Azure-docs: Erro ao excluir um perfil de rede

Obrigado pelo feedback! Estamos investigando no momento e atualizaremos você em breve.

@clangnerakq Tente verificar a seção Interfaces de Rede no portal e tente encontrar a NIC à qual o erro está se referindo. Depois de excluir a NIC, você poderá remover o perfil de rede

@MicahMcKittrick-MSFT Obrigado pela sua resposta.
Infelizmente, não há interface de rede que eu possa excluir.
A visão geral está vazia:

C:\Users\clangner>az network nic list --resource-group dx_test
[]

Você sabe, onde esta placa de rede poderia estar?
Desde já, obrigado.

@clangnerakq você deve verificar o grupo de recursos que é criado automaticamente ao implantar uma instância de contêiner. O nome do grupo de recursos será algo como MC_ *

Isso será diferente do grupo de recursos no qual você implantou, mas é gerado pela plataforma, portanto, você precisa pesquisá-lo manualmente.

@clangnerakq alguma sorte com isso?

@MicahMcKittrick-MSFT Obrigado por seu lembrete e desculpe pelo meu feedback tardio.

Não tive sorte com isso, porque não consigo ver esse tipo de grupo de recursos.
Estes são os únicos que consigo ver:
(Alguns dos seguintes são um pouco anônimos)

C:\Users\clangner>az group list
[
  {
    "id": "/subscriptions/XXXXXXXX/resourceGroups/dx_test",
    "location": "westus",
    "managedBy": null,
    "name": "dx_test",
    "properties": {
      "provisioningState": "Succeeded"
    },
    "tags": null
  },
  {
    "id": "/subscriptions/XXXXXXXX2/resourceGroups/dxtest",
    "location": "westeurope",
    "managedBy": null,
    "name": "dxtest",
    "properties": {
      "provisioningState": "Succeeded"
    },
    "tags": null
  },
  {
    "id": "/subscriptions/XXXXXXXXXXX/resourceGroups/dx2test",
    "location": "westeurope",
    "managedBy": null,
    "name": "dx2test",
    "properties": {
      "provisioningState": "Succeeded"
    },
    "tags": null
  }
]

Procurei nics em todos os grupos de recursos, mas não encontrei ninguém:

C:\Users\clangner>az network nic list -g dx_test
[]

C:\Users\clangner>az network nic list -g dxtest
[]

C:\Users\clangner>az network nic list -g dx2test
[]

Você sabe agora se existe outra possibilidade de procurar grupos de recursos ou nics?
Eu estou querendo saber por que o comando "az network nic list -g dx_test" não mostrou nenhum nics, porque existem 5 aci neste grupo de recursos com dois perfis de rede.

Desde já, obrigado.
Clemens Langner

Obrigado por dar uma chance.

Neste ponto, acho que devemos entrar em contato com o suporte para resolver isso.

Você tem a capacidade de abrir um ticket de suporte técnico? Caso contrário, você pode me enviar um email para [email protected] e me fornecer seu SubscriptionID e um link para este problema. Posso ativar sua assinatura para essa solicitação.

Vou fechar isso e ficar de olho nesse e-mail :)

@MicahMcKittrick-MSFT Onde vocês podem resolver isso. Tenho o mesmo cenário. Não consigo excluir a VNet e não vejo nenhuma instância de NIC ou RGs gerados automaticamente. Obrigado novamente!

@jdobrzen , se bem me lembro, havia algo que a equipe de engenharia precisava fazer no back-end para liberar os recursos.

Sinta-se à vontade para me enviar um e-mail com as informações solicitadas que mencionei no comentário acima e também entraremos em contato com o suporte.

@MicahMcKittrick-MSFT
Eu tenho o mesmo problema. Não é possível excluir VPN ou sub-rede e reclamações de que há uma NIC conectada à instância de contêiner. A lista NIC está vazia no portal do Azure e por meio do azure cli. Posso te enviar um email por favor? Eu tenho dois grupos de recursos presos assim :)

Tendo os mesmos problemas ao remover certas vnets. Este problema deve permanecer aberto e tratado publicamente, não há recursos suficientes para resolvermos isso. Esgotei todas as opções sugeridas pela equipe de suporte (PS, ARM, REST), e a placa de rede não foi encontrada.

Eu tive que abrir um ticket de suporte e a equipe de suporte levou dois meses para resolver esse problema. Eles tentaram todas as maneiras possíveis de excluir e finalmente conseguiram fazer uma exclusão forçada. Eu tive o mesmo problema. NIC está longe de ser encontrado.

Posso confirmar que este problema ainda é muito válido. az network nic list -g <name> me mostra um resultado vazio.

