本文档介绍了如何解决可能与可观测性存储分区相关的故障。例如,本页面介绍了如何解决与配置可观测性存储分区的默认设置相关的问题。您可以为资源(可以是组织、文件夹或项目)配置这些默认设置,这些设置可让您执行以下操作:
- 为可观测性存储分区配置默认存储位置。
- 对于您选择存储数据的每个位置,您可以配置客户管理的加密密钥 (CMEK) 的使用。
资源层次结构中的后代会自动使用这些设置,除非您已为这些后代配置默认设置。
您看不到任何跟踪记录数据
您希望在 Trace 探索器 页面中看到数据,但没有任何数据。
跟踪记录数据存储在名为 _Trace 的可观测性存储分区中。您可能看不到跟踪记录数据的原因有多种。如需了解如何
解决此故障,请参阅
“Trace 探索器”页面中没有数据。
与存储位置相关的问题
本部分列出了与设置或清除默认存储位置(可观测性存储分区的默认设置中的一个字段)相关的常见问题。
为资源设置默认存储位置失败
您尝试为资源设置默认存储位置,但命令失败:
尝试设置可观测性存储分区不支持的位置会失败,并显示
400 (INVALID_ARGUMENT)错误代码。失败消息类似于以下内容:Unsupported default storage location: my-region
如需解决这些故障,请执行以下操作:
用于清除默认存储位置的命令失败
您向资源发出 updateSettings 命令,并将默认存储位置的值设置为空字符串。该命令失败,并显示 403 (INVALID_REQUEST) 错误代码。错误消息类似于以下内容之一:
Before you can clear the default storage location for this resource, you must set a default storage location for an ancestor in the resource hierarchy.
或
The default storage location may not be removed from an organization's Settings.
这是预期行为。
为资源设置默认存储位置后,您可以更改该值,但无法清除或取消设置该值,除非在资源层次结构中为祖先指定了默认存储位置。您无法清除或取消设置组织的默认存储位置,因为组织没有祖先。
可观测性存储桶的位置与组织政策冲突
您注意到,某些可观测性存储分区的位置与组织政策指定的允许位置冲突。
这不是错误。
可观测性存储分区不会遵守限制位置的组织政策。
与 CMEK 相关的问题
本部分列出了与使用 CMEK 相关的常见问题。
如何查找可观测性存储桶的 CMEK 设置?
如需确定可观测性存储桶是否使用 CMEK,您可以 列出可观测性存储桶。
响应数据包括有关 Cloud KMS 密钥、其版本以及用于访问该密钥的服务帐号的信息。
如何解决 CMEK 配置错误
为资源和位置配置 CMEK 后,您会收到来自 Google Cloud Observability 的关于 CMEK 访问权限问题的邮件通知,或者您会注意到启用了 CMEK 的可观测性存储分区出现读取或写入错误。该 电子邮件会发送给重要联系人, 其中包含以下信息:
- Cloud KMS 密钥名称。
- Cloud KMS 密钥版本。
- 用于加密和解密的服务帐号的名称。
- Google Cloud Observability 在加密或解密数据时看到的错误代码。
- 加密或解密数据时看到的错误消息
该通知提供了有关故障的信息,并列出了您可以采取的缓解措施:
| 错误 | 建议 |
|---|---|
| 加密密钥权限被拒 | 资源的服务帐号没有足够的 IAM 权限,无法对指定的 Cloud KMS 密钥执行操作。如需解决此故障,请按照错误中的说明操作。以下 信息可能对您有帮助: |
| 加密密钥已停用 | 指定的 Cloud KMS 密钥已停用。按照错误中的 说明重新启用该密钥。以下 信息可能对您有帮助: |
| 加密密钥已销毁 | 指定的 Cloud KMS 密钥已销毁。按照说明操作,或参阅管理资源的 Cloud KMS 密钥。 |
可观测性存储桶的预配失败
您是资源的重要联系人或所有者, 并且收到了来自 Google Cloud Observability 的关于预配 失败的电子邮件通知。
由于配置错误或内部错误,可观测性存储桶的预配可能会失败:
如果预配因内部错误而失败,您无需采取任何措施。系统会自动重试创建命令,直到成功为止,从而从这些故障中自动恢复。
如果预配因配置错误而失败,您需要更正该错误。如果提供的数据继续到达,系统每天会自动发出至少一个创建可观测性存储桶命令。 配置错误包括以下内容:
本部分余下内容介绍了如何调查常见的配置问题。
查看资源的默认存储位置
查看并根据需要更新具有默认存储位置的组织、文件夹或项目的可观测性存储分区的默认设置。
如需了解详情,请参阅 查看可观测性存储分区的默认设置。
验证 Cloud KMS 密钥是否可用
如需确定 Cloud KMS 密钥是否可用,
请运行 gcloud kms keys list:
gcloud kms keys list \
--location=LOCATION_ID \
--keyring=KMS_KEY_RING
在运行上面的命令之前,请先进行以下替换:
- LOCATION_ID:Cloud KMS 密钥的位置。
- KMS_KEY_RING:Cloud KMS 密钥环的名称。
上一个命令会返回有关指定位置中每个密钥的信息。对于 Cloud KMS 密钥,请确保以下条件成立:
- Cloud KMS 密钥列在表中。
STATUS列列出了ENABLED。PURPOSE列列出了ENCRYPT_DECRYPT。此设置表示密钥的用途是对称加密:
如有必要,请创建新的 Cloud KMS 密钥,并更新关联资源和位置的可观测性存储分区的 默认设置。
验证服务帐号是否具有所需角色
验证是否已为资源的服务帐号授予 Cloud KMS CryptoKey Encrypter/Decrypter 角色,以便该服务账号能够使用列为资源的可观测性存储分区的 默认设置一部分的 Cloud KMS 密钥。
如需确定 Cloud KMS 密钥的绑定,请运行以下命令:
gcloud kms keys get-iam-policy KMS_KEY_NAME
如有必要,请为资源的<term ref="service account">服务帐号账号</term>授予 Cloud KMS CryptoKey Encrypter/Decrypter <term ref="role">角色</term>,以便该<term ref="service account">服务账号</term>能够使用该密钥。如需了解详情,请参阅 向服务帐号授予对密钥的访问权限。