授权失败，Pod 在从 Velero Backup 恢复期间停滞在“Init:0/1”状态

Posted 2023-02-15

【中文标题】授权失败，Pod 在从 Velero Backup 恢复期间停滞在“Init:0/1”状态

【英文标题】：Authorization failed and the pods are stalled in "Init:0/1" status during restoration from Velero Backup

【发布时间】：2021-08-06 14:28:52

【问题描述】：

我在 AKS 中使用区块链自动化框架 (BAF) 部署了一个超级账本结构区块链网络 (v2.2.0)。我正在尝试执行 DR 方案以使用 Velero 恢复完整的网络。通过注释命名空间中所有 pod 的卷，我使用 velero（与 restic 一起安装）备份了命名空间。然后我创建了另一个集群 (AKS) 并完成了还原。恢复没有说任何错误，但是恢复的命名空间中的所有 pod 都停滞在“初始化”状态。当 pod 描述时，我可以看到以下“事件”，

警告 FailedAttachVolume 2m (x11 over 8m12s) attachdetach-controller AttachVolume.Attach 卷“pvc-693766c2-24d1-46df-8f3b-6e61e47714c2”失败：Retriable：false，RetryAfter：0s，HTTPStatusCode：403，RawError : Retriable: false, RetryAfter: 0s, HTTPStatusCode: 403, RawError: "error":"code":"AuthorizationFailed","message":"The client '5cb44ec6-fe67-4783-a7ec-827ce5787ea7' with object id “5cb44ec6-fe67-4783-a7ec-827ce5787ea7”无权在“/subscriptions/subs_id/resourceGroups/rg/providers/Microsoft.Compute/disks/kubernetes-dynamic”范围内执行操作“Microsoft.Compute/disks/read” -pvc-693766c2-24d1-46df-8f3b-6e61e47714c2' 或范围无效。如果最近授予访问权限，请刷新您的凭据。"

谁能解释一下原因？提前致谢！

【参考方案1】：

我不熟悉您正在使用的具体服务，但5cb44ec6-fe67-4783-a7ec-827ce5787ea7 看起来像一个服务主体 ID。

错误表明这是/subscriptions/subs_id/resourceGroups/rg/providers/Microsoft.Compute/disks/kubernetes-dynamic-pvc-693766c2-24d1-46df-8f3b-6e61e47714c2 资源的权限问题。因此，我会研究与该服务主体关联的权限（例如，您可以为整个资源组的服务主体授予更多权限）