Конвейер выпуска Azure DevOps внезапно начал давать сбой
2024-07-09T23:11:19.7718791Z Завершите получение артефактов из шаблона. 2024-07-09T23:11:19.7719155Z Начните развертывание артефактов из шаблона. 2024-07-09T23:11:19.7722609Z Разверните dev_keyVault_linkedService типа linkedService. 2024-07-09T23:11:19.9503411Z Для артефакта: dev_keyVault_linkedService: Состояние ArtifactDeploymentTask: 403; сообщение о статусе: Запрещено 2024-07-09T23:11:19.9506451Z Не удалось 2024-07-09T23:11:19.9507649Z не удалось выполнить операцию развертывания 2024-07-09T23:11:19.9509658Z Во время выполнения произошла ошибка: Ошибка: не удалось развернуть связанную службу «Ошибка». 2024-07-09T23:11:19.9543086Z ##[ошибка]Обнаружено исключение: Ошибка: не удалось развернуть связанную службу «Ошибка» 2024-07-09T23:11:19.9553608Z Для артефакта: dev_keyVault_linkedService: не удалось развернуть артефакт: {"code": "ClientIpAddressNotAuthorized", "message": "IP-адрес клиента: ...***"} 2024-07-09T23:11:19.9652636Z ##[раздел]Завершение: задача развертывания Synpase для рабочей области: uat01-vm04-d200
Команда инфраструктуры обновила правила брандмауэра без моего ведома. Они сняли флажок «Разрешить службам и ресурсам Azure доступ к этой рабочей области».
Ответы 2
На основании сообщения об ошибке мы можем сделать вывод, что развертывание завершилось с ошибкой: «ClientIpAddressNotAuthorized», что означает, что запрос был запрещен из-за того, что Workspace не настроен на разрешение доступа к IP-адресу клиента.
Вам потребуется создать или управлять конфигурацией брандмауэра для рабочей области, разрешающей IP-адрес клиента DevOps в рабочей области.
Команда инфраструктуры обновила правила брандмауэра без моего ведома. Спасибо за помощь.
Я могу воспроизвести проблему, когда настраиваю брандмауэр для своего рабочего пространства, но не добавляю IP-адрес агента, запускающего конвейер, в список разрешений.
Если вы используете локальный агент, добавьте IP-адрес этого агента в список разрешений брандмауэра.
Если вы используете агент, размещенный на MS, вы можете запустить Azure CLI, чтобы добавить IP-адрес текущего агента в брандмауэр и удалить его после развертывания. Подробности см. ниже.
Run az synapse workspace firewall-rule create in Azure CLI task to add the current agent IP to firewall.
Inline script
$ip = Invoke-RestMethod http://ipinfo.io/json | Select -exp ip
Write-Host "The IP address of current agent machine is $ip"
az synapse workspace firewall-rule create -g {ResourceGroup} -n allowMSAgent --workspace-name {WorkspaceName} --start-ip-address $ip --end-ip-address $ip
Add a PowerShell task or Bash task to wait for a while to let the firewall-rule take effect.
Inline script:
Start-Sleep -s 30for PowerShell task andsleep 30for Bash taskRun Synapse workspace deployment task.
Run az synapse workspace firewall-rule delete in Azure CLI task to delete the rule created in step1.
$ip = Invoke-RestMethod http://ipinfo.io/json | Select -exp ip
Write-Host "The IP address of current agent machine is $ip"
az synapse workspace firewall-rule delete -g {ResourceGroup} --workspace-name {WorkspaceName} -n allowMSAgent --yes
Overview of the tasks:
1. Используете ли вы в своем конвейере выпуска автономный агент или агент, размещенный на MS? 2. Настроили ли вы какой-либо брандмауэр в своем рабочем пространстве Synapse?