Se alguém ver isso, abra uma solicitação de suporte para resolver isso. Se você não conseguir abrir uma solicitação, veja meu comentário acima e sinta-se à vontade para entrar em contato comigo com as informações solicitadas.

Isso ainda é um problema. Podemos reabrir isso para que as pessoas possam acompanhar o progresso de uma correção real?

Criamos e destruímos VNets com frequência e encontramos esse problema em aproximadamente 10% de nossas implantações. Sim, o suporte pode resolver. No entanto, é um grande inconveniente, pois sempre envolve 3-4 rodadas de ida e volta (por exemplo, tente este comando...) antes de finalmente levá-lo à equipe de engenharia para fazer algo no back-end.

Eu sei que é um recurso de visualização, mas isso é doloroso.

O trabalho por enquanto ainda é envolver o suporte para ser desbloqueado. Mas estou reabrindo isso para tentar descobrir o status atual e o que está sendo feito a longo prazo para corrigir isso. Sem ETA sobre quando terei uma atualização, mas reabrindo para manter meu radar e começar a investigar

adicionando @dkkapur para conscientização

Mesmo problema para mim

Aqui estão alguns documentos que podem ajudar a excluir os recursos de bloqueio:

https://docs.microsoft.com/bs-latn-ba/azure/aks/virtual-nodes-cli#remove -virtual-nodes

https://docs.microsoft.com/en-us/rest/api/container-instances/serviceassociationlink/delete

https://docs.microsoft.com/en-us/azure/container-instances/container-instances-vnet#delete -network-resources

A equipe da ACI está ciente desse problema e está trabalhando ativamente em uma solução permanente. Estou trabalhando para obter um ETA quando a correção será enviada. Continuarei a atualizar este problema à medida que obtiver mais informações.

Eu tenho trabalhado offline nesta questão.

Existem diferentes razões que podem levar a este cenário. O que já lançamos é uma maneira de detectar isso no back-end e temos um monitor para isso agora. Então, informamos automaticamente para isso agora. Mas, ainda assim, os grupos de contêineres que foram excluídos antes de lançarmos nosso monitor (meados de setembro) não serão detectados automaticamente. Portanto, precisaremos que os clientes abram uma solicitação de suporte para resolver o problema.

Ao abrir uma solicitação de suporte, inclua nas informações que você está procurando para obter ajuda para corrigir o ID do perfil de rede.

Podemos, então, encaminhar suas solicitações para a equipe da Instância de Contêiner do Azure. Infelizmente, não há como os usuários se desbloquearem sem a equipe de engenharia. Continuamos trabalhando nesse problema para garantir que isso não aconteça quando esse recurso for GA.

Eu estarei adicionando uma nota ao documento com algumas informações adicionais sobre isso em breve.

Eu adicionei uma nota durante a fase de limpeza deste documento explicando que se você receber um erro ao excluir o perfil de rede para permitir 2-3 dias para a plataforma mitigar automaticamente o problema, tente novamente a exclusão. Se isso não funcionar, incluí etapas para abrir um ticket.

Uma vez que o PR se funde, as alterações podem ser vistas no documento após algumas horas.

Assim que as correções de trabalho forem confirmadas e o recurso passar para o GA, atualizaremos o documento novamente.

@MicahMcKittrick-MSFT
Outro ponto de dados para você. Parece que podemos evitar o problema excluindo manualmente a instância do contêiner no portal antes de derrubar o restante da infraestrutura (por exemplo, terraform destroy).

Excelente! Obrigado vou deixar a equipe de engenharia saber também. Isso pode ajudar com uma correção para sempre.

Desculpas por resolver um problema fechado - mas ainda estou experimentando esse mesmo comportamento em 2 grupos de recursos. ACI foi implantado por meio de modelo. Executou az group delete antes de saber sobre esse problema e a solução. Agora eu tenho dois grupos que não podem excluir o vnet/subnets porque o perfil de rede fornece a mensagem de erro already in use with container nics; cannot update or delete .

Uma correção foi enviada para o GA?

Estamos tendo esse mesmo problema e agora o suporte do Azure está vinculado a esse problema depois de executarmos manualmente vários comandos que não funcionam. Existe uma maneira específica de chegar ao grupo de back-end adequado para a resolução desse problema?

Estamos tendo esse mesmo problema e agora o suporte do Azure está vinculado a esse problema depois de executarmos manualmente vários comandos que não funcionam. Existe uma maneira específica de chegar ao grupo de back-end adequado para a resolução desse problema?

@js-mode FWIW, abri um ticket de suporte e dei ping nas pessoas internamente. Não tive resposta, mas continuarei agitando a árvore do grupo de produtos para obter algum tipo de resposta para todos.

