Dokumen ini menjelaskan cara mengatasi kegagalan yang mungkin terkait dengan bucket kemampuan pengamatan. Misalnya, halaman ini menjelaskan cara menyelesaikan masalah terkait konfigurasi setelan default untuk bucket kemampuan pengamatan. Anda mengonfigurasi setelan default ini untuk resource, yang dapat berupa organisasi, folder, atau project, dan setelan ini memungkinkan Anda melakukan hal berikut:
- Konfigurasi lokasi penyimpanan default untuk bucket pengamatan Anda.
- Untuk setiap lokasi tempat Anda memilih untuk menyimpan data, Anda dapat mengonfigurasi penggunaan kunci enkripsi yang dikelola pelanggan (CMEK).
Turunan dalam hierarki resource akan otomatis menggunakan setelan ini, kecuali untuk turunan yang telah Anda konfigurasi setelan defaultnya.
Anda tidak melihat data rekaman aktivitas apa pun
Anda berharap melihat data di halaman Trace Explorer, tetapi tidak ada data.
Data rekaman aktivitas disimpan dalam bucket observabilitas bernama _Trace. Ada beberapa alasan mengapa Anda mungkin tidak melihat data rekaman aktivitas. Untuk mempelajari cara mengatasi kegagalan ini, lihat Tidak ada data di halaman Trace Explorer.
Masalah terkait lokasi penyimpanan
Bagian ini mencantumkan masalah umum terkait penyetelan atau penghapusan lokasi penyimpanan default, yang merupakan kolom di setelan default untuk bucket kemampuan pengamatan.
Menetapkan lokasi penyimpanan default untuk resource gagal
Anda mencoba menetapkan lokasi penyimpanan default untuk resource, tetapi perintah gagal:
Upaya untuk menyetel lokasi yang tidak didukung oleh bucket pengamatan akan gagal dengan kode error
400 (INVALID_ARGUMENT). Pesan kegagalan mirip dengan yang berikut ini:Unsupported default storage location: my-region
Untuk mengatasi kegagalan ini, lakukan langkah-langkah berikut:
- Pastikan lokasi yang Anda tentukan dalam perintah adalah lokasi bucket kemampuan pengamatan yang didukung.
Perintah untuk menghapus lokasi penyimpanan default gagal
Anda mengeluarkan perintah updateSettings ke resource dengan nilai
lokasi penyimpanan default yang ditetapkan ke string kosong. Perintah gagal dengan kode error
403 (INVALID_REQUEST). Pesan errornya mirip dengan salah satu pesan berikut:
Before you can clear the default storage location for this resource, you must set a default storage location for an ancestor in the resource hierarchy.
atau
The default storage location may not be removed from an organization's Settings.
Ini adalah perilaku yang diharapkan.
Setelah lokasi penyimpanan default untuk resource ditetapkan, Anda dapat mengubah nilai, tetapi Anda tidak dapat menghapus atau membatalkan setelan nilai kecuali lokasi penyimpanan default ditentukan untuk ancestor dalam hierarki resource. Anda tidak dapat menghapus atau membatalkan setelan lokasi penyimpanan default untuk organisasi karena organisasi tersebut tidak memiliki induk.
Lokasi bucket pengamatan bertentangan dengan kebijakan organisasi
Anda melihat bahwa lokasi beberapa bucket pengamatan bertentangan dengan lokasi yang diizinkan yang ditentukan oleh kebijakan organisasi.
Ini bukan error.
Kebijakan organisasi yang membatasi lokasi tidak dipatuhi oleh bucket kemampuan pengamatan.
Masalah terkait CMEK
Bagian ini mencantumkan masalah umum terkait penggunaan CMEK.
Bagaimana cara menemukan setelan CMEK untuk bucket kemampuan pengamatan?
Untuk menentukan apakah bucket pengamatan menggunakan CMEK, Anda dapat mencantumkan bucket pengamatan.
Data respons mencakup informasi tentang kunci Cloud KMS, versinya, dan akun layanan yang digunakan untuk mengakses kunci.
