Résoudre les problèmes liés à l’interface CLI agentique pour Azure Kubernetes Service (AKS) (préversion)

Cet article fournit des conseils sur la résolution des problèmes courants liés à l’interface CLI agentique pour Azure Kubernetes Service (AKS).

Ouvrir les étapes de résolution des problèmes

Si vous rencontrez des problèmes lorsque vous utilisez l’interface CLI agentique pour AKS, procédez comme suit :

  • Si vous voyez des requêtes avec une nouvelle tentative vers /chat/completions dans les réponses, il est possible que vous soyez soumis aux limites de jetons par minute (TPM) du LLM. Augmentez la limite du module TPM ou demandez un quota supplémentaire.
  • Si les sorties varient, cela peut être dû à la variabilité de la réponse LLM ou aux connexions de serveur MCP (Model Context Protocol) intermittentes.
  • Vérifiez que le nom du déploiement est identique au nom du modèle dans les déploiements Azure OpenAI.
  • Si l’installation aks-agent échoue, essayez de désinstaller Azure CLI et réinstallez la dernière version.

Erreur : Démon Docker qui n’est pas en cours d’exécution

Cannot connect to the Docker daemon at unix:///var/run/docker.sock. Is the docker daemon running?

  1. Si vous recevez une erreur indiquant que le démon Docker n’est pas en cours d’exécution, démarrez le service Docker en suivant les étapes appropriées pour votre système d’exploitation :

    • macOS / Windows :

      • Lancez Docker Desktop à partir de vos applications.
      • Attendez que Docker démarre.

    • Linux :

      • Démarrez le service Docker à l’aide des commandes suivantes :

        sudo systemctl start docker
sudo systemctl enable docker  # Enable Docker to start on boot

  2. Vérifiez que Docker s’exécute à l’aide de la commande suivante :

    docker info

Erreur : Autorisation Docker refusée

Got permission denied while trying to connect to the Docker daemon socket

Pour résoudre les problèmes d’autorisation Docker, vérifiez que votre utilisateur dispose des autorisations nécessaires pour accéder au démon Docker en suivant les étapes de votre système d’exploitation :

  • macOS / Windows :

    • Redémarrez Docker Desktop pour vous assurer qu’il dispose des autorisations nécessaires.

  • Linux :

    • Ajoutez votre utilisateur au groupe docker pour autoriser l’accès sans privilèges de superutilisateur à Docker à l’aide des commandes suivantes :
    sudo usermod -aG docker $USER
newgrp docker  # Apply group changes immediately

Erreur : Échecs de téléchargement d’images Docker

Error response from daemon: pull access denied for aks-agent, repository does not exist or may require 'docker login'

Pour résoudre les échecs d’extraction d’images Docker, procédez comme suit :

  • Vérifiez que vous disposez d’une connectivité Internet.
  • Vérifiez si les pare-feu d’entreprise bloquent l’accès au Registre Docker.
  • Réessayez d’initialiser l’agent avec az aks agent-init.

Problèmes liés aux informations d’identification Azure

Erreur : Échec de l’authentification Azure

Pour résoudre les problèmes d’authentification Azure, vérifiez que votre interface Azure CLI est correctement authentifiée et a accès aux ressources nécessaires en procédant comme suit :

  1. Vérifiez que vos informations d’identification Azure sont correctement configurées à l’aide de la az account show commande.

    az account show

  2. Si nécessaire, reconnectez-vous à l’aide de la az login commande.

    az login

Problèmes liés au compte de service et au contrôle d’accès en fonction du rôle

Erreur : Compte de service introuvable

Error: service account "aks-mcp" not found in namespace "default"

Pour résoudre les problèmes de compte de service, vérifiez que le compte de service Kubernetes est correctement créé et configuré en procédant comme suit :

  1. Vérifiez que le compte de service existe à l’aide de la commande suivante :

    kubectl get serviceaccount aks-mcp --namespace $NAMESPACE

  2. Si le compte de service est introuvable, créez-en un à l’aide des étapes décrites dans Créer un compte de service et configurez l’identité de charge de travail pour l’interface CLI agentique pour Azure Kubernetes Service (AKS) (préversion)

