Diagnostika a řešení potíží s výjimkami zakázáno ve službě Azure Cosmos DB
PLATÍ PRO: NoSQL
Stavový kód HTTP 403 představuje požadavek zakázáno dokončit.
Blokování požadavků brány firewall
Požadavky na rovinu dat můžou do služby Azure Cosmos DB přicházet prostřednictvím následujících tří cest.
- Veřejný internet (IPv4)
- Koncový bod služby
- Privátní koncový bod
Pokud je požadavek na rovinu dat zablokovaný s chybou 403 Zakázáno, chybová zpráva určí, pomocí které z výše uvedených tří cest žádost přišla do služby Azure Cosmos DB.
Request originated from client IP {...} through public internet.
Request originated from client VNET through service endpoint.
Request originated from client VNET through private endpoint.
Řešení
Seznamte se s tím, jakou cestou se očekává, že požadavek přijde do služby Azure Cosmos DB.
- Pokud chybová zpráva ukazuje, že požadavek nepřišel do služby Azure Cosmos DB přes očekávanou cestu, pravděpodobně bude problém s nastavením na straně klienta. Pečlivě zkontrolujte nastavení na straně klienta podle dokumentace.
- Veřejný internet: Konfigurace brány firewall protokolu IP ve službě Azure Cosmos DB
- Koncový bod služby: Konfigurace přístupu ke službě Azure Cosmos DB z virtuálních sítí Pokud například očekáváte použití koncového bodu služby, ale požadavek přišel do služby Azure Cosmos DB přes veřejný internet, možná podsíť, ve které klient běžel, nepovolil koncový bod služby do služby Azure Cosmos DB.
- Privátní koncový bod: Konfigurace služby Azure Private Link pro účet služby Azure Cosmos DB Pokud například očekáváte použití privátního koncového bodu, ale požadavek přišel do služby Azure Cosmos DB přes veřejný internet, možná dns na virtuálním počítači nebyl nakonfigurovaný tak, aby přeložil koncový bod účtu na privátní IP adresu, takže místo toho procházel veřejnou IP adresou účtu.
- Pokud žádost přišla do služby Azure Cosmos DB přes očekávanou cestu, požadavek byl zablokovaný, protože pro účet nebyla nakonfigurovaná identita zdrojové sítě. Zkontrolujte nastavení účtu v závislosti na cestě, kterou požadavek přišel do služby Azure Cosmos DB.
- Veřejný internet: Zkontrolujte konfiguraci filtru rozsahu IP adres a přístupu k veřejné síti účtu.
- Koncový bod služby: Zkontrolujte přístup k veřejné síti účtu a konfigurace filtrů virtuální sítě.
- Privátní koncový bod: Zkontrolujte konfiguraci privátního koncového bodu účtu a konfiguraci privátního DNS klienta. Důvodem může být přístup k účtu z privátního koncového bodu, který je nastavený pro jiný účet.
Pokud jste nedávno aktualizovali konfigurace brány firewall účtu, mějte na paměti, že použití změn může trvat až 15 minut.
Klíč oddílu překračující úložiště
V tomto scénáři se běžně zobrazují chyby, jako jsou následující chyby:
Response status code does not indicate success: Forbidden (403); Substatus: 1014
Partition key reached maximum size of {...} GB
Řešení
Tato chyba znamená, že aktuální návrh dělení a úloha se pokouší uložit více než povolené množství dat pro danou hodnotu klíče oddílu. Počet logických oddílů v kontejneru není nijak omezený, ale velikost dat, která může každý logický oddíl uložit, je omezený. Můžete se obrátit na podporu pro objasnění.
Jiné než datové operace nejsou povolené.
K tomuto scénáři dochází při pokusu o provádění jiných než datových operací pomocí identit Microsoft Entra. V tomto scénáři se běžně zobrazují chyby, jako jsou následující chyby:
Operation 'POST' on resource 'calls' is not allowed through Azure Cosmos DB endpoint
Forbidden (403); Substatus: 5300; The given request [PUT ...] cannot be authorized by AAD token in data plane.
Řešení
Proveďte operaci prostřednictvím Azure Resource Manageru, webu Azure Portal, Azure CLI nebo Azure PowerShellu.
Pokud používáte trigger Služby Azure Cosmos DB služby Azure Functions, ujistěte se, že CreateLeaseContainerIfNotExists
vlastnost triggeru není nastavená na true
hodnotu . Použití identit Microsoft Entra blokuje jakoukoli operaci, která není datová, například vytvoření kontejneru zapůjčení.
Další kroky
- Nakonfigurujte bránu firewall protokolu IP.
- Nakonfigurujte přístup z virtuálních sítí.
- Nakonfigurujte přístup z privátních koncových bodů.