジのデプロイ中に dial tcp: lookup westeurope.dp.kubernetesconfiguration.azure.com: no such host が含まれているエラーは、指定したリージョンで構成データプレーンが現在使用できないことを意味します。 サービスが一時的に利用できない場合があります。 サービスが使用可能になるまで待ってから、デプロイを再試行してください。

プロキシ接続 tcp - Arc リソース ブリッジに必要な URL にそのようなホストがありません

メッセージ proxyconnect tcp: dial tcp: lookup http: no such host による Arc リソース ブリッジが必要な URL を含むエラーは、DNS が URL を解決できないことを示します。 エラーは次の例のようになります。ここで、必要な URL は https://msk8s.api.cdp.microsoft.com です。

Error: { _errorCode_: _InvalidEntityError_, _errorResponse_: _{\n\_message\_: \_Post \\\_https://msk8s.api.cdp.microsoft.com/api/v1.1/contents/default/namespaces/default/names/arc-appliance-stable-catalogs-ext/versions/latest?action=select\\\_: POST https://msk8s.api.cdp.microsoft.com/api/v1.1/contents/default/namespaces/default/names/arc-appliance-stable-catalogs-ext/versions/latest?action=select giving up after 6 attempt(s): Post \\\_https://msk8s.api.cdp.microsoft.com/api/v1.1/contents/default/namespaces/default/names/arc-appliance-stable-catalogs-ext/versions/latest?action=select\\\_: proxyconnect tcp: dial tcp: lookup http: no such host\_\n}_ }

このエラーは、デプロイ中に指定された DNS 設定が正しくない場合、または DNS サーバーに問題がある場合に発生する可能性があります。 DNS サーバーが URL を解決できるかどうかを確認するには、管理マシンまたは DNS サーバーにアクセスできるマシンから次のコマンドを実行します。

nslookup
> set debug
> <hostname> <DNS server IP>

エラーを解決するには、すべての Arc リソース ブリッジに必要な URL を解決するように DNS サーバーを構成する必要があります。また、Arc リソース ブリッジのデプロイ中に DNS サーバーが正しく提供されている必要があります。

KVA タイムアウト エラー

KVA タイムアウト エラーは、管理マシン、アプライアンス VM、またはコントロール プレーン IP が相互に、インターネットと、または必要な URL と通信できないことに関係する、さまざまなネットワーク構成の誤りが原因である可能性がある一般的なエラーです。 この通信エラーは、多くの場合、DNS 解決、プロキシ設定、ネットワーク構成、またはインターネット アクセスに関する問題が原因です。

わかりやすくいえば、管理マシンとはデプロイ CLI コマンドが実行されているマシンのことです。 アプライアンス VM は、Arc リソース ブリッジをホストする VM です。 コントロール プレーン IP は、アプライアンス VM 内の Kubernetes 管理クラスターのコントロール プレーンの IP です。

KVA タイムアウト エラーの原因の上位

  • 管理マシンが、コントロール プレーン IP およびアプライアンス VM IP と通信できません。
  • アプライアンス VM が、管理マシン、vCenter エンドポイント (VMware の場合)、または MOC クラウド エージェント エンドポイント (Azure Stack HCI の場合) と通信できません。 
  • アプライアンス VM にインターネット アクセスがありません。
  • アプライアンス VM はインターネットにアクセスできますが、プロキシまたはファイアウォールが原因である可能性があるため、1 つ以上の必要な URL への接続がブロックされています。
  • アプライアンス VM は、vSphere の vCenter エンドポイントや Azure Stack HCI のクラウド エージェント エンドポイントなど、内部名を解決できる DNS サーバーに到達できません。 DNS サーバーは、Azure サービス アドレスやコンテナー レジストリ名などの外部アドレスも解決できる必要があります。 
  • 管理マシンまたは Arc リソース ブリッジ構成ファイルでのプロキシ サーバーの構成が正しくありません。 これは、管理マシンとアプライアンス VM の両方に影響する可能性があります。 az arcappliance prepare コマンドを実行したとき、ホスト プロキシが正しく構成されていないと、管理マシンは OS イメージに接続できず、ダウンロードできません。 アプライアンス VM 上のインターネット アクセスは、プロキシ構成が正しくないか不足しているために壊れる可能性があります。これは、コンテナー イメージをプルする VM の機能に影響します。 

