问题描述
我有一个 powershell 脚本,我想通过 azure 自动化帐户运行它。该脚本在 cloudshell 上运行时运行良好,但是当通过 powershell runbook 运行它时,它没有执行预期的任务并抛出错误。当我使用 Select-AzSubscription -SubscriptionName 'xxx' 时,它告诉我使用 Connect-AzAccount,当我使用它给我找不到开放端口错误。 有人能帮忙吗?我列出了我收到的四种不同的错误消息。
Connect-AzAccount : Cannot find an open port. At line:6 char:1 + Connect-AzAccount + ~~~~~~~~~~~~~~~~~ + CategoryInfo : CloseError: (:) [Connect-AzAccount],Exception + FullyQualifiedErrorId : Microsoft.Azure.Commands.Profile.ConnectAzureRmAccountCommand
Get-AzVM : Argument passed in is not serializable. Parameter name: value At line:19 char:12 + $vmOSdisk=(Get-AzVM -ResourceGroupName $resourceGroupName -Name $vmNa ... + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo : CloseError: (:) [Get-AzVM],ArgumentException + FullyQualifiedErrorId : Microsoft.Azure.Commands.Compute.GetAzureVMCommand
New-AzStorageContext : Context cannot be null. Please log in using Connect-AzAccount. At line:50 char:23 + ... onContext = New-AzStorageContext -StorageAccountName $destinationstor ... + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo : CloseError: (:) [New-AzStorageContext],InvalidOperationException + FullyQualifiedErrorId : Microsoft.WindowsAzure.Commands.Storage.Common.Cmdlet.NewAzureStorageContext
Start-AzStorageBlobcopy : Cannot bind argument to parameter 'AbsoluteUri' because it is null. At line:55 char:38 + Start-AzStorageBlobcopy -AbsoluteUri $sas.AccessSAS -DestContainer $d ... + ~~~~~~~~~~~~~~ + CategoryInfo : InvalidData: (:) [Start-AzStorageBlobcopy],ParameterBindingValidationException + FullyQualifiedErrorId : ParameterargumentValidationErrorNullNotAllowed,Microsoft.WindowsAzure.Commands.Storage.Blo [![enter image description here][1]][1]b.Cmdlet.StartAzureStorageBlobcopy
这里截取了一部分代码供参考。脚本中使用了 Az 模块,新的 Azure 自动化帐户默认没有安装 Az 模块,即使在导入 Az.Accounts、Az.Automation、Az.Compute 后,我也会收到这些错误。
解决方法
在 cloud shell 中,它会自动登录您的用户帐户,实际上 Connect-AzAccount 不起作用,但它不会给您错误,只是警告,因此脚本可以工作。
在自动化运行手册中,它不支持以交互方式登录您的用户帐户,如果您直接使用Connect-AzAccount,则会出现错误,其他错误是基于此的后续问题。
因此,为了解决这些问题,在这种情况下,我们始终使用您的自动化帐户的 Run As Account,本质上它是一个 AD 应用程序以及您的 AAD 租户中的服务主体。确保您已启用它并为其授予与您的用户帐户相同的所有权限以运行脚本,其名称类似于 automationname_xxxxxxxxx,您可以在自动化帐户的 Run As Account 刀片中检查它在门户中。
然后使用下面的命令登录。
$connectionName = "AzureRunAsConnection"
try
{
# Get the connection "AzureRunAsConnection "
$servicePrincipalConnection=Get-AutomationConnection -Name $connectionName
Connect-AzAccount `
-ServicePrincipal `
-TenantId $servicePrincipalConnection.TenantId `
-ApplicationId $servicePrincipalConnection.ApplicationId `
-CertificateThumbprint $servicePrincipalConnection.CertificateThumbprint
}
catch {
if (!$servicePrincipalConnection)
{
$ErrorMessage = "Connection $connectionName not found."
throw $ErrorMessage
} else{
Write-Error -Message $_.Exception
throw $_.Exception
}
}
登录后,请使用Set-AzContext -Subscription <subscription-id>代替Select-AzSubscription,另外请在自动化账户中导入Az.Storage模块,因为一些命令如New-AzStorageContext和Start-AzStorageBlobCopy属于这个模块,完成后,你的脚本应该可以工作。
更新:
我使用您与 Storage Blob Data Contributor 一起使用的脚本进行了测试,效果很好。
$connectionName = "AzureRunAsConnection"
try
{
# Get the connection "AzureRunAsConnection "
$servicePrincipalConnection=Get-AutomationConnection -Name $connectionName
Connect-AzAccount `
-ServicePrincipal `
-TenantId $servicePrincipalConnection.TenantId `
-ApplicationId $servicePrincipalConnection.ApplicationId `
-CertificateThumbprint $servicePrincipalConnection.CertificateThumbprint
}
catch {
if (!$servicePrincipalConnection)
{
$ErrorMessage = "Connection $connectionName not found."
throw $ErrorMessage
} else{
Write-Error -Message $_.Exception
throw $_.Exception
}
}
$sas = Grant-AzSnapshotAccess -SnapshotName "joyvmsnap" -ResourceGroupName "xxxxx" -DurationInSecond 3600 -Access Read
$destinationContext = New-AzStorageContext -StorageAccountName "joystoragev2" -UseConnectedAccount
$storageContainerName="image"
$destinationVHDFileName="test.vhd"
Start-AzStorageBlobCopy -AbsoluteUri $sas.AccessSAS -DestContainer $storageContainerName -DestContext $destinationContext -DestBlob $destinationVHDFileName -Force
确保存储帐户的防火墙设置为允许来自所有网络的访问,并且 Storage Blob Data Contributor 角色是在存储帐户级别或更高级别而不是容器级别分配的。