このドキュメントでは、オブザーバビリティ バケットに関連する可能性のある障害を解決する方法について説明します。たとえば、このページでは、オブザーバビリティ バケットのデフォルト設定の構成に関連する問題を解決する方法について説明します。リソース(組織、フォルダ、プロジェクトなど)のデフォルト設定を構成すると、次のことができます。
- オブザーバビリティ バケットのデフォルトのストレージ ロケーションを構成する。
- データを保存するロケーションごとに、顧客管理の暗号鍵(CMEK)の使用を構成できます。
リソース階層内の子孫は、デフォルト設定を構成した子孫を除き、これらの設定を自動的に使用します。
トレースデータが表示されない
[Trace エクスプローラ] ページにデータが表示されるはずですが、データがありません。
トレースデータは、_Trace という名前のオブザーバビリティ バケットに保存されます。トレースデータが表示されない理由はいくつかあります。この障害を解決する方法については、
[**Trace エクスプローラ**] ページにデータが表示されないをご覧ください。
ストレージ ロケーションに関連する問題
このセクションでは、デフォルトのストレージ ロケーションの設定またはクリアに関連する一般的な問題について説明します。デフォルトのストレージ ロケーションは、オブザーバビリティ バケットのデフォルト設定のフィールドです。
リソースのデフォルトのストレージ ロケーションの設定に失敗する
リソースのデフォルトのストレージ ロケーションを設定しようとすると、コマンドが失敗します。
オブザーバビリティ バケットでサポートされていないロケーションを設定しようとすると、
400 (INVALID_ARGUMENT)エラーコードで失敗します。失敗メッセージは次のようになります。Unsupported default storage location: my-region
これらの障害を解決するには、次の操作を行います。
- コマンドで指定したロケーションが、サポートされている オブザーバビリティ バケットのロケーションであることを確認します。
デフォルトのストレージ ロケーションをクリアするコマンドが失敗する
デフォルトのストレージ ロケーションの値が空の文字列に設定されているリソースに対して updateSettings
コマンドを発行します。コマンドが失敗し、403 (INVALID_REQUEST)
エラーコードが返されます。エラー メッセージは次のいずれかのようになります。
Before you can clear the default storage location for this resource, you must set a default storage location for an ancestor in the resource hierarchy.
または
The default storage location may not be removed from an organization's Settings.
これは想定された動作です。
リソースのデフォルトのストレージ ロケーションを設定した後、値を変更することはできますが、リソース階層内の祖先にデフォルトのストレージ ロケーションが指定されていない限り、値をクリアまたは設定解除することはできません。組織には祖先がないため、組織のデフォルトのストレージ ロケーションをクリアまたは設定解除することはできません。
オブザーバビリティ バケットのロケーションが組織のポリシーと競合する
一部のオブザーバビリティ バケットのロケーションが、組織のポリシーで指定された許可されたロケーションと競合していることに気づきました。
これはエラーではありません。
ロケーションを制限する組織のポリシーは、オブザーバビリティ バケットでは適用されません。
CMEK に関連する問題
このセクションでは、CMEK の使用に関連する一般的な問題について説明します。
オブザーバビリティ バケットの CMEK 設定を確認するにはどうすればよいですか?
オブザーバビリティ バケットで CMEK が使用されているかどうかを確認するには、オブザーバビリティ バケットを 一覧表示します。
レスポンス データには、Cloud KMS 鍵、そのバージョン、鍵へのアクセスに使用されるサービス アカウントに関する情報が含まれます。
CMEK 構成エラーを解決するにはどうすればよいですか?