KVA タイムアウトエラーのトラブルシューティング

このエラーを解決するには、1 つ以上のネットワーク構成の誤りに対処する必要がある場合があります。 このエラーの最も一般的な原因に対処するには、次の手順に従います。

  1. デプロイに問題がある場合、最初のステップは、アプライアンス VM IP によってログを収集することです (デプロイ コマンドが完了しなかった場合は kubeconfig が空になる可能性があるため、kubeconfig ではありません)。 ログの収集に関する問題の原因として最も可能性が高いのは、管理マシンがアプライアンス VM に到達できないことです。

    ログが収集されたら、フォルダーを抽出して kva.log を開きます。 KVA タイムアウト エラーの原因を特定するのに役立つエラーの詳細については、kva.log を確認します。

  2. 管理マシンは、アプライアンス VM IP およびコントロール プレーン IP と通信できる必要があります。 管理マシンからコントロール プレーン IP とアプライアンス VM IP に ping を実行し、両方の IP から応答があることを確認します。

    要求がタイムアウトする場合、管理マシンはその IP と通信できません。 これは、閉じたポート、ネットワークの構成ミス、またはファイアウォール ブロックが原因で発生する可能性があります。 ネットワーク管理者と協力して、管理マシンとコントロール プレーン IP およびアプライアンス VM IP が通信できるようにします。

  3. アプライアンス VM IP とコントロール プレーン IP は、管理マシンおよび vCenter エンドポイント (VMware の場合) または MOC クラウド エージェント エンドポイント (HCI の場合) と通信できる必要があります。 ネットワーク管理者と協力して、これを許可するようにネットワークが構成されていることを確認してください。 これには、アプライアンス VM IP とコントロール プレーン IP から vCenter へのポート 443、または Azure Stack HCI MOC クラウド エージェントのポート 65000 とポート 55000 を開くファイアウォール規則の追加が必要になる場合があります。 Azure Stack HCI のネットワーク要件 と Arc リソース ブリッジのための VMware を確認します。

  4. アプライアンス VM IP とコントロール プレーン IP には、 これらの必要な URL へのインターネット アクセスが必要です。 Azure Stack HCI には、追加の URL が必要です。 ネットワーク管理者と協力して、IP が必要な URL にアクセスできることを確認してください。

  5. プロキシ以外の環境の管理マシンでは、外部と内部の DNS の解決が必要です。 管理マシンは、vSphere の vCenter エンドポイントや Azure Stack HCI のクラウド エージェント エンドポイントなど、内部名を解決できる DNS サーバーに到達できる必要があります。 また、DNS サーバーは、Azure URL や OS イメージのダウンロード URL などの外部アドレスを解決できる必要があります。 システム管理者と協力して、管理マシンで内部と外部の DNS 解決が行われることを確認します。 プロキシ環境では、プロキシ サーバーの DNS 解決で、内部エンドポイントと 必要な外部アドレスを解決する必要があります。

    プロキシ以外のシナリオで管理マシンから内部アドレスへの DNS 解決をテストするには、コマンド プロンプトを開き、nslookup <vCenter endpoint or HCI MOC cloud agent IP> を実行 します。 プロキシ以外のシナリオの管理マシンで内部 DNS が解決される場合は、応答を受け取るはずです。 

  6. アプライアンス VM は、vSphere の vCenter エンドポイントや Azure Stack HCI のクラウド エージェント エンドポイントなど、内部名を解決できる DNS サーバーに到達できる必要があります。 また、DNS サーバーは、クラウドから Arc リソース ブリッジ コンテナー イメージをダウンロードするために、Azure サービス アドレスやコンテナー レジストリ名などの外部/内部アドレスを解決できる必要があります。

    構成ファイルの作成に使用される DNS サーバー IP に内部および外部のアドレス解決があることを確認します。 そうでない場合は、 アプライアンスを削除し、正しい DNS サーバー設定で Arc リソース ブリッジ構成ファイルを再作成し、新しい構成ファイルを使用して Arc リソース ブリッジをデプロイします。

Arc リソース ブリッジの場所を移動する

Arc リソース ブリッジのリソース移動は現在サポートされていません。 Arc リソース ブリッジを削除してから、目的の場所にデプロイし直す必要があります。

Azure Stack HCI 上の Azure Arc 対応 VM の問題

Azure Stack HCI 上の Azure Arc 対応 VM に関連する問題の解決に関する一般的なヘルプについては、Azure Arc 対応仮想マシンのトラブルシューティングに関する記事をご覧ください。

