ตัวควบคุม istio ingress ล้มเหลวในการกำหนด ip สาธารณะเนื่องจาก 'Microsoft.Network/publicIPAddresses/join/action'

ฉันกำลังพยายามสร้างบริการ AKS ด้วย IP สาธารณะที่กำหนดไว้ล่วงหน้าแบบคงที่ เพื่อที่ฉันใช้ดิน

ส่วนที่สำคัญ

ทรัพยากร "azurerm_public_ip" "public_ip" {
  allocation_method = "คงที่"
  ตำแหน่ง = azurerm_resource_group.rg.location
  ชื่อ = "${local.resource_name_prefix}-PublicIp1"
  resource_group_name = azurerm_resource_group.rg.name
  sku = "มาตรฐาน"

  แท็ก = local.common_tags
}

ทรัพยากร "azurerm_kubernetes_cluster" "aks" {
  ตำแหน่ง = azurerm_resource_group.rg.location
  ชื่อ = "${local.resource_name_prefix}-aks"
  resource_group_name = azurerm_resource_group.rg.name

  default_node_pool {
    ชื่อ = "ระบบ"
    vm_size = "มาตรฐาน_DS2_v2"
    vnet_subnet_id = azurerm_subnet.app_subnet.id

    upgrade_settings {
      max_surge = "30"
    }
    
  }
  
  เครือข่าย_โปรไฟล์ {
    network_plugin = "คูเบเน็ท"
    load_balancer_sku = "มาตรฐาน"
    load_balancer_profile {
      ขาออก_ip_address_ids = [ azurerm_public_ip.public_ip.id ]
    }
  }

  บทบาท_ตาม_การเข้าถึง_การควบคุม {
    เปิดใช้งาน = จริง
  }

  บริการหลัก {
    client_id = var.appId
    client_secret = var.password
  }
  
}

เครือข่ายเสมือน + เครือข่ายย่อยยังถูกกำหนดไว้ล่วงหน้า

ตอนนี้เมื่อพยายามติดตั้ง istio โดยใช้ ติดตั้ง istioctl, istio-ingressgateway Loadbalancer ทำงานล้มเหลว

{
  "ข้อผิดพลาด": {
    "code": "LinkedAuthorizationFailed",
    "ข้อความ": "ไคลเอนต์ 'xxxxx' ที่มีรหัสวัตถุ 'xxxx' ได้รับอนุญาตให้ดำเนินการ 'Microsoft.Network/loadBalancers/write' ในขอบเขต '/subscriptions/xxxx/resourceGroups/xxx_rg/providers/Microsoft.Network/loadBalancers/ kubernetes' อย่างไรก็ตาม ไม่มีสิทธิ์ดำเนินการ 'Microsoft.Network/publicIPAddresses/join/action' ในขอบเขตที่เชื่อมโยง '/subscriptions/xxx/resourceGroups/xxx-rg/providers/Microsoft.Network/publicIPAddresses /xxx-PublicIp1' หรือขอบเขตที่เชื่อมโยงไม่ถูกต้อง"
  }
}