リソースとロケーションに CMEK を構成すると、CMEK アクセスの問題に関するメール通知が Google Cloud Observability から届くか、CMEK が有効になっているオブザーバビリティ バケットからの読み取りまたは書き込みエラーが発生します。重要な連絡先に送信されるメールには、次のような情報が含まれています。
- Cloud KMS 鍵の名前。
- Cloud KMS 鍵のバージョン。
- 暗号化と復号に使用されるサービス アカウントの名前。
- データの暗号化または復号時に Google Cloud Observability で確認されたエラーコード。
- データの暗号化または復号時に表示されるエラー メッセージ
通知には、障害に関する情報と、問題を軽減するために実行できるアクションが記載されています。
| エラー | 推奨事項 |
|---|---|
| 暗号鍵に対するアクセスが拒否されました | リソースのサービス アカウントに、指定した Cloud KMS 鍵を操作するための十分な IAM 権限がありません。この障害を解決するには、エラーの手順に沿って操作してください。次の 情報が役立つ場合があります。 |
| 暗号鍵が無効になっています | 指定された Cloud KMS 鍵は無効になりました。エラーの手順に沿って、 鍵を再度有効にします。次の 情報が役立つ場合があります。 |
| 暗号鍵が破棄されました | 指定された Cloud KMS 鍵が破棄されました。手順に沿って操作するか、リソースの Cloud KMS 鍵を管理するをご覧ください。 |
オブザーバビリティ バケットのプロビジョニングが失敗する
リソースの重要な連絡先またはオーナーである場合、プロビジョニングの 失敗に関するメール通知が Google Cloud Observability から届きます。
オブザーバビリティ バケットのプロビジョニングは、構成エラーまたは内部エラーが原因で失敗することがあります。
内部エラーが原因でプロビジョニングが失敗した場合、対応は不要です。システムは、成功するまで create コマンドを再試行することで、これらの障害から自動的に復旧します。
構成エラーが原因でプロビジョニングが失敗した場合は、エラーを修正する必要があります。データが引き続き到着する場合、システムは 1 日に少なくとも 1 回、オブザーバビリティ バケットの作成コマンドを自動的に発行します。 構成エラーには、次のものがあります。
このセクションの残りの部分では、一般的な構成の問題を調査する方法について説明します。
リソースのデフォルトのストレージ ロケーションを確認する
デフォルトのストレージ ロケーションを使用して、組織、フォルダ、またはプロジェクトのオブザーバビリティ バケットのデフォルト設定を確認し、必要に応じて更新します。
詳細については、 オブザーバビリティ バケットのデフォルト設定を表示するをご覧ください。
Cloud KMS 鍵が使用可能であることを確認する
Cloud KMS 鍵が使用可能かどうかを確認するには、
gcloud kms keys list を実行します。
gcloud kms keys list \
--location=LOCATION_ID \
--keyring=KMS_KEY_RING
前のコマンドを実行する前に、次のように置き換えます。
- LOCATION_ID: Cloud KMS 鍵のロケーション。
- KMS_KEY_RING: Cloud KMS キーリングの名前。
前のコマンドは、指定されたロケーションにある各鍵に関する情報を返します。Cloud KMS 鍵については、次のことを確認してください。
- Cloud KMS 鍵が表に表示されている。
STATUS列にENABLEDが表示されている。PURPOSE列にENCRYPT_DECRYPTが表示されている。この設定は、鍵の目的が対称暗号化であることを示します。
必要に応じて、新しい Cloud KMS 鍵を作成し、関連するリソースとロケーションのオブザーバビリティ バケットの デフォルト設定を更新します。
サービス アカウントに必要なロールがあることを確認する
リソースのオブザーバビリティ バケットのデフォルト設定の一部としてリストされている Cloud KMS 鍵に対して、リソースのサービス アカウントに Cloud KMS CryptoKey の暗号化/復号 ロールが付与されていることを確認します。
Cloud KMS 鍵のバインディングを確認するには、次のコマンドを実行します。
gcloud kms keys get-iam-policy KMS_KEY_NAME
必要に応じて、リソースのサービス アカウントに鍵の Cloud KMS CryptoKey の暗号化/復号ロールを付与します。 詳細については、 サービス アカウントに鍵へのアクセス権を付与するをご覧ください。