Configurar permissões de função para os pools em espera

Os pools em espera exigem permissões específicas para criar e gerenciar recursos em sua assinatura. Sem as permissões corretas, os pools em espera não funcionarão corretamente. Este artigo explica como configurar permissões de RBAC (controle de acesso baseado em função) para pools em espera e fornece diretrizes para cenários em que permissões adicionais podem ser necessárias.

Permissões básicas

Para permitir que pools em espera criem e gerenciem máquinas virtuais em sua assinatura, atribua as permissões apropriadas ao provedor de recursos do pool em espera.

Importante

Essas permissões podem não abranger totalmente todos os cenários. Se o pool em espera usar recursos específicos, como imagens da galeria de computação em outras assinaturas, verifique se o provedor de recursos do pool em espera tem acesso a esses recursos.

Para abranger o maior número possível de cenários, é sugerido fornecer as seguintes permissões para o provedor de recursos do pool em espera:

  • Colaborador de Máquina Virtual
  • Colaborador de rede
  • Colaborador de Identidade Gerenciada
  • Administração de Compartilhamento da Galeria de Computação
  • Editor de Artefatos da Galeria de Computação
  1. No portal do Azure, navegue até suas assinaturas.
  2. Selecione a assinatura na qual você deseja ajustar as permissões.
  3. Selecione Controle de Acesso (IAM) .
  4. Selecione Adicionar e Adicionar atribuição de função.
  5. Na guia Função, pesquise o Colaborador de Máquina Virtual e selecione-o.
  6. Vá para a guia Membros.
  7. Selecione + Selecione membros.
  8. Pesquise Provedor de Recursos do Pool em Espera e selecione-o.
  9. Vá para a guia Revisar + atribuir.
  10. Aplique as alterações.
  11. Repita as etapas acima e atribua a função Colaborador de Rede e a função Operador de Identidade Gerenciada ao Provedor de Recursos do Pool Em Espera. Se você estiver usando imagens armazenadas na Galeria de Computação, atribua também as funções de Administrador de Compartilhamento da Galeria de Computação e Fornecedor de Artefatos da Galeria de Computação.

Para saber mais sobre a atribuição de funções, confira Atribuir funções do Azure no portal do Azure.

Recursos de assinatura cruzada

Se o pool em espera usar recursos, como imagens da galeria de computação, armazenados em uma assinatura diferente, verifique se o provedor de recursos do pool em espera tem acesso a esses recursos. Talvez seja necessário atribuir funções na outra assinatura para conceder as permissões necessárias.

Solução de problemas de permissão

Problemas de permissão são uma causa comum de problemas com os pools em espera. Esses problemas podem se manifestar de várias maneiras, como o pool criando e excluindo instâncias continuamente, não criando instâncias ou nenhuma instância aparecendo no pool. Use as etapas a seguir para solucionar e resolver estes problemas:

Utilize o Log Analytics para investigação

Se o pool não estiver funcionando conforme o esperado, use o Log Analytics para analisar os logs e identificar as permissões ausentes:

  1. Navegue no portal Azure.
  2. Acesse o workspace do Log Analytics associado ao pool em espera. Antes de usar o Log Analytics, primeiro você precisa configurar um espaço de trabalho do Log Analytics. Para obter mais informações, consulte Usar o Azure Log Analytics para monitorar os eventos do pool em espera.
  3. Consulte a SVMPoolExecutionLog tabela para examinar os eventos relacionados à criação e exclusão da instância:
   SVMPoolExecutionLog
   | where TimeGenerated > ago(24h)
   | project TimeGenerated, EventName, EventStatus, ResourceId, FailureDetails
  1. Procure erros ou falhas na coluna FailureDetails para identificar permissões ausentes ou outros problemas.

Verificar a API de Exibição de Runtime no modo degradado

Se o pool estiver no modo degradado, a criação de recursos será pausada brevemente. Use a API de Visualização do Runtime para verificar o estado de saúde do pool e determinar a razão para o modo degradado.

  1. Envie uma solicitação GET para a API de Exibição de Runtime ou outros SDKs, como o PowerShell ou a CLI.
https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.StandbyPool/standbyVirtualMachinePools/{standbyPool}/runtime?api-version=2025-03-01

  1. Examine a resposta do campo healthStatus. Se o pool estiver no modo degradado, a resposta incluirá o motivo do estado degradado.

  2. Resolva o problema identificado, como permissões ausentes ou restrições de recurso, para resolver o modo degradado.

Examinar as permissões necessárias nas instâncias no pool

Se você notar que as instâncias em pool estão se reciclando ou que nenhuma instância está aparecendo no pool, revise os recursos necessários para criar uma máquina virtual individual. Verifique se o provedor de recursos do pool de espera tem as permissões necessárias para todos os recursos necessários, incluindo, mas não se limitando a:

  • Imagens da Galeria de Computação
  • Redes virtuais e sub-redes
  • Identidades gerenciadas
  • Contas de armazenamento

Verifique se as funções atribuídas ao provedor de recursos de pool em espera incluem todas as permissões necessárias para criar e gerenciar máquinas virtuais.

Próximas etapas

  • Use a [documentação de logs do Azure Monitor para explorar e analisar ainda mais os logs.
  • Consulte a documentação da API de Exibição do Runtime para obter mais detalhes sobre como verificar a integridade e o status do pool.
  • Verifique se todas as funções necessárias são atribuídas conforme descrito na seção Permissões básicas.
  • Last updated on