認証ハンドシェイクの失敗

az arcappliance コマンドを実行していると、接続エラー:authentication handshake failed: x509: certificate signed by unknown authority が表示されることがあります

これは通常、Azure Arc リソース ブリッジではサポートされていないリモート PowerShell からコマンドを実行しようとしたときに発生します。

Azure Arc リソース ブリッジを Azure Stack HCI クラスターにインストールするには、クラスター内のノードで az arcappliance コマンドをローカルで実行する必要があります。 ノードにリモート デスクトップ プロトコル (RDP) を通じてサインインするか、コンソール セッションを使用してこれらのコマンドを実行します。

Azure Arc 対応 VMware VCenter の問題

errorCode: CreateConfigKvaCustomerError, errorResponse: error getting the vsphere sdk client

errorCode CreateConfigKvaCustomerError と errorResponse error getting the vsphere sdk client を伴うエラーは、デプロイ マシンが vCenter アドレスへの TCP 接続を確立しようとしているが、問題が発生したときに発生します。 vCenter アドレスが正しくない場合 (403 または 404 エラー)、またはネットワーク/プロキシ/ファイアウォール構成でブロックされている場合 (接続の試行に失敗しました)、この errorCode と errorResponse が表示されます。 vCenter アドレスをホスト名として入力し、エラー no such host が発生した場合、デプロイ マシンはクライアント DNS 経由で vCenter ホスト名を解決できません。 デプロイ マシンが vCenter ホスト名を解決できても、デプロイ マシンが DNS から受信した IP アドレスに到達できない場合は、エラーが発生する可能性があります。 DNS によって返されたエンドポイントが vCenter アドレスではない場合、またはトラフィックがプロキシによってインターセプトされた場合、エラーが発生する可能性があります。 最後に、デプロイ マシンが vCenter アドレスと通信できても、ユーザー名またはパスワードが正しくない場合は、エラーが発生する可能性があります。

vSphere SDK クライアント - 接続の試行に失敗しました

デプロイ中に errorCode_: _CreateConfigKvaCustomerError_, _errorResponse_: _error getting the vsphere sdk client: Post \_https://ip.address/sdk\_: dial tcp ip.address:443: connectex: A connection attempt failed because the connected party did not properly respond after a period of time, or established connection failed because connected host has failed to respond._ } のようなエラーが発生した場合、デプロイ マシンは vCenter サーバーと通信できません。 デプロイ マシンが管理マシンの要件を満たしていること、およびファイアウォールまたはプロキシによる通信のブロックがないことを確認します。

vSphere SDK クライアント - 403 Forbidden または 404 が見つかりません

Arc リソース ブリッジをデプロイ中に errorCode_: _CreateConfigKvaCustomerError_, _errorResponse_: _error getting the vsphere sdk client: POST \_/sdk\_: 403 Forbidden または 404 not found を含むエラーが発生した場合は、構成ファイルの作成時に vCenter アドレスをホスト名または IP アドレスとして入力するように求められたときに、vCenter アドレスが正しく指定されていないことが原因である可能性が最も高いです。 vCenter アドレスを見つけるには、さまざまな方法があります。 1 つの方法は、その Web インターフェイスを介して vSphere クライアントにアクセスすることです。 通常、vCenter のホスト名または IP アドレスは、vSphere クライアントにアクセスするためにブラウザーで使用するものです。 既にログインしている場合は、ブラウザーのアドレス バーを確認できます。vSphere へのアクセスに使用する URL は、vCenter サーバーのホスト名または IP アドレスです。 vCenter アドレスを確認してから、デプロイを再試行します。

vSphere SDK クライアント - そのようなホストはありません

デプロイ中にエラー { _errorCode_: _CreateConfigKvaCustomerError_, _errorResponse_: _error getting the vsphere sdk client: Post \_https://your.vcenter.hostname/sdk\_: dial tcp: lookup your.vcenter.hostname: no such host_ } が発生した場合、デプロイ マシンは vCenter ホスト名を IP アドレスに解決できません。 この問題は、デプロイ プロセスがデプロイ マシンから vCenter ホスト名への TCP 接続を確立しようとしているが、DNS 解決の問題が原因で失敗したために発生します。 これに対処するには、デプロイ マシンの DNS 構成が正しいことを確認し、DNS サーバーがオンラインであることを確認し、vCenter ホスト名の DNS エントリが欠落していないかどうかを確認します。 DNS 解決は、デプロイ マシンから nslookup your.vcenter.hostname または ping your.vcenter.hostname を実行してテストできます。 vCenter アドレスをホスト名として指定した場合は、代わりに IP アドレスを直接使用することを検討してください。

