Ce document explique comment résoudre les échecs pouvant être liés aux buckets d'observabilité. Par exemple, cette page explique comment résoudre les problèmes liés à la configuration des paramètres par défaut pour les buckets d'observabilité. Vous configurez ces paramètres par défaut pour une ressource (organisation, dossier ou projet, par exemple). Ils vous permettent de :
- Configurez un emplacement de stockage par défaut pour vos buckets d'observabilité.
- Pour chaque emplacement où vous choisissez de stocker des données, vous pouvez configurer l'utilisation de clés de chiffrement gérées par le client (CMEK).
Les descendants de la hiérarchie des ressources utilisent automatiquement ces paramètres, à l'exception de ceux pour lesquels vous avez configuré des paramètres par défaut.
Aucune donnée de trace ne s'affiche
Vous vous attendez à voir des données sur la page Explorateur Trace, mais il n'y en a aucune.
Les données de trace sont stockées dans des buckets d'observabilité nommés _Trace. Plusieurs raisons peuvent expliquer pourquoi vous ne voyez pas de données de trace. Pour savoir comment résoudre cet échec, consultez Aucune donnée sur la page Explorateur de trace.
Problèmes liés au lieu de stockage
Cette section répertorie les problèmes courants liés à la définition ou à la suppression de l'emplacement de stockage par défaut, qui est un champ des paramètres par défaut des buckets d'observabilité.
Échec de la définition de l'emplacement de stockage par défaut pour une ressource
Vous essayez de définir l'emplacement de stockage par défaut pour une ressource, mais la commande échoue :
Toute tentative de définition d'un emplacement non compatible avec les buckets d'observabilité échoue avec le code d'erreur
400 (INVALID_ARGUMENT). Le message d'échec ressemble à ce qui suit :Unsupported default storage location: my-region
Pour résoudre ces échecs, procédez comme suit :
- Assurez-vous que l'emplacement que vous spécifiez dans la commande est un emplacement de bucket d'observabilité compatible.
Échec d'une commande visant à effacer l'emplacement de stockage par défaut
Vous exécutez une commande updateSettings sur une ressource dont la valeur de l'emplacement de stockage par défaut est définie sur une chaîne vide. La commande échoue et renvoie un code d'erreur 403 (INVALID_REQUEST). Le message d'erreur ressemble à l'un des suivants :
Before you can clear the default storage location for this resource, you must set a default storage location for an ancestor in the resource hierarchy.
ou
The default storage location may not be removed from an organization's Settings.
Ce comportement est normal.
Une fois qu'un emplacement de stockage par défaut est défini pour une ressource, vous pouvez modifier la valeur, mais vous ne pouvez pas l'effacer ni la supprimer, sauf si l'emplacement de stockage par défaut est spécifié pour un ancêtre dans la hiérarchie des ressources. Vous ne pouvez pas effacer ni annuler l'emplacement de stockage par défaut d'une organisation, car elle n'a pas d'ancêtres.
L'emplacement d'un bucket d'observabilité est en conflit avec une règle d'administration
Vous remarquez que les emplacements de certains buckets d'observabilité sont en conflit avec les emplacements autorisés spécifiés par une règle d'administration.
Il ne s'agit pas d'une erreur.
Les règles d'administration qui restreignent l'emplacement ne sont pas respectées par les buckets d'observabilité.
Problèmes liés aux CMEK
Cette section répertorie les problèmes courants liés à l'utilisation de CMEK.
Comment trouver les paramètres CMEK d'un bucket d'observabilité ?
Pour déterminer si un bucket d'observabilité utilise CMEK, vous pouvez lister vos buckets d'observabilité.
Les données de réponse incluent des informations sur la clé Cloud KMS, sa version et le compte de service utilisé pour y accéder.
Comment résoudre les erreurs de configuration CMEK ?
Après avoir configuré CMEK pour une ressource et un emplacement, vous recevez une notification par e-mail de Google Cloud Observability concernant les problèmes d'accès CMEK ou vous constatez des erreurs de lecture ou d'écriture dans les buckets d'observabilité avec CMEK activé. L'e-mail envoyé aux contacts essentiels contient des informations telles que :
- Nom de la clé Cloud KMS.
- Version de la clé Cloud KMS.
- Nom du compte de service utilisé pour le chiffrement et le déchiffrement.
- Code d'erreur affiché par Google Cloud Observability lors du chiffrement ou du déchiffrement des données.
- Message d'erreur affiché lors du chiffrement ou du déchiffrement des données
La notification fournit des informations sur l'échec et liste les actions que vous pouvez effectuer pour atténuer le problème :
| Erreur | Recommandation |
|---|---|
| Autorisation d'utiliser la clé cryptographique refusée | Le compte de service de la ressource ne dispose pas des autorisations IAM nécessaires pour utiliser la clé Cloud KMS spécifiée. Pour résoudre ce problème, suivez les instructions de l'erreur. Les informations suivantes peuvent vous être utiles : |
| Clé cryptographique désactivée | La clé Cloud KMS spécifiée a été désactivée. Suivez les instructions du message d'erreur pour réactiver la clé. Les informations suivantes peuvent vous être utiles : |
| La clé cryptographique a été détruite | La clé Cloud KMS spécifiée a été détruite. Suivez les instructions ou consultez Gérer votre clé Cloud KMS pour une ressource. |
Échec du provisionnement d'un bucket d'observabilité
Vous êtes un contact essentiel ou le propriétaire d'une ressource, et vous recevez une notification par e-mail de Google Cloud Observability concernant un échec de provisionnement.
Le provisionnement d'un bucket d'observabilité peut échouer en raison d'une erreur de configuration ou d'une erreur interne :
Si le provisionnement échoue en raison d'une erreur interne, vous n'avez rien à faire. Le système se remet automatiquement de ces échecs en réessayant la commande de création jusqu'à ce qu'elle aboutisse.
Lorsque le provisionnement échoue en raison d'une erreur de configuration, vous devez corriger l'erreur. Si les données fournies continuent d'arriver, le système émet automatiquement au moins une commande de création de bucket d'observabilité par jour. Voici quelques exemples d'erreurs de configuration :
Le reste de cette section explique comment examiner les problèmes de configuration courants.
Examiner les emplacements de stockage par défaut de vos ressources
Vérifiez et, si nécessaire, mettez à jour les paramètres par défaut des buckets d'observabilité pour l'organisation, le dossier ou le projet avec un emplacement de stockage par défaut.
Pour en savoir plus, consultez Afficher les paramètres par défaut des buckets d'observabilité.
Vérifier qu'une clé Cloud KMS est utilisable
Pour déterminer si une clé Cloud KMS est utilisable, exécutez gcloud kms keys list :
gcloud kms keys list \
--location=LOCATION_ID \
--keyring=KMS_KEY_RING
Avant d'exécuter la commande précédente, effectuez les remplacements suivants :
- LOCATION_ID : emplacement de votre clé Cloud KMS.
- KMS_KEY_RING : nom du trousseau de clés Cloud KMS.
La commande précédente renvoie des informations sur chaque clé à l'emplacement spécifié. Pour votre clé Cloud KMS, assurez-vous que les conditions suivantes sont remplies :
- La clé Cloud KMS est listée dans le tableau.
- La colonne
STATUSlisteENABLED. - La colonne
PURPOSElisteENCRYPT_DECRYPT. Ce paramètre indique que l'objectif de la clé est le chiffrement symétrique :
Si nécessaire, créez une clé Cloud KMS et mettez à jour vos paramètres par défaut pour les buckets d'observabilité pour la ressource et l'emplacement associés.
Vérifier que le compte de service dispose du rôle requis
Vérifiez que le compte de service de la ressource a reçu le rôle Chiffreur/Déchiffreur de CryptoKeys Cloud KMS pour la clé Cloud KMS listée dans les paramètres par défaut des buckets d'observabilité de la ressource.
Pour déterminer les liaisons d'une clé Cloud KMS, exécutez la commande suivante :
gcloud kms keys get-iam-policy KMS_KEY_NAME
Si nécessaire, accordez le rôle Chiffreur/Déchiffreur de CryptoKeys Cloud KMS au compte de service de la ressource pour la clé. Pour en savoir plus, consultez Accorder l'accès à une clé à un compte de service.