Além disso, como solicitar suporte para excluir o recurso manualmente, se não estiver em um plano de suporte pago? Para abrir tickets de suporte técnico, devemos ter um plano de suporte pago.

Acabei de experimentar isso várias vezes ontem (grupos de recursos recém-criados) e como você não pode nem mover os recursos que ficaram presos a um "dead-rg" porque os perfis de rede não podem ser movidos entre grupos de recursos. Portanto, preciso criar um novo grupo de recursos para cada implantação (estamos escrevendo scripts do Terraform agora e tendo problemas para configurar as regras de gateway para executá-las várias vezes ao dia)

Mesmo problema que @NoNameProvided. Não estou em um plano pago e, portanto, não posso excluir este recurso por conta própria. Ficaria feliz se alguém me indicasse uma direção onde eu possa obter ajuda, não quero escrever um email para um canal de suporte aleatório da microsoft.

Hey - PM para ACI aqui. Este é um problema conhecido causado por uma interrupção de VNet que a ACI teve na semana passada. No momento, estamos trabalhando em uma correção para desbloquear a exclusão de VNet. Infelizmente, não há como excluir a VNet manualmente neste momento.

Enviaremos notificações do Azure Health em breve para as assinaturas afetadas. Essas atualizações continuarão sendo enviadas até que o problema seja resolvido.

Atualização: se você seguir estas etapas, poderá excluir com êxito sua VNet. Se essas etapas não funcionarem para você, abra um ticket de suporte.

Mitigação
Por favor, siga estes passos em ordem

1. Excluir grupos de contêineres
   az container delete --id $CG_RESOURCE_ID
2. Excluir excluir perfil de rede
   az network profile delete --id $NETWORK_PROFILE_ID -y
3. Excluir VNet
   az network vnet delete --resource-group $RES_GROUP --name $VNET_NAME

Isso ainda não está corrigido. Depois que o grupo de contêineres é excluído, o perfil de rede ainda permanece. Depois de executar az network profile delete --id $NETWORK_PROFILE_ID -y ainda obtém repetidamente estes erros:

Network profile /subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RG/providers/Microsoft.Network/networkProfiles/aci-network-profile-$RG-vnet is already in use with container nics a76d6805-228d-485c-a40b-27df9aa2b446_eth0; cannot update or delete

Também recebendo este erro:
Falha ao excluir o grupo de recursos $RG: Falha na exclusão do grupo de recursos '$RG' como recursos com identificadores 'Microsoft.Network/networkProfiles/aci-network-profile-$RG-vnet,Microsoft.Network/virtualNetworks/$RG-vnet' não pôde ser excluído. O estado de provisionamento do grupo de recursos será revertido. O ID de rastreamento é 'e2ecf6cd-7b8e-412e-b292-ccfec9030830'. Verifique os logs de auditoria para obter mais detalhes. (Código: ResourceGroupDeletionBlocked) Perfil de rede /subscriptions/$SUB/resourceGroups/$RG/providers/Microsoft.Network/networkProfiles/aci-network-profile-$RG-vnet já está em uso com container nics a76d6805-228d-485c-a40b -27df9aa2b446_eth0; não pode atualizar ou excluir (Código: NetworkProfileAlreadyInUseWithContainerNics, Destino: /subscriptions/$SUB/resourceGroups/$RG/providers/Microsoft.Network/networkProfiles/aci-network-profile-$RG-vnet) Subnet ContainerSubnet está em uso por /subscriptions/ $SUB/resourceGroups/$RG/providers/Microsoft.Network/networkProfiles/aci-network-profile-$RG-vnet/containerNetworkInterfaceConfigurations/eth0/ipConfigurations/ipconfigprofile e não pode ser excluído. Para excluir a sub-rede, exclua todos os recursos da sub-rede. Consulte aka.ms/deletesubnet. (Código: InUseSubnetCannotBeDeleted, Destino: /subscriptions/$SUB/resourceGroups/$RG/providers/Microsoft.Network/virtualNetworks/$RG-vnet)

Já teve várias idas e vindas com o suporte do Azure nesta e a atualização mais recente diz que a "equipe de contêiner" precisa fazer algo no back-end. Conseguiu finalmente excluir uma única vnet depois que a equipe do Azure conseguiu excluir delegações de contêiner no back-end.

A pior parte é que esse tíquete foi fechado e o Azure afirma que o problema foi mitigado, mas ainda precisamos abrir tíquetes de suporte individuais para cada grupo de recursos.

Se alguém tiver uma causa raiz ou instruções sobre como remover essas vnets sem exigir suporte do Azure, isso seria muito apreciado.

