时间戳

首页 > 解决方案 > 无法通过自动化帐户运行我的 ps 脚本

azure - 无法通过自动化帐户运行我的 ps 脚本

问题描述

我有一个我想通过 azure 自动化帐户运行的 powershell 脚本。该脚本在 cloudshell 上运行时运行良好,但通过 powershell runbook 运行时,它没有执行预期的任务并引发错误。当我使用 Select-AzSubscription -SubscriptionName 'xxx' 时,它告诉我使用 Connect-AzAccount,当我使用它给我的找不到打开的端口错误。有人能帮忙吗?我列出了我收到的四种不同的错误消息。

Connect-AzAccount : Cannot find an open port. At line:6 char:1 + Connect-AzAccount + ~~~~~~~~~~~~~~~~~ + CategoryInfo : CloseError: (:) [Connect-AzAccount], Exception + FullyQualifiedErrorId : Microsoft.Azure.Commands.Profile.ConnectAzureRmAccountCommand



Get-AzVM : Argument passed in is not serializable. Parameter name: value At line:19 char:12 + $vmOSDisk=(Get-AzVM -ResourceGroupName $resourceGroupName -Name $vmNa ... + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo : CloseError: (:) [Get-AzVM], ArgumentException + FullyQualifiedErrorId : Microsoft.Azure.Commands.Compute.GetAzureVMCommand



New-AzStorageContext : Context cannot be null. Please log in using Connect-AzAccount. At line:50 char:23 + ... onContext = New-AzStorageContext -StorageAccountName $destinationstor ... + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo : CloseError: (:) [New-AzStorageContext], InvalidOperationException + FullyQualifiedErrorId : Microsoft.WindowsAzure.Commands.Storage.Common.Cmdlet.NewAzureStorageContext



Start-AzStorageBlobCopy : Cannot bind argument to parameter 'AbsoluteUri' because it is null. At line:55 char:38 + Start-AzStorageBlobCopy -AbsoluteUri $sas.AccessSAS -DestContainer $d ... + ~~~~~~~~~~~~~~ + CategoryInfo : InvalidData: (:) [Start-AzStorageBlobCopy], ParameterBindingValidationException + FullyQualifiedErrorId : ParameterArgumentValidationErrorNullNotAllowed,Microsoft.WindowsAzure.Commands.Storage.Blo [![enter image description here][1]][1]b.Cmdlet.StartAzureStorageBlobCopy

这是部分代码的片段以供参考。脚本中使用了 Az 模块,并且默认情况下新的 Azure 自动化帐户没有安装 Az 模块,即使在导入 Az.Accounts、Az.Automation、Az.Compute 之后,我也会收到这些错误。

标签: azurepowershellazure-automationazure-runbook

解决方案

在 cloud shell 中,它会自动登录您的用户帐户,实际上Connect-AzAccount不起作用,但它不会给您错误,只是一个警告,因此脚本将起作用。

在自动化运行手册中,不支持交互方式登录用户账号,如果Connect-AzAccount直接使用会报错,其他报错都是基于此的后续问题。

因此,为了解决这些问题,在这种情况下,我们始终使用您的自动化帐户的运行方式帐户,本质上它是一个 AD 应用程序以及您的 AAD 租户中的服务主体。确保您已启用它并授予它与您的用户帐户相同的所有权限以运行脚本,其名称为automationname_xxxxxxxxx,您可以Run As Account在门户的自动化帐户中的刀片中查看它。

然后使用以下命令登录。

$connectionName = "AzureRunAsConnection"
try
{
    # Get the connection "AzureRunAsConnection "
    $servicePrincipalConnection=Get-AutomationConnection -Name $connectionName         

    Connect-AzAccount `
        -ServicePrincipal `
        -TenantId $servicePrincipalConnection.TenantId `
        -ApplicationId $servicePrincipalConnection.ApplicationId `
        -CertificateThumbprint $servicePrincipalConnection.CertificateThumbprint 
}
catch {
    if (!$servicePrincipalConnection)
    {
        $ErrorMessage = "Connection $connectionName not found."
        throw $ErrorMessage
    } else{
        Write-Error -Message $_.Exception
        throw $_.Exception
    }
}

登录后,请使用Set-AzContext -Subscription <subscription-id>代替Select-AzSubscription,也请在自动化帐户中导入Az.Storage模块,因为某些命令喜欢New-AzStorageContextStart-AzStorageBlobCopy属于该模块,执行后,您的脚本应该可以工作。

更新:

我用你使用的脚本进行测试Storage Blob Data Contributor,它工作正常。

$connectionName = "AzureRunAsConnection"
try
{
    # Get the connection "AzureRunAsConnection "
    $servicePrincipalConnection=Get-AutomationConnection -Name $connectionName         

    Connect-AzAccount `
        -ServicePrincipal `
        -TenantId $servicePrincipalConnection.TenantId `
        -ApplicationId $servicePrincipalConnection.ApplicationId `
        -CertificateThumbprint $servicePrincipalConnection.CertificateThumbprint 
}
catch {
    if (!$servicePrincipalConnection)
    {
        $ErrorMessage = "Connection $connectionName not found."
        throw $ErrorMessage
    } else{
        Write-Error -Message $_.Exception
        throw $_.Exception
    }
}

$sas = Grant-AzSnapshotAccess -SnapshotName "joyvmsnap" -ResourceGroupName "xxxxx"  -DurationInSecond 3600 -Access Read 

$destinationContext = New-AzStorageContext -StorageAccountName "joystoragev2" -UseConnectedAccount

$storageContainerName="image"
$destinationVHDFileName="test.vhd"
Start-AzStorageBlobCopy -AbsoluteUri $sas.AccessSAS -DestContainer $storageContainerName -DestContext $destinationContext -DestBlob $destinationVHDFileName -Force

在此处输入图像描述

确保存储帐户的防火墙设置为允许来自所有网络的访问,并且Storage Blob Data Contributor在存储帐户级别或更高级别而不是容器级别分配角色。

推荐阅读