この記事では、Microsoft Azure Kubernetes Service (AKS) クラスターを作成してデプロイしようとしたときに発生する OrasPullNetworkTimeoutVMExtensionError エラー (エラー コード 211) を特定して解決する方法について説明します。
症状
送信の種類が none または block の AKS クラスターを作成しようとすると、次のエラー メッセージが表示されます。
VMExtensionProvisioningError: 拡張機能 'vmssCSE' の処理中に VM からエラーが報告されました。
エラーメッセージ: "有効化に失敗しました: コマンドの実行に失敗しました。コマンドはステータス211で終了しました。"
ブートストラップ コンテナー レジストリに到達できません。 ネットワーク構成を確認してから、もう一度やり直してください。
原因
ネットワーク分離クラスターの場合、エグレス トラフィックは制限されます。 この機能では、AKS ブートストラップ用の Microsoft Artifact Registry (MAR) から必要なバイナリまたはイメージをダウンロードするためのプロキシとして機能するプライベート Azure Container Registry (ACR) キャッシュが導入されています。 VM インスタンスは、プライベート リンクを介してプライベート ACR に接続します。 プライベート リンクの構成が正しくないと、VM ブートストラップ カスタム スクリプト拡張機能 (CSE) が失敗します。
解決策
この問題を解決するには、次の手順に従ってください。
次のコマンドを実行して、AKS がブートストラップ ACR として使用する ACR リソース ID を取得します。
az aks show -g ${RESOURCE_GROUP} -n ${CLUSTER_NAME} --query 'bootstrapProfile.containerRegistryResourceId'ACR キャッシュ 規則を確認します。 これには、ソース リポジトリ
aks-managed-ruleとターゲット リポジトリのmcr.microsoft.com/*を含むaks-managed-repository/*が含まれている必要があります。 ソースまたはターゲット リポジトリが*として他のキャッシュ 規則が存在しないことを確認します。これにより、aks-managed-ruleがオーバーライドされます。コンテナー レジストリのプライベート リンクを確認して、プライベート ドメイン ネーム システム (DNS) ゾーンやプライベート リンクなど、接続構成が正しいことを確認します。
Secure Shell (SSH) を使用して失敗した VM インスタンスにアクセスし、ACR ホストで curl を実行します。 成功した場合は、クラスターを調整します。 それでも失敗する場合は、手順 3 に戻ります。
リファレンス
お問い合わせはこちらから
ご質問がある場合は、 Azure コミュニティサポートにお問い合わせください。 Azure フィードバック コミュニティに製品フィードバックを送信することもできます。