Fehlerbehebung bei Beobachtbarkeits-Buckets

In diesem Dokument wird beschrieben, wie Sie Fehler beheben, die möglicherweise mit Observability-Buckets zusammenhängen. Auf dieser Seite wird beispielsweise beschrieben, wie Sie Probleme bei der Konfiguration von Standardeinstellungen für Observability-Buckets beheben. Sie konfigurieren diese Standardeinstellungen für eine Ressource, die eine Organisation, ein Ordner oder ein Projekt sein kann. Damit haben Sie folgende Möglichkeiten:

Konfigurieren Sie einen Standardspeicherort für Ihre Observability-Buckets.
Für jeden Standort, an dem Sie Daten speichern möchten, können Sie die Verwendung von kundenverwalteten Verschlüsselungsschlüsseln (Customer-Managed Encryption Keys, CMEK) konfigurieren.

Untergeordnete Elemente in der Ressourcenhierarchie verwenden diese Einstellungen automatisch, mit Ausnahme der untergeordneten Elemente, für die Sie Standardeinstellungen konfiguriert haben.

Sie sehen keine Trace-Daten

Sie erwarten Daten auf der Seite Trace-Explorer, aber es sind keine Daten vorhanden.

Trace-Daten werden in einem Beobachtungs-Bucket namens _Trace gespeichert. Es gibt mehrere Gründe, warum Sie möglicherweise keine Trace-Daten sehen. Informationen zur Behebung dieses Fehlers finden Sie unter Keine Daten auf der Seite Trace Explorer.

Probleme mit dem Speicherort

In diesem Abschnitt werden häufige Probleme beim Festlegen oder Löschen des Standardspeicherorts aufgeführt. Dies ist ein Feld in den Standardeinstellungen für Observability-Buckets.

Festlegen des Standardspeicherorts für eine Ressource schlägt fehl

Sie versuchen, den Standardspeicherort für eine Ressource festzulegen, aber der Befehl schlägt fehl:

Wenn Sie versuchen, einen Standort festzulegen, der von Observability-Buckets nicht unterstützt wird, schlägt der Vorgang mit dem Fehlercode 400 (INVALID_ARGUMENT) fehl. Die Fehlermeldung sieht etwa so aus:
```
Unsupported default storage location: my-region
```

So beheben Sie diese Fehler:

Achten Sie darauf, dass der im Befehl angegebene Speicherort ein unterstützter Bucket-Speicherort für die Beobachtbarkeit ist.

Ein Befehl zum Löschen des Standardspeicherorts schlägt fehl

Sie senden einen updateSettings-Befehl an eine Ressource, bei der der Wert des Standardspeicherorts auf einen leeren String festgelegt ist. Der Befehl schlägt mit dem Fehlercode 403 (INVALID_REQUEST) fehl. Die Fehlermeldung sieht etwa so aus:

Before you can clear the default storage location for this resource, you must set a default storage location for an ancestor in the resource hierarchy.

oder

The default storage location may not be removed from an organization's Settings.

Das ist ganz normal.

Nachdem ein Standardspeicherort für eine Ressource festgelegt wurde, können Sie den Wert ändern, aber nicht löschen oder entfernen, es sei denn, der Standardspeicherort ist für einen übergeordneten Knoten in der Ressourcenhierarchie angegeben. Sie können den Standardspeicherort für eine Organisation nicht löschen oder aufheben, da sie keine übergeordneten Organisationen hat.

Der Speicherort eines Observability-Buckets steht im Konflikt mit einer Organisationsrichtlinie

Sie stellen fest, dass die Standorte einiger Observability-Buckets mit den zulässigen Standorten, die in einer Organisationsrichtlinie angegeben sind, in Konflikt stehen.

Dies ist kein Fehler.

Organisationsrichtlinien, die den Standort einschränken, werden von Observability-Buckets nicht berücksichtigt.

Probleme im Zusammenhang mit CMEK

In diesem Abschnitt werden häufige Probleme bei der Verwendung von CMEK aufgeführt.

Wie finde ich die CMEK-Einstellungen für einen Observability-Bucket?

Wenn Sie feststellen möchten, ob ein Observability-Bucket CMEK verwendet, können Sie Ihre Observability-Buckets auflisten.

Die Antwortdaten enthalten Informationen zum Cloud KMS-Schlüssel, seiner Version und dem Dienstkonto, das für den Zugriff auf den Schlüssel verwendet wurde.

CMEK-Konfigurationsfehler beheben

Nachdem Sie CMEK für eine Ressource und einen Standort konfiguriert haben, erhalten Sie entweder eine E-Mail-Benachrichtigung von Google Cloud Observability zu CMEK-Zugriffsproblemen oder Sie bemerken Lese- oder Schreibfehler bei Observability-Buckets mit aktiviertem CMEK. Die E-Mail, die an wichtige Kontakte gesendet wird, enthält unter anderem die folgenden Informationen:

Cloud KMS-Schlüsselname.
Cloud KMS-Schlüsselversion.
Name des Dienstkontos, das für die Verschlüsselung und Entschlüsselung verwendet wird.
Der Fehlercode, der von Google Cloud Observability beim Verschlüsseln oder Entschlüsseln von Daten angezeigt wird.
Fehlermeldung beim Verschlüsseln oder Entschlüsseln von Daten

Die Benachrichtigung enthält Informationen zum Fehler und Maßnahmen, die Sie ergreifen können, um das Problem zu beheben:

Fehler	Empfehlung
Berechtigung für kryptografischen Schlüssel verweigert	Das Dienstkonto der Ressource hat nicht die erforderlichen IAM-Berechtigungen für den angegebenen Cloud KMS-Schlüssel. Folgen Sie der Anleitung in der Fehlermeldung, um diesen Fehler zu beheben. Die folgenden Informationen könnten hilfreich sein: Prüfen, ob das Dienstkonto die erforderliche Rolle hat Dienstkonto Zugriff auf einen Schlüssel gewähren
Kryptografischer Schlüssel ist deaktiviert	Der angegebene Cloud KMS-Schlüssel war deaktiviert. Folgen Sie der Anleitung in der Fehlermeldung, um den Schlüssel wieder zu aktivieren. Die folgenden Informationen könnten hilfreich sein: Cloud KMS-Schlüssel auf Nutzbarkeit prüfen Dienstkonto Zugriff auf einen Schlüssel gewähren
Kryptografischer Schlüssel wurde gelöscht	Der angegebene Cloud KMS-Schlüssel war gelöscht. Folgen Sie der Anleitung oder lesen Sie den Abschnitt Cloud KMS-Schlüssel für eine Ressource verwalten.

Fehler

Empfehlung

Berechtigung für kryptografischen Schlüssel verweigert

Das Dienstkonto der Ressource hat nicht die erforderlichen IAM-Berechtigungen für den angegebenen Cloud KMS-Schlüssel. Folgen Sie der Anleitung in der Fehlermeldung, um diesen Fehler zu beheben. Die folgenden Informationen könnten hilfreich sein:

Kryptografischer Schlüssel ist deaktiviert

Der angegebene Cloud KMS-Schlüssel war deaktiviert. Folgen Sie der Anleitung in der Fehlermeldung, um den Schlüssel wieder zu aktivieren. Die folgenden Informationen könnten hilfreich sein:

Kryptografischer Schlüssel wurde gelöscht

Der angegebene Cloud KMS-Schlüssel war gelöscht. Folgen Sie der Anleitung oder lesen Sie den Abschnitt Cloud KMS-Schlüssel für eine Ressource verwalten.

Bereitstellung eines Beobachtbarkeits-Buckets schlägt fehl

Sie sind ein wichtiger Kontakt oder Inhaber einer Ressource und erhalten eine E‑Mail-Benachrichtigung von Google Cloud Observability über einen Bereitstellungsfehler.

Die Bereitstellung eines Observability-Buckets kann aufgrund eines Konfigurationsfehlers oder eines internen Fehlers fehlschlagen:

Wenn die Bereitstellung aufgrund eines internen Fehlers fehlschlägt, müssen Sie nichts unternehmen. Das System behebt diese Fehler automatisch, indem es den Befehl zum Erstellen so lange wiederholt, bis er erfolgreich ist.
Wenn die Nutzerverwaltung aufgrund eines Konfigurationsfehlers fehlschlägt, müssen Sie den Fehler beheben. Wenn weiterhin Daten eingehen, gibt das System automatisch mindestens einen Befehl zum Erstellen eines Observability-Buckets pro Tag aus. Konfigurationsfehler können folgende Ursachen haben:
- Ein Cloud KMS-Schlüssel ist nicht nutzbar.
- Einem Dienstkonto fehlt eine erforderliche Rolle.

Im restlichen Teil dieses Abschnitts wird beschrieben, wie Sie häufige Konfigurationsprobleme untersuchen.

Standardmäßige Speicherorte für Ihre Ressourcen prüfen

Überprüfen Sie die Standardeinstellungen für Observability-Buckets für Organisationen, Ordner oder Projekte mit einem Standardspeicherort und aktualisieren Sie sie bei Bedarf.

Weitere Informationen finden Sie unter Standardeinstellungen für Observability-Buckets ansehen.

Cloud KMS-Schlüssel auf Nutzbarkeit prüfen

So prüfen Sie, ob ein Cloud KMS-Schlüssel verwendet werden kann: Führen Sie gcloud kms keys list aus:

gcloud kms keys list \
--location=LOCATION_ID \
--keyring=KMS_KEY_RING

Ersetzen Sie vor dem Ausführen des vorherigen Befehls Folgendes:

LOCATION_ID: Der Speicherort Ihres Cloud KMS-Schlüssels.
KMS_KEY_RING: Der Name des Cloud KMS-Schlüsselbunds.

Der vorherige Befehl gibt Informationen zu jedem Schlüssel am angegebenen Speicherort zurück. Achten Sie darauf, dass für Ihren Cloud KMS-Schlüssel Folgendes zutrifft:

Der Cloud KMS-Schlüssel ist in der Tabelle aufgeführt.
In der Spalte STATUS werden ENABLED aufgeführt.
In der Spalte PURPOSE werden ENCRYPT_DECRYPT aufgeführt. Diese Einstellung gibt an, dass der Zweck des Schlüssels die symmetrische Verschlüsselung ist:

Erstellen Sie bei Bedarf einen neuen Cloud KMS-Schlüssel und aktualisieren Sie die Standardeinstellungen für Observability-Buckets für die zugehörige Ressource und den zugehörigen Standort.

Prüfen, ob das Dienstkonto die erforderliche Rolle hat

Prüfen Sie, ob dem Dienstkonto der Ressource die Rolle Cloud KMS CryptoKey Encrypter/Decrypter für den Cloud KMS-Schlüssel zugewiesen wurde, der als Teil der Standardeinstellungen für Observability-Buckets für die Ressource aufgeführt ist.

Führen Sie den folgenden Befehl aus, um die Bindungen für einen Cloud KMS-Schlüssel zu ermitteln:

gcloud kms keys get-iam-policy KMS_KEY_NAME

Weisen Sie dem Dienstkonto der Ressource bei Bedarf die Rolle „Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler“ für den Schlüssel zu. Weitere Informationen finden Sie unter Dienstkonto Zugriff auf einen Schlüssel gewähren.