Erreur : erreurs d’autorisations refusées

Error: forbidden: User "system:serviceaccount:<namespace>:aks-mcp" cannot get resource "pods" in API group "" in the namespace "<namespace>"

Pour résoudre les erreurs d’autorisation refusées, vérifiez que le compte de service Kubernetes dispose des autorisations RBAC nécessaires en procédant comme suit :

  1. Vérifiez que les autorisations RBAC sont correctement configurées à l’aide des commandes suivantes :

    kubectl get role aks-mcp-role --namespace $NAMESPACE
kubectl get rolebinding aks-mcp-rolebinding --namespace $NAMESPACE

  2. Vérifiez que RoleBinding associe le compte de service approprié au rôle à l’aide de la commande suivante :

    kubectl describe rolebinding aks-mcp-rolebinding --namespace $NAMESPACE

Problèmes d’identité de charge de travail

Erreur : l'identité de workload n'est pas activée

Error: workload identity is not enabled on this cluster

Si vous recevez une erreur indiquant que l’identité de charge de travail n’est pas activée, vérifiez que votre cluster AKS a activé l’identité de charge de travail en procédant comme suit :

  1. Vérifiez si l’identité de charge de travail est activée sur votre cluster AKS à l’aide de la az aks show commande.

    az aks show --resource-group $RESOURCE_GROUP --name $CLUSTER_NAME --query "securityProfile.workloadIdentity.enabled"

  2. Si l’identité de charge de travail n’est pas activée, suivez les étapes décrites dans Créer un compte de service et configurez l’identité de charge de travail pour l’interface CLI agentique pour Azure Kubernetes Service (AKS) (préversion) pour activer l’identité de charge de travail sur votre cluster.

Erreur : Annotation manquante

Error: service account does not have workload identity annotation

Pour résoudre les erreurs d’annotation manquantes, vérifiez que le compte de service Kubernetes dispose de l’annotation d’identité de charge de travail correcte en procédant comme suit :

  1. Vérifiez si l’annotation existe sur le compte de service à l’aide de la commande suivante :

    kubectl describe serviceaccount aks-mcp --namespace $NAMESPACE

  2. Si l’annotation est manquante, ajoutez-la à l’aide de la commande suivante. Veillez à remplacer $CLIENT_ID par l’ID client réel du justificatif d'identité fédérée.

    kubectl annotate serviceaccount aks-mcp --namespace $NAMESPACE azure.workload.identity/client-id="$CLIENT_ID" --overwrite

Erreur : délai de propagation des informations d’identification fédérées

Si vous recevez des erreurs liées aux informations d’identification de l’identité fédérée introuvables ou aux échecs d’authentification, cela peut être dû à des retards de propagation après la création des informations d’identification d’identité fédérée dans Azure. Pour résoudre ce problème, procédez comme suit :

  1. Patientez quelques minutes pour que les informations d’identification de l’identité fédérée se propagent sur les services Azure.
  2. Vérifiez que les informations d’identification de l’identité fédérée existent à l’aide de la commande az identity federated-credential list.
az identity federated-credential list --identity-name $IDENTITY_NAME --resource-group $RESOURCE_GROUP

Problèmes d’initialisation

Erreur : Extension introuvable

ERROR: The command 'aks agent' is invalid or not supported. Use 'az aks --help' to see available commands

Pour résoudre les erreurs liées aux extensions introuvables, vérifiez que l’extension aks-agent est correctement installée et chargée en procédant comme suit :

  1. Installez l'extension aks-agent à l'aide de la commande az extension add.

    az extension add --name aks-agent --debug

  2. Vérifiez la réussite de l’installation à l’aide de la az extension list commande.

    az extension list

    Votre sortie doit inclure une entrée pour aks-agent.

Contenu connexe

  • Last updated on