你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
备用池需要特定权限才能在订阅中创建和管理资源。 如果没有正确的权限,备用池将无法正常运行。 本文介绍如何为备用池配置基于角色的访问控制(RBAC)权限,并为可能需要其他权限的方案提供指导。
基本权限
若要允许备用池在订阅中创建和管理虚拟机,请将相应的权限分配给备用池资源提供程序。
重要
这些权限可能并不完全涵盖所有方案。 如果备用池使用其他订阅中的计算库映像等特定资源,请确保备用池提供程序能够访问这些资源。
为了涵盖尽可能多的方案,建议向备用池资源提供程序提供以下权限:
- 虚拟机贡献者
- 网络参与者
- 托管的标识参与者
- 计算资源库共享管理员
- Compute Gallery 工件发布者
- 在“Azure 门户”中,导航到订阅。
- 选择要调整权限的订阅。
- 选择“访问控制 (IAM)”。
- 依次选择“添加”、“添加角色分配”。
- 在“角色”选项卡下,搜索“虚拟机参与者”并选择它。
- 移动到“成员”选项卡。
- 选择“选择成员”。
- 搜索“备用池资源提供程序”并选择它。
- 移动到“查看 + 分配”选项卡。
- 应用更改。
- 重复上述步骤,并向备用池资源提供程序分配“网络参与者”角色和“托管标识操作员”角色。 如果使用存储在 Compute Gallery 中的映像,另请分配“Compute Gallery 共享管理员”和“Compute Gallery 工件发布者”角色。
有关分配角色的信息,请参阅使用 Azure 门户分配 Azure 角色。
跨订阅资源
如果备用池使用存储在其他订阅中的计算库映像等资源,请确保备用池资源提供程序能够访问这些资源。 可能需要在其他订阅中分配角色来授予所需的权限。
排查权限问题
权限问题是备用池问题的常见原因。 这些问题可以通过多种方式表现为,例如池持续地创建和删除实例、无法创建实例或池中没有任何实例出现。 使用以下步骤排查并解决这些问题:
使用 Log Analytics 进行调查
如果池未按预期运行,请使用 Log Analytics 分析日志并确定缺少的权限:
- 导航到 Azure 门户。
- 转到与备用池关联的 Log Analytics 工作区。 在使用 Log Analytics 之前,首先需要配置 Log Analytics 工作区。 有关详细信息,请参阅 使用 Azure Log Analytics 监视备用池事件。
SVMPoolExecutionLog查询表以查看与实例创建和删除相关的事件:
SVMPoolExecutionLog
| where TimeGenerated > ago(24h)
| project TimeGenerated, EventName, EventStatus, ResourceId, FailureDetails
- 在 FailureDetails 列中查找错误或失败,以确定缺少的权限或其他问题。
检查运行时视图 API 以了解降级模式
如果池处于降级模式,资源创建将短暂暂停。 使用运行时视图 API 检查池的运行状况,并确定降级模式的原因:
- 将 GET 请求发送到运行时视图 API 或其他 SDK,例如 PowerShell 或 CLI。
https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.StandbyPool/standbyVirtualMachinePools/{standbyPool}/runtime?api-version=2025-03-01
查看 healthStatus 字段的响应。 如果池处于降级模式,响应将包括降级状态的原因。
解决已识别的问题,例如缺少权限或资源约束,以解决降级模式。
查看共用实例所需的权限
如果注意到共用实例回收或池中未显示任何实例,请查看创建单个虚拟机所需的资源。 确保备用池资源提供程序具有对所有必需资源的必要权限,包括但不限于:
- Compute Gallery 映像
- 虚拟网络和子网
- 托管标识
- 存储帐户
验证分配给备用池资源提供程序的角色是否包括创建和管理虚拟机所需的所有权限。
后续步骤
- 使用 [Azure Monitor 日志文档进一步浏览和分析日志。
- 有关检查池运行状况和状态的更多详细信息,请参阅运行时视图 API 文档。
- 确保按“基本权限”部分中所述分配所有必需的角色。