Azure 资源托管标识的已知问题
本文讨论有关托管标识的几个问题以及如何解决这些问题。 常见问题一文中介绍了有关托管标识的常见问题。
迁移后无法启动 VM
如果从资源组或订阅中移动处于运行状态的 VM,它将在移动过程中继续运行。 不过,如果在迁移后停止并重启 VM,则它无法启动。 发生此问题的原因是,VM 不会更新托管标识引用,它会继续使用过时的 URI。
解决方法
在 VM 上触发更新,以便它可以获取正确的 Azure 资源托管标识的值。 可以更改 VM 属性,从而更新对 Azure 资源托管标识的标识的引用。 例如,可以运行下列命令,在 VM 上设置新的标记值:
az vm update -n <VM Name> -g <Resource Group> --set tags.fixVM=1
此命令在 VM 上设置值为 1 的新标记“fixVM”。
通过设置此属性,VM 可以更新包含正确的 Azure 资源托管标识 URI,然后就应该能启动 VM 了。
在 VM 启动后,便可以运行下列命令,从而删除此标记:
az vm update -n <VM Name> -g <Resource Group> --remove tags.fixVM
在 Microsoft Entra 目录之间转移订阅
将订阅移动/转移到另一个目录时,托管标识不会更新。 因此,任何现存的系统分配的或用户分配的托管标识将被破坏。
对于已移到另一目录的订阅中的托管标识,解决方法是:
- 对于系统分配的托管标识:禁用并重新启用。
- 对于用户分配的托管标识:删除、重新创建并重新将其附加到所需的资源(例如虚拟机)
有关详细信息,请参阅将 Azure 订阅转移到其他 Microsoft Entra 目录。
托管标识分配操作期间出错
在极少数情况下,可能会看到错误消息,指示与使用 Azure 资源分配托管标识相关的错误。 下面是一些示例错误消息:
- Azure 资源“azure-resource-id”无权访问标识“managed-identity-id”。
- 没有托管服务标识与资源“azure-resource-id”关联
解决方法在这些极少数情况下,最好的后续步骤是
- 对于不再需要分配给资源的标识,将其从资源中删除。
- 对于用户分配的托管标识,将该标识重新分配给 Azure 资源。
- 对于系统分配的托管标识,禁用该标识,然后再次启用。
注意
若要分配/取消分配托管标识,请单击以下链接