本頁面提供逐步操作說明,協助您排解 IAP 地端部署連接器設定問題。如需其他疑難排解資訊,請參閱「Traffic Director 偵錯」。
排解錯誤 500 問題
以下是各種問題和可能的解決方法,可協助您解決嘗試存取應用程式時收到的 500 錯誤。
內部部署應用程式未連線至 Google Cloud 網路
您的內部部署應用程式可能未連上 Google Cloud 網路。從其中一個內部部署連接器 Compute Engine 執行個體,對內部部署應用程式執行 Ping 作業,藉此驗證連線能力。如果無法連線至內部連接器端點,請先對網路連線和設定進行偵錯,再繼續操作。
Envoy 未正確安裝在 VM 中
請完成下列步驟,確認 Envoy 已正確安裝:
- 透過內部部署連接器登入其中一個 Compute Engine VM。內部部署連接器 VM 名稱開頭為
opc-on-prem-app-deployment-ig-${app}。 - 在 Cloud 控制台中,確認
opc-on-prem-app-deployment-gclb-urlmap負載平衡後端服務健康狀態檢查的狀態為綠色。 - 如果後端服務顯示為健康狀態,請在其中一個執行個體中執行 SSH:
gcloud compute ssh instance-name --zone=zone name
請執行下列指令,確認 Envoy 已啟用並執行:
ps aux | grep envoy
grep envoy之外,應有其他執行中的程序。輸出內容範例:
envoy 943 0.0 0.0 5488 3076 ? Ss 06:25 0:00 /bin/bash /usr/local/bin/run-proxy.sh envoy 944 0.1 1.5 178928 57352 ? Sl 06:25 1:23 /usr/local/bin/envoy --config-path /usr/local/etc/ envoy/envoy-proxy-bootstrap.json --allow-unknown-static-fields --disable-hot-restart --log-level info --drain-time- s 60確認 Envoy 記錄目錄已在
/var/log/envoy/建立。請執行下列指令,確認 VM 可存取 gce-mesh 值區:
gcloud storage cp gs://gce-mesh/service-proxy-agent/releases/service-proxy-agent-0.2.tgz .
如果此步驟中的任何驗證失敗,表示 Envoy 並未正確安裝。如需更多資訊,請查看 /var/log/daemon.log 中的啟動記錄。
如果您發現 Envoy 未在前面步驟中執行,原因之一可能是 VPC Service Controls。VM 中的啟動指令碼會從 gce-mesh 儲存桶下載 Envoy 映像檔。如果 VPC Service Controls 規則不允許連線,內部部署連接器就無法運作。
為確保 Envoy 正確安裝,請在主機專案的 VPC Service Controls 中,允許存取 gce-mesh 儲存體值區。此外,請確認 VPC 有路由規則,允許流量連線至公開網際網路。這樣一來,您就能部署 Envoy。詳情請參閱「入站和出站規則」。
您的內部部署應用程式未連結至 Envoy
如果您可以從 VM 對內部部署應用程式執行 PING 作業,但無法使用內部部署連接器,則 Envoy 可能無法連線至應用程式。
如要確認 Envoy 能否連線至您的內部應用程式,請嘗試從 Envoy 執行的電腦上呼叫 Envoy。透過 SSH 連線至 VM opc-on-prem-app-deployment-ig-${app},然後執行下列指令。您可以在「Instance Groups」>「Details」>「Port Name Mapping」中找到 Envoy 通訊埠編號。
shell curl -x -v localhost:${envoy_port}如果無法連線至端點,請檢查下列項目:
/var/log/envoy/envoy.err.log是否有任何錯誤記錄。如果沒有錯誤記錄,請執行下列指令,檢查 Traffic Director 是否已啟用,且能否設定 Envoy:sudo curl 0.0.0.0:15000/config_dump
- 確認是否已設定
TRAFFICDIRECTOR_INTERCEPTION_LISTENER。如果未設定TRAFFICDIRECTOR_INTERCEPTION_LISTENER,Traffic Director 就無法設定 Envoy。 - 檢查各個 Listener 是否有任何錯誤訊息。
未設定 Envoy 和 Traffic Director 帳戶權限
如果在 envoy.err.log 中看到 GRPC 403 錯誤,或是在 Envoy 設定中未看到 TRAFFICDIRECTOR_INTERCEPTION_LISTENER,表示您可能未設定正確的帳戶權限。
確認 VM 服務帳戶具有 xDS v3 的 TD 存取權:
- 驗證權限:https://cloud.google.com/traffic-director/docs/prepare-for-envoy-setup#grant
- 驗證帳戶:https://cloud.google.com/traffic-director/docs/prepare-for-envoy-setup#enable-service
排解 ERR_SSL_VERSION_OR_CIPHER_MISMATCH 錯誤
如果瀏覽器顯示 ERR_SSL_VERSION_OR_CIPHER_MISMATCH 錯誤,但不會重新導向至登入頁面,請在 Google Cloud 負載平衡器詳細資料頁面上驗證憑證狀態。
請注意,佈建 Google 代管的憑證最多可能需要 60 分鐘。
排解 Envoy 安裝問題
如果已成功部署內部部署的連接器,且已佈建憑證,但連線仍失敗,這可能表示 Envoy 未正確安裝在 VM 上。
如要確認 Envoy 是否已安裝,請透過 SSH 連線至其中一個 VM,然後執行下列指令:
ps aux | grep envoy
grep envoy之外,應有其他執行中的程序。netstat -tlpn
如果上述任一操作失敗,請採取下列行動來減輕問題:
- 請確認在要部署連接器的子網路上已啟用 私人 Google 存取權。
- 確認已啟用 VM Manager (OS Config API)。
排解 IamMemberBinding 資源的部署失敗問題
如果在部署或更新內部部署連接器時,發生與 IamMemberBinding 資源相關的 PERMISSION_DENIED 錯誤,可能是因為為內部部署應用程式啟用 IAP時,未為 Google APIs Service Agent 服務帳戶授予必要的 OWNER 角色。
部署錯誤示例:
bind-iam-policy: {"ResourceType":"gcp-types/cloudresourcemanager-v1:virtual.projects.iamMemberBinding","ResourceErrorCode":"403","ResourceErrorMessage":{"code":403,"message":"Policy update access denied.","status":"PERMISSION_DENIED","statusMessage":"Forbidden","requestPath":"https://cloudresourcemanager.googleapis.com/v1/projects/<project-ID>:setIamPolicy","httpMethod":"POST"}}
bind-storage-admin-account-iam-policy: {"ResourceType":"gcp-types/cloudresourcemanager-v1:virtual.projects.iamMemberBinding","ResourceErrorCode":"403","ResourceErrorMessage":{"code":403,"message":"Policy update access denied.","status":"PERMISSION_DENIED","statusMessage":"Forbidden","requestPath":"https://cloudresourcemanager.googleapis.com/v1/projects/<project-ID>:setIamPolicy","httpMethod":"POST"}}
如果部署作業出現這些錯誤,請確認 Google APIs Service Agent 服務帳戶已授予 OWNER 角色,然後重試。