Fehlerbehebung bei Beobachtbarkeits-Buckets

In diesem Dokument wird beschrieben, wie Sie Fehler beheben, die möglicherweise mit Observability-Buckets zusammenhängen. Auf dieser Seite wird beispielsweise beschrieben, wie Sie Probleme im Zusammenhang mit der Konfiguration von Standardeinstellungen für Observability-Buckets beheben. Sie konfigurieren diese Standardeinstellungen für eine Ressource, z. B. eine Organisation, einen Ordner oder ein Projekt. Damit können Sie Folgendes tun:

Einen Standardspeicherort für Ihre Observability-Buckets konfigurieren.
Für jeden Standort, an dem Sie Daten speichern möchten, können Sie die Verwendung von kundenverwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEK) konfigurieren.

Nachfolger in der Ressourcenhierarchie verwenden diese Einstellungen automatisch, mit Ausnahme der Nachfolger, für die Sie Standardeinstellungen konfiguriert haben.

Keine Trace-Daten sichtbar

Sie erwarten, dass auf der Seite Trace Explorer Daten angezeigt werden, aber es sind keine Daten vorhanden.

Trace-Daten werden in einem Observability-Bucket namens _Trace gespeichert. Es gibt mehrere Gründe, warum Sie möglicherweise keine Trace-Daten sehen. Informationen zum Beheben dieses Fehlers finden Sie unter Keine Daten auf der Seite Trace Explorer.

Probleme im Zusammenhang mit dem Speicherort

In diesem Abschnitt werden häufige Probleme im Zusammenhang mit dem Festlegen oder Aufheben des Standardspeicherorts aufgeführt. Dies ist ein Feld in den Standardeinstellungen für Observability-Buckets.

Das Festlegen des Standardspeicherorts für eine Ressource schlägt fehl

Sie versuchen, den Standardspeicherort für eine Ressource festzulegen, aber der Befehl schlägt fehl:

Ein Versuch, einen Standort festzulegen, der von Observability-Buckets nicht unterstützt wird, schlägt mit dem Fehlercode 400 (INVALID_ARGUMENT) fehl. Die Fehlermeldung sieht in etwa so aus:
```
Unsupported default storage location: my-region
```

So beheben Sie diese Fehler:

Achten Sie darauf, dass der im Befehl angegebene Standort ein unterstützter Standort für Observability-Buckets ist.

Ein Befehl zum Aufheben des Standardspeicherorts schlägt fehl

Sie senden einen updateSettings-Befehl an eine Ressource, bei der der Wert des Standardspeicherorts auf einen leeren String festgelegt ist. Der Befehl schlägt mit dem Fehlercode 403 (INVALID_REQUEST) fehl. Die Fehlermeldung sieht in etwa so aus:

Before you can clear the default storage location for this resource, you must set a default storage location for an ancestor in the resource hierarchy.

oder

The default storage location may not be removed from an organization's Settings.

Das ist ganz normal.

Nachdem ein Standardspeicherort für eine Ressource festgelegt wurde, können Sie den Wert ändern, aber Sie können ihn nicht aufheben, es sei denn, der Standardspeicherort ist für einen Vorfahren in der Ressourcenhierarchie angegeben. Sie können den Standardspeicherort für eine Organisation nicht aufheben, da sie keine Vorfahren hat.

Der Standort eines Observability-Buckets steht im Konflikt mit einer Organisationsrichtlinie

Sie stellen fest, dass die Standorte einiger Observability-Buckets mit den zulässigen Standorten einer Organisationsrichtlinie in Konflikt stehen.

Dies ist kein Fehler.

Organisationsrichtlinien, die den Standort einschränken, werden von Observability-Buckets nicht berücksichtigt.

Probleme im Zusammenhang mit CMEK

In diesem Abschnitt werden häufige Probleme im Zusammenhang mit der Verwendung von CMEK aufgeführt.

Wo finde ich die CMEK-Einstellungen für einen Observability-Bucket?

Wenn Sie feststellen möchten, ob ein Observability-Bucket CMEK verwendet, können Sie Ihre Observability-Buckets auflisten.

Die Antwortdaten enthalten Informationen zum Cloud KMS-Schlüssel, seiner Version und dem Dienstkonto, das für den Zugriff auf den Schlüssel verwendet wird.

Wie behebe ich CMEK-Konfigurationsfehler?

Nachdem Sie CMEK für eine Ressource und einen Standort konfiguriert haben, erhalten Sie entweder eine E-Mail-Benachrichtigung von Google Cloud Observability zu Problemen mit dem CMEK-Zugriff oder Sie bemerken Lese- oder Schreibfehler von Observability-Buckets, bei denen CMEK aktiviert ist. Die E-Mail wird an wichtige Kontaktegesendet und enthält Informationen wie die folgenden:

Name des Cloud KMS-Schlüssels.
Cloud KMS-Schlüsselversion.
Name des Dienstkontos, das für die Verschlüsselung und Entschlüsselung verwendet wird.
Der Fehlercode, der von Google Cloud Observability beim Verschlüsseln oder Entschlüsseln von Daten angezeigt wird.
Die Fehlermeldung, die beim Verschlüsseln oder Entschlüsseln von Daten angezeigt wird.

Die Benachrichtigung enthält Informationen zum Fehler und listet Maßnahmen auf, die Sie ergreifen können, um das Problem zu beheben:

Fehler	Empfehlung
Berechtigung für kryptografischen Schlüssel verweigert	Das Dienstkonto der Ressource hat nicht die erforderlichen IAM Berechtigungen für den angegebenen Cloud KMS-Schlüssel. Folgen Sie der Anleitung in der Fehlermeldung, um diesen Fehler zu beheben. Die folgenden Informationen können hilfreich sein: Prüfen, ob das Dienstkonto die erforderliche Rolle hat Dienstkonto Zugriff auf einen Schlüssel gewähren
Kryptografischer Schlüssel ist deaktiviert	Der angegebene Cloud KMS-Schlüssel war deaktiviert. Folgen Sie der Anleitung in der Fehlermeldung, um den Schlüssel wieder zu aktivieren. Die folgenden Informationen können hilfreich sein: Prüfen, ob ein Cloud KMS-Schlüssel verwendet werden kann Dienstkonto Zugriff auf einen Schlüssel gewähren
Kryptografischer Schlüssel wurde gelöscht	Der angegebene Cloud KMS-Schlüssel war gelöscht. Folgen Sie der Anleitung oder lesen Sie Cloud KMS-Schlüssel für eine Ressource verwalten.

Fehler

Empfehlung

Berechtigung für kryptografischen Schlüssel verweigert

Das Dienstkonto der Ressource hat nicht die erforderlichen IAM Berechtigungen für den angegebenen Cloud KMS-Schlüssel. Folgen Sie der Anleitung in der Fehlermeldung, um diesen Fehler zu beheben. Die folgenden Informationen können hilfreich sein:

Kryptografischer Schlüssel ist deaktiviert

Der angegebene Cloud KMS-Schlüssel war deaktiviert. Folgen Sie der Anleitung in der Fehlermeldung, um den Schlüssel wieder zu aktivieren. Die folgenden Informationen können hilfreich sein:

Kryptografischer Schlüssel wurde gelöscht

Der angegebene Cloud KMS-Schlüssel war gelöscht. Folgen Sie der Anleitung oder lesen Sie Cloud KMS-Schlüssel für eine Ressource verwalten.

Bereitstellung für einen Observability-Bucket schlägt fehl

Sie sind ein wichtiger Kontakt oder Inhaber einer Ressource, und Sie erhalten eine E-Mail-Benachrichtigung von Google Cloud Observability über einen Bereitstellungs fehler.

Die Bereitstellung eines Observability-Buckets kann aufgrund eines Konfigurationsfehlers oder eines internen Fehlers fehlschlagen:

Wenn die Bereitstellung aufgrund eines internen Fehlers fehlschlägt, müssen Sie nichts unternehmen. Das System behebt diese Fehler automatisch, indem es den Befehl zum Erstellen wiederholt, bis er erfolgreich ist.
Wenn die Bereitstellung aufgrund eines Konfigurationsfehlers fehlschlägt, müssen Sie den Fehler beheben. Die bereitgestellten Daten werden weiterhin empfangen. Das System gibt mindestens einmal täglich einen Befehl zum Erstellen eines Observability-Buckets aus. Konfigurationsfehler können folgende Ursachen haben:
- Ein Cloud KMS-Schlüssel kann nicht verwendet werden.
- Einem Dienstkonto fehlt eine erforderliche Rolle.

Im Rest dieses Abschnitts wird beschrieben, wie Sie häufige Konfigurationsprobleme untersuchen.

Standardspeicherorte für Ihre Ressourcen prüfen

Prüfen und aktualisieren Sie bei Bedarf die Standardeinstellungen für Observability-Buckets für Organisation, Ordner oder Projekt mit einem Standardspeicherort.

Weitere Informationen finden Sie unter Standardeinstellungen für Observability-Buckets ansehen.

Prüfen, ob ein Cloud KMS-Schlüssel verwendet werden kann

Führen Sie gcloud kms keys list aus, um zu prüfen, ob ein Cloud KMS-Schlüssel verwendet werden kann:

gcloud kms keys list \
--location=LOCATION_ID \
--keyring=KMS_KEY_RING

Ersetzen Sie vor dem Ausführen des vorherigen Befehls Folgendes:

LOCATION_ID: Der Standort Ihres Cloud KMS-Schlüssels.
KMS_KEY_RING: Der Name des Cloud KMS-Schlüsselbunds.

Der vorherige Befehl gibt Informationen zu jedem Schlüssel am angegebenen Standort zurück. Für Ihren Cloud KMS-Schlüssel muss Folgendes zutreffen:

Der Cloud KMS-Schlüssel ist in der Tabelle aufgeführt.
In der Spalte STATUS ist ENABLED aufgeführt.
In der Spalte PURPOSE ist ENCRYPT_DECRYPT aufgeführt. Diese Einstellung gibt an, dass der Zweck des Schlüssels die symmetrische Verschlüsselung ist:

Erstellen Sie bei Bedarf einen neuen Cloud KMS-Schlüssel und aktualisieren Sie Ihre Standardeinstellungen für Observability-Buckets für die zugehörige Ressource und den zugehörigen Standort.

Prüfen, ob das Dienstkonto die erforderliche Rolle hat

Prüfen Sie, ob dem Dienstkonto der Ressource die Rolle Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler für den Cloud KMS-Schlüssel zugewiesen wurde, der in den Standardeinstellungen für Observability-Buckets für die Ressource aufgeführt ist.

Führen Sie den folgenden Befehl aus, um die Bindungen für einen Cloud KMS-Schlüssel zu ermitteln:

gcloud kms keys get-iam-policy KMS_KEY_NAME

Weisen Sie dem Dienstkonto der Ressource bei Bedarf die Rolle Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler für den Schlüssel zu. Weitere Informationen finden Sie unter Dienstkonto Zugriff auf einen Schlüssel gewähren.