Oi @js-mode - obrigado por trazer isso à nossa atenção. Infelizmente, existem as únicas etapas de mitigação que podemos recomendar para que os clientes tentem de forma independente no momento. Você pode me marcar em seu ticket aberto mais recente ou fazer com que seu engenheiro de suporte me envie um e-mail (e-mail na biografia do GitHub)?

Aparentemente, estou enfrentando o mesmo problema depois de tentar excluir um cluster AKS com o complemento de nós virtuais habilitado.

az network profile delete está falhando com: O perfil de rede %id já está em uso com o container nics %guids.

No entanto, az network nic list não mostra nenhum nic relacionado nem az container list mostra nenhum container :astonished:

Olá pessoal.
Eu tive o mesmo problema e me ajude abaixo das etapas para remover a sub-rede aci e vnet com o container de lixo nic:
1º - encontre o nome do pdofile de rede do problema pelo comando -> az network profile list --query [].name -o tsv
2º - criar recurso pelo terraform -> recurso "azurerm_network_profile" "exemplo" com o mesmo nome de perfil de rede e id de sub-rede do problema.
3º - após terraform criar perfil de rede com sucesso, remova-o por -> az network profile delete --id ...(você pode encontrar id by az network profile list --query [].id -o tsv)
4º - vá para o portal e altere o delegado da sub-rede de container para none, depois de salvar pude excluir subnet e vnet.
Espero que ajude você como eu!

@JedenFalls você poderia compartilhar seu arquivo Terraform (com as PII ofuscadas, é claro)?

@JedenFalls você poderia compartilhar seu arquivo Terraform (com as PII ofuscadas, é claro)?

primeiro eu encontrei pelo comando az network profile list --query [].name -o tsv nome do perfil de rede fantasma (que não posso excluir), por exemplo, era aci-network-profile-my-container

quando vou para terrafom (porque az cli não tem comando para criar perfil de rede separado do grupo de contêineres) e feito terraform aplicar para o recurso abaixo:

 resource "azurerm_network_profile" "error-container" {
   name                = "aci-network-profile-my-container"
   location            = "location of phantom network profile"
   resource_group_name = "rg of phantom network profile"

   container_network_interface {
     name = "error-nic"

     ip_configuration {
       name      = "error-subnet"
       subnet_id ="aci subnet id of problem vnet, you can find it by az network vnet subnet list -- 
       resource-group $vnetRg --vnet-name $vnetName --query [].id -o tsv"
    }
  }
}

no meu caso, o terraform recriou com sucesso o perfil de rede sem vinculação de contêiner, depois disso eu poderia removê-lo por um perfil de rede z delete --id .... e depois disso o portal do azure me permitiu excluir minha sub-rede e vnet.

@JedenFalls Posso confirmar que sua solução funciona. Eu tive que importar o status do recurso antes de aplicar a configuração que você propõe, mas depois de aplicá-lo az network profile delete --id ... funcionou e consegui excluir a sub-rede afetada. Obrigada!

A solução alternativa que funcionou para mim é atualizar a propriedade containerNetworkInterfaceConfigurations nas propriedades do perfil de rede para uma lista vazia:

# Get network profile ID
NETWORK_PROFILE_ID=$(az network profile list --resource-group <reource-group-name> --query [0].id --output tsv)

az resource update --ids $NETWORK_PROFILE_ID --set properties.containerNetworkInterfaceConfigurations=[]

E então consegui excluir o perfil de rede e, posteriormente, a sub-rede.

A solução alternativa que funcionou para mim é atualizar a propriedade containerNetworkInterfaceConfigurations nas propriedades do perfil de rede para uma lista vazia:

# Get network profile ID
NETWORK_PROFILE_ID=$(az network profile list --resource-group <reource-group-name> --query [0].id --output tsv)

az resource update --ids $NETWORK_PROFILE_ID --set properties.containerNetworkInterfaceConfigurations=[]

E então consegui excluir o perfil de rede e, posteriormente, a sub-rede.

Isso funcionou para mim e me salvou do incômodo de criar um caso de suporte, obrigado !!!

@rudolphjacksonm Que bom que ajudou! :)

listar toda a lista de perfis
lista de perfis de rede az
excluir um por um
az network profile delete --name profilename --resource-group rsggroup

Você pode excluir a sub-rede e a vnet depois de executar as etapas acima

Abaixo estão os comandos do PowerShell para atualizar o perfil existente e excluí-lo.

New-AzNetworkProfile -ResourceGroupName [rg name] -Location [location] -name [nome do perfil existente]
Remove-AzNetworkProfile -ResourceGroupName [nome do rg] -name [nome do perfil existente]

Obrigado @rudolphjacksonm! Isso funcionou para mim :)

@krhynerson isso funcionou para nós! Obrigada!

@BhargaviAnnadevara-MSFT Obrigado!