デプロイ前の検証エラー

次のようなさまざまな pre-deployment validation of your download\upload connectivity wasn't successful エラーが発生する場合:

Pre-deployment validation of your download/upload connectivity wasn't successful. {\\n \\\_code\\\_: \\\_ImageProvisionError\\\_,\\n \\\_message\\\_: \\\_Post \\\\\\\_https://vcenter-server.com/nfc/unique-identifier/disk-0.vmdk\\\\\\\_: Service Unavailable

Pre-deployment validation of your download/upload connectivity wasn't successful. {\\n \\\_code\\\_: \\\_ImageProvisionError\\\_,\\n \\\_message\\\_: \\\_Post \\\\\\\_https://vcenter-server.com/nfc/unique-identifier/disk-0.vmdk\\\\\\\_: dial tcp 172.16.60.10:443: connectex: A connection attempt failed because the connected party did not properly respond after a period of time, or established connection failed because connected host has failed to respond.

Pre-deployment validation of your download/upload connectivity wasn't successful. {\\n \\\_code\\\_: \\\_ImageProvisionError\\\_,\\n \\\_message\\\_: \\\_Post \\\\\\\_https://vcenter-server.com/nfc/unique-identifier/disk-0.vmdk\\\\\\\_: use of closed network connection.

Pre-deployment validation of your download/upload connectivity wasn't successful. {\\n \\\_code\\\_: \\\_ImageProvisionError\\\_,\\n \\\_message\\\_: \\\_Post \\\\\\\_https://vcenter-server.com/nfc/unique-identifier/disk-0.vmdk\\\\\\\_: dial tcp: lookup hostname.domain: no such host

通常、これらのエラーの組み合わせは、管理マシンがデータストアへの接続を失っているか、データストアに到達不能になるネットワークの問題があることを示します。 この接続は、vCenter でアプライアンス VM を構築するために使用される管理マシンから OVA をアップロードするために必要です。 管理マシンとデータストアの間の接続を再確立してから、Arc リソース ブリッジのデプロイを再試行する必要があります。

x509 証明書の有効期限が切れているか、まだ有効ではありません

Arc リソース ブリッジをデプロイすると、次のエラーが発生する可能性があります。

Error: { _errorCode_: _PostOperationsError_, _errorResponse_: _{\n\_message\_: \_{\\n \\\_code\\\_: \\\_GuestInternetConnectivityError\\\_,\\n \\\_message\\\_: \\\_Not able to connect to https://msk8s.api.cdp.microsoft.com. Error returned: action failed after 3 attempts: Get \\\\\\\_https://msk8s.api.cdp.microsoft.com\\\\\\\_: x509: certificate has expired or isn't yet valid: current time 2022-01-18T11:35:56Z is before 2023-09-07T19:13:21Z. Arc Resource Bridge network and internet connectivity validation failed: http-connectivity-test-arc. 1. Please check your networking setup and ensure the URLs mentioned in : https://aka.ms/AAla73m are reachable from the Appliance VM. 2. Check firewall/proxy settings

このエラーは、ESXi ホストと Arc リソース ブリッジのデプロイ コマンドが実行されている管理マシンの間にクロック/時刻の違いがある場合に発生します。 この問題を解決するには、ESXi ホストで NTP 時刻同期を有効にし、管理マシンも NTP に同期されていることを確認してから、もう一度デプロイを試してください。

Arc リソース ブリッジの状態が切断されている

最初の Arc 対応 VMware オンボード スクリプトを実行すると、vSphere アカウントを指定するように求められます。 このアカウントは、暗号化された Kubernetes シークレットとして Arc リソース ブリッジ内にローカルに格納されます。 このアカウントは、Arc リソース ブリッジが vCenter と対話できるようにするために使用されます。 Arc リソース ブリッジの状態が切断されている場合は、リソース ブリッジ内にローカルに格納されている vSphere アカウントの有効期限が切れている可能性があります。 vSphere アカウントの資格情報の更新手順に従って、Arc リソース ブリッジ内および Arc 対応 VMware の資格情報を更新する必要があります。

ホスト構成中のエラー

同じテンプレートを使用して Arc リソース ブリッジを複数回デプロイおよび削除すると、次のエラーが発生する可能性があります。

Appliance cluster deployment failed with error: Error: An error occurred during host configuration

この問題を解決するには、既存のテンプレートを手動で削除します。 その後に az arcappliance prepare を実行して、デプロイ用の新しいテンプレートをダウンロードします。

フォルダーを見つけることができない

VMware に Arc リソース ブリッジをデプロイする場合は、テンプレートと VM を作成するフォルダーを指定します。 選択したフォルダーは、VM とテンプレート フォルダーの種類である必要があります。 ストレージ フォルダー、ネットワーク フォルダー、ホストフォルダー、クラスター フォルダーなど他のタイプのフォルダーは、リソース ブリッジのデプロイには使用できません。

アクセス許可が不十分です

VMware vCenter にリソース ブリッジをデプロイするとき、必要なアクセス許可がないというエラーが表示されることがあります。 この問題を解決するには、リソース ブリッジのデプロイに使われているユーザー アカウントが、VMware vCenter での次の特権をすべて持っていることを確認してから、もう一度試してください。

データストア 

  • 領域の割り当て
  • データストアを参照する
  • 低レベルのファイル操作

Folder 

  • フォルダーを作成する

vSphere のタグ付け

  • vSphere タグの割り当てまたは割り当て解除

Network 

  • ネットワークの割り当て

リソース

  • リソース プールへの仮想マシンの割り当て
  • 電源がオフの仮想マシンの移行
  • 電源がオンの仮想マシンの移行

セッション

  • セッションの検証

vApp

  • リソース プールの割り当て
  • をインポートする

仮想マシン

  • 構成の変更
    • ディスク リースの取得
    • 既存のディスクの追加
    • 新しいディスクの追加
    • デバイスの追加または削除
    • 詳細な構成
    • CPU 数の変更
    • メモリの変更
    • [設定の変更]
    • リソースの変更
    • managedBy の構成
    • 接続設定の表示
    • 仮想ディスクの拡張
    • デバイスの設定の変更
    • フォールト トレランス互換性のクエリ
    • 所有者のないファイルのクエリ
    • パスから再読み込み
    • ディスクの削除
    • 名前の変更
    • ゲスト情報のリセット
    • 注釈の設定
    • ディスク変更追跡の切り替え
    • フォークの親の切り替え
    • 仮想マシン互換性の更新
  • インベントリの編集
    • 既存からの作成
    • 新規作成
    • 登録
    • 削除
    • Unregister
  • ゲスト操作
    • ゲスト操作エイリアスの変更
    • ゲスト操作の変更
    • ゲスト操作プログラム実行
    • ゲスト操作クエリ
  • 相互作用
    • デバイスの接続
    • コンソール対話
    • VIX API によるゲスト オペレーティング システム管理
    • VMware ツールのインストール
    • 電源オフ
    • 電源投入
    • リセット
    • Suspend
  • プロビジョニング
    • ディスク アクセスの許可
    • ファイル アクセスの許可
    • 読み取り専用ディスク アクセスの許可
    • 仮想マシンのダウンロードの許可
    • 仮想マシン ファイルのアップロードの許可
    • 仮想マシンの複製
    • テンプレートのデプロイ
    • テンプレートとしてマーク
    • 仮想マシンとしてマーク
    • ゲストのカスタマイズ
  • スナップショットの管理
    • スナップショットの作成
    • スナップショットの削除
    • スナップショットに戻す

次のステップ

Azure Arc 対応 VMware vSphere の障害シナリオでのリソース ブリッジの復旧操作の概要

該当する問題がここにない場合、または問題を解決できない場合は、サポートを受けるために、次のいずれかのチャネルをお試しください。

  • Microsoft Q&A を通じて、Azure 専門家からの回答を得ることができます。
  • @AzureSupport (カスタマー エクスペリエンスを向上させるための Microsoft Azure の公式アカウント) に連絡する。 Azure サポートにより、Azure コミュニティの回答、サポート、エキスパートと結び付けられます。
  • Azure サポート リクエストを開きます