Solucionar problemas com o CLI agente para o Serviço de Kubernetes do Azure (AKS) (pré-visualização)

Questões relacionadas com o Docker

Erro: Daemon docker não está a correr

Cannot connect to the Docker daemon at unix:///var/run/docker.sock. Is the docker daemon running?

1. Se receber um erro a indicar que o daemon Docker não está a funcionar, inicie o serviço Docker usando os passos apropriados para o seu sistema operativo:

   • macOS / Windows:

     • Inicie o Docker Desktop a partir das suas aplicações.
     • Espere que o Docker comece.

   • Linux:

     • Inicie o serviço Docker usando os seguintes comandos:

       sudo systemctl start docker
       sudo systemctl enable docker  # Enable Docker to start on boot
       

2. Verificar que o Docker está a correr usando o seguinte comando:

   docker info
   

Erro: Permissão Docker negada

Got permission denied while trying to connect to the Docker daemon socket

Para resolver questões de permissões do Docker, certifique-se de que o seu utilizador tem as permissões necessárias para aceder ao daemon Docker usando os passos do seu sistema operativo:

• macOS / Windows:

  • Reinicie o Docker Desktop para garantir que tem as permissões necessárias.

• Linux:

  • Adicione o seu utilizador ao grupo docker para permitir o acesso não root ao Docker usando os seguintes comandos:

  sudo usermod -aG docker $USER
  newgrp docker  # Apply group changes immediately
  

Erro: Falhas ao transferir imagem do Docker

Error response from daemon: pull access denied for aks-agent, repository does not exist or may require 'docker login'

Para resolver falhas de pull de imagem no Docker, experimente os seguintes passos:

• Certifique-se de que tem ligação à internet.
• Verifique se os firewalls corporativos estão a bloquear o acesso ao registo Docker.
• Tente inicializar o agente novamente com az aks agent-init.

Problemas com as credenciais da Azure

Erro: Autenticação Azure falhada

Para resolver problemas de autenticação Azure, certifique-se de que a sua CLI Azure está devidamente autenticada e tem acesso aos recursos necessários usando os seguintes passos:

1. Verifica se as tuas credenciais Azure estão devidamente configuradas usando o az account show comando.

   az account show
   

2. Se necessário, volte a iniciar sessão usando o az login comando.

   az login
   

Problemas com a conta de serviço e RBAC

Erro: Conta de serviço não encontrada

Error: service account "aks-mcp" not found in namespace "default"

Para resolver problemas na conta de serviço, certifique-se de que a conta de serviço Kubernetes está devidamente criada e configurada seguindo os seguintes passos:

1. Verifique se a conta de serviço existe usando o seguinte comando:

   kubectl get serviceaccount aks-mcp --namespace $NAMESPACE
   

2. Se a conta de serviço não for encontrada, crie uma usando os passos em Criar uma conta de serviço e configure a identidade da carga de trabalho para a CLI agente do Azure Kubernetes Service (AKS) (pré-visualização)

Erro: Permissão negada

Error: forbidden: User "system:serviceaccount:<namespace>:aks-mcp" cannot get resource "pods" in API group "" in the namespace "<namespace>"

Para resolver erros de permissões negadas, certifique-se de que a conta do serviço Kubernetes tem as permissões RBAC necessárias usando os seguintes passos:

1. Verifique se as permissões RBAC estão corretamente configuradas usando os seguintes comandos:

   kubectl get role aks-mcp-role --namespace $NAMESPACE
   kubectl get rolebinding aks-mcp-rolebinding --namespace $NAMESPACE
   

2. Verifique se o RoleBinding associa a conta de serviço correta ao Role usando o seguinte comando:

   kubectl describe rolebinding aks-mcp-rolebinding --namespace $NAMESPACE
   

Questões de identidade da carga de trabalho

Erro: Identidade da carga de trabalho não ativada

Error: workload identity is not enabled on this cluster

Se receber um erro a indicar que a identidade da carga de trabalho não está ativada, verifique se o seu cluster AKS tem a identidade da carga de trabalho ativada usando os seguintes passos:

1. Verifica se a identidade da carga de trabalho está ativada no teu cluster AKS usando o az aks show comando.

   az aks show --resource-group $RESOURCE_GROUP --name $CLUSTER_NAME --query "securityProfile.workloadIdentity.enabled"
   

2. Se a identidade da carga de trabalho não estiver ativada, siga os passos em Criar uma conta de serviço e configure a identidade da carga de trabalho para a CLI agente do Azure Kubernetes Service (AKS) (pré-visualização) para permitir a identidade da carga de trabalho no seu cluster.

Erro: Anotação em falta

Error: service account does not have workload identity annotation

Para resolver erros de anotação em falta, certifique-se de que a conta do serviço Kubernetes tem a anotação correta da identidade da carga de trabalho usando os seguintes passos:

1. Verifique se a anotação existe na conta de serviço usando o seguinte comando:

   kubectl describe serviceaccount aks-mcp --namespace $NAMESPACE
   

2. Se a anotação estiver em falta, adicione-a usando o seguinte comando. Certifique-se de substituir $CLIENT_ID pelo ID real do cliente da credencial de identidade federada.

   kubectl annotate serviceaccount aks-mcp --namespace $NAMESPACE azure.workload.identity/client-id="$CLIENT_ID" --overwrite
   

Erro: atraso na propagação de credenciais federadas

Se receber erros relacionados com a credencial de identidade federada não ser encontrada ou falhas de autenticação, pode dever-se a atrasos na propagação após a criação da credencial de identidade federada no Azure. Para resolver este problema, experimente os seguintes passos:

1. Espere alguns minutos até que a credencial de identidade federada se propague entre os serviços Azure.
2. Verifica se a credencial de identidade federada existe usando o az identity federated-credential list comando.

az identity federated-credential list --identity-name $IDENTITY_NAME --resource-group $RESOURCE_GROUP