Policy-Probleme
Um OS Management Hub zu verwenden, müssen Sie die erforderlichen Gruppen und Policy-Anweisungen erstellen. Wenn eine dieser Einstellungen falsch konfiguriert ist, treten möglicherweise Probleme bei der Verwendung des Dienstes auf.
Siehe auch: OS Management Hub-Policys.
Mit dem Policy Advisor können Sie schnell die erforderlichen Benutzergruppen, dynamischen Gruppen und Policy-Anweisungen konfigurieren, die für die Verwendung von OS Management Hub und Ressourcen-Discovery und -monitoring erforderlich sind.
Fehlende dynamische Gruppenregel
Der häufigste Policy-Fehler tritt auf, wenn die dynamische Gruppe nicht die Instanzen enthält, die von OS Management Hub verwaltet werden sollen. Regeln für dynamische Gruppen unterstützen keine Compartment-Vererbung. Daher müssen Sie eine separate Regel in der dynamischen Gruppe für jedes Compartment und Sub-Compartment angeben, die Instanzen enthält, die vom Service verwaltet werden sollen.
Wenn Sie den Policy Advisor verwenden, führen Sie ihn in jedem Compartment und Sub-Compartment aus, das Sie mit dem Service verwenden möchten.
Wenn Sie die Policys manuell erstellen, prüfen Sie, ob die dynamische Gruppe Regeln für alle Sub-Compartments enthält, die Instanzen enthalten, die vom Service verwaltet werden sollen. Wenn Sie sowohl OCI- als auch Nicht-OCI-Instanzen verwenden, stellen Sie sicher, dass Sie die erforderlichen Regeln für beide Instanztypen enthalten haben.
Fehlende Identitätsdomainangabe
Policy-Anweisungen verwenden die Identitätsdomain Default, es sei denn, Sie definieren die Identitätsdomain explizit vor dem Namen der Gruppe oder dynamischen Gruppe in der Anweisung (Beispiel: <identity_domain_name>/<dynamic_group_name>). Weitere Informationen finden Sie unter Policy-Syntax.
Wenn Sie die Standarddomain nicht verwenden, stellen Sie sicher, dass Sie die Identitätsdomain in jeder Ihrer Policy-Anweisungen angegeben haben. Beispiele:
allow group <identity-domain-name>/<osmh-admins> to manage osmh-family in tenancyPolicy Advisor-Fehlermeldungen
Der Policy Advisor aktiviert OS Management Hub schnell für ein bestimmtes Compartment, indem die erforderlichen Benutzergruppen, dynamischen Gruppen und Policys definiert werden, die der Service benötigt. Möglicherweise werden Fehler aus dem Policy Advisor angezeigt, wenn Ihr Benutzeraccount nicht über ausreichende Berechtigungen verfügt oder Sie Ihre Gruppen und Policys anders definieren als die vom Advisor verwendeten.
| Fehlermeldung | Mögliche Ursache und Lösung |
|---|---|
|
Ein Policy-Fehler wurde ermittelt |
Ursache: Die Policys und Gruppennamen stimmen nicht genau mit den Erwartungen des Advisors überein. Der Advisor prüft, ob eine bestimmte Gruppe von Policys, Policy-Anweisungen und Gruppen vorhanden ist. Siehe Was erstellt der Policy Advisor? Lösung: Wenn OS Management Hub wie erwartet funktioniert, können Sie die Policy-Fehlermeldung ignorieren. Möglicherweise haben Sie bereits Policys eingerichtet, Ihre Gruppen benannt und Ihre Policy-Anweisungen anders definiert als die vom Advisor verwendeten Policys. Führen Sie andernfalls den policy Advisor aus. |
|
Policy-Informationen konnten nicht abgerufen werden |
Ursache: Ihr Benutzeraccount kann OS Management Hub nicht verwenden, und Sie verfügen nicht über ausreichende Berechtigungen zum Lesen von Policys, Gruppen oder dynamischen Gruppen. Lösung: Wenden Sie sich an den Mandantenadministrator, um Unterstützung beim Aktivieren von OS Management Hub zu erhalten. Siehe Erforderliche Berechtigungen für den Policy Advisor. |
|
Der Service ist möglicherweise eingerichtet, kann die Policy-Informationen jedoch nicht bestätigen |
Ursache: Ihr Benutzeraccount verfügt nicht über ausreichende Berechtigungen zum Lesen von Policys, Gruppen oder dynamischen Gruppen. Der Policy Advisor kann die erforderlichen Gruppen, dynamischen Gruppen und Policys nicht bestätigen. Siehe Was erstellt der Policy Advisor? Lösung: Wenn OS Management Hub wie erwartet funktioniert, können Sie die Policy-Fehlermeldung ignorieren. Wenden Sie sich andernfalls an den Mandantenadministrator, um Unterstützung beim Aktivieren von OS Management Hub zu erhalten. Siehe Erforderliche Berechtigungen für den Policy Advisor. |
|
<resource> konnte nicht aktualisiert werden: NotAuthorizedOrNotFound |
Ursache: Nachdem Sie die Policy Advisor-Änderungen geprüft und auf Setup geklickt haben, wird diese Meldung angezeigt, wenn Ihr Benutzeraccount nicht über ausreichende Berechtigungen zum Erstellen oder Aktualisieren einer Policy, Gruppe oder dynamischen Gruppe verfügt. Beispiel: " Lösung: Bitten Sie den Mandantenadministrator, OS Management Hub zu aktivieren. Siehe Erforderliche Berechtigungen für den Policy Advisor. |
Registrierungsfehler
Wenn beim Registrieren einer Instanz die folgenden Fehler auftreten, kann dies darauf hinweisen, dass die Policy-Anweisungen oder Regeln für dynamische Gruppen nicht korrekt festgelegt sind.
Die osmh-agent.log enthält:
ERROR: failed to update managed instance: Error returned by Service. Http Status Code: 404.
Error Code: NotAuthorizedOrNotFound. Opc request id: <requestID>. Message: Authorization failed or requested resource not found.
...
Request Endpoint: PUT https://osmh.<region>.oci.oraclecloud.com/20220901/agent/managedInstances/ocid1.managementagent.oc1.iad.<ocid>Auf der Registerkarte "Oracle Cloud Agent" auf der Detailseite der Compute-Instanz wird auch eine der folgenden Meldungen angezeigt:
Plugin OS Management Hub Agent not present for instance ocid1.instance.oc1.iad.<ocid>failed to start osmh-agent with [lookup image failed. The instance could not register with OS Management Hub.Um das Problem zu beheben, prüfen Sie, ob Sie die Policy-Anweisungen und die Regeln für dynamische Gruppen richtig konfiguriert haben. Meistens enthält die dynamische Gruppe die Instanz nicht.
Prüfen Sie Folgendes:
- Stellen Sie sicher, dass Sie eine dynamische Gruppenregel für jedes Compartment und Sub-Compartment mit Instanzen enthalten, die Sie vom Service verwalten möchten. Dynamische Gruppen unterstützen keine Compartment-Vererbung.
- Wenn Sie die Identitätsdomain
defaultnicht verwenden, stellen Sie sicher, dass jede Policy-Anweisung die Identitätsdomain vor dem Namen der Gruppe oder dynamischen Gruppe hat (Beispiel:<identity_domain_name>/<dynamic_group_name>).