Bagaimana cara mengatasi error konfigurasi CMEK
Setelah mengonfigurasi CMEK untuk resource dan lokasi, Anda akan menerima notifikasi email dari Google Cloud Observability tentang masalah akses CMEK atau Anda akan melihat error baca atau tulis dari bucket observability dengan CMEK diaktifkan. Email, yang dikirim ke Kontak penting, berisi informasi seperti berikut:
- Nama kunci Cloud KMS.
- Versi kunci Cloud KMS.
- Nama akun layanan yang digunakan untuk enkripsi dan dekripsi.
- Kode error yang terlihat oleh Google Cloud Observability saat mengenkripsi atau mendekripsi data.
- Pesan error yang terlihat saat mengenkripsi atau mendekripsi data
Notifikasi memberikan informasi tentang kegagalan dan mencantumkan tindakan yang dapat Anda lakukan untuk memitigasi masalah:
| Error | Rekomendasi |
|---|---|
| Izin kunci kriptografi ditolak | Akun layanan resource tidak memiliki izin IAM yang memadai untuk beroperasi pada kunci Cloud KMS yang ditentukan. Untuk mengatasi kegagalan ini, ikuti petunjuk dalam error. Informasi berikut mungkin berguna bagi Anda: |
| Kunci kriptografi dinonaktifkan | Kunci Cloud KMS yang ditentukan dinonaktifkan. Ikuti petunjuk dalam error untuk mengaktifkan kembali kunci. Informasi berikut mungkin berguna bagi Anda: |
| Kunci kriptografi dimusnahkan | Kunci Cloud KMS yang ditentukan telah dihancurkan. Ikuti petunjuk atau lihat Mengelola kunci Cloud KMS untuk resource. |
Penyediaan gagal untuk bucket kemampuan observasi
Anda adalah kontak penting atau pemilik resource, dan Anda menerima notifikasi email dari Google Cloud Observability tentang kegagalan penyediaan.
Penyediaan bucket pengamatan mungkin gagal karena error konfigurasi atau error internal:
Jika penyediaan gagal karena error internal, Anda tidak perlu mengambil tindakan. Sistem akan otomatis pulih dari kegagalan ini dengan mencoba lagi perintah pembuatan hingga berhasil.
Jika penyediaan gagal karena error konfigurasi, Anda harus memperbaiki error tersebut. Data yang diberikan terus masuk, sistem akan otomatis mengeluarkan setidaknya satu perintah buat bucket pengamatan per hari. Error konfigurasi mencakup hal berikut:
Bagian selanjutnya menjelaskan cara menyelidiki masalah konfigurasi umum.
Meninjau lokasi penyimpanan default untuk resource Anda
Tinjau, dan jika perlu, perbarui setelan default untuk bucket kemampuan pengamatan organisasi, folder, atau project dengan lokasi penyimpanan default.
Untuk mempelajari lebih lanjut, lihat Melihat setelan default untuk bucket kemampuan pengamatan.
Memverifikasi bahwa kunci Cloud KMS dapat digunakan
Untuk menentukan apakah kunci Cloud KMS dapat digunakan,
jalankan gcloud kms keys list:
gcloud kms keys list \
--location=LOCATION_ID \
--keyring=KMS_KEY_RING
Sebelum menjalankan perintah sebelumnya, lakukan penggantian berikut:
- LOCATION_ID: Lokasi kunci Cloud KMS Anda.
- KMS_KEY_RING: Nama key ring Cloud KMS.
Perintah sebelumnya menampilkan informasi tentang setiap kunci di lokasi yang ditentukan. Untuk kunci Cloud KMS Anda, pastikan hal berikut benar:
- Kunci Cloud KMS tercantum dalam tabel.
- Kolom
STATUSmencantumkanENABLED. - Kolom
PURPOSEmencantumkanENCRYPT_DECRYPT. Setelan ini menunjukkan bahwa tujuan kunci adalah enkripsi simetris:
Jika perlu, buat kunci Cloud KMS baru dan perbarui setelan default untuk bucket kemampuan pengamatan bagi resource dan lokasi terkait.
Memastikan akun layanan memiliki peran yang diperlukan
Pastikan akun layanan resource telah diberi peran Cloud KMS CryptoKey Encrypter/Decrypter untuk kunci Cloud KMS yang tercantum sebagai bagian dari setelan default untuk bucket kemampuan observasi resource.
Untuk menentukan binