本文讨论有关托管标识的几个问题以及如何解决这些问题。 有关托管标识的常见问题,请参阅 常见问题解答 文章。
VM 在移动后无法启动
如果从资源组或订阅中移动处于运行状态的 VM,它会在移动期间继续运行。 但是,移动后,如果 VM 停止并重启,则无法启动。 此问题发生的原因是 VM 不会更新托管标识引用,并且会继续使用过时的 URI。
解决方法
在 VM 上触发更新,以便它可以获取 Azure 资源的托管标识的正确值。 可以执行 VM 属性更改来更新对 Azure 资源标识的托管标识的引用。 例如,可以使用以下命令在 VM 上设置新的标记值:
az vm update -n <VM Name> -g <Resource Group> --set tags.fixVM=1
此命令设置 VM 上值为 1 的新标记“fixVM”。
通过设置此属性,VM 使用正确的 Azure 资源 URI 托管标识进行更新,然后应该能够启动 VM。
启动 VM 后,可以使用以下命令删除标记:
az vm update -n <VM Name> -g <Resource Group> --remove tags.fixVM
在 Microsoft Entra 目录之间传输订阅
将订阅移动到/传输到另一个目录时,托管标识不会更新。 因此,任何现有的系统分配或用户分配的托管标识都将中断。
已移动到另一个目录的订阅中的托管标识的解决方法:
- 对于系统分配的托管标识:禁用并重新启用。
- 对于用户分配的托管标识:删除、重新创建并再次将它们附加到必要的资源(例如虚拟机)
有关详细信息,请参阅将 Azure 订阅传输到其他 Microsoft Entra 目录。
托管标识分配作期间出错
在极少数情况下,你可能会看到错误消息,指示与使用 Azure 资源分配托管标识相关的错误。 下面是一些示例错误消息:
- Azure 资源“azure-resource-id”无权访问标识“managed-identity-id”。
- 没有与资源“azure-resource-id”关联的托管服务标识
解决方法 在这些罕见情况下,最好的后续步骤是
- 对于不再需要分配给资源的标识,请将其从资源中删除。
- 对于用户分配的托管标识,请将标识重新分配给 Azure 资源。
- 对于系统分配的托管标识,请禁用标识并再次启用它。
注释
若要分配/取消分配托管标识,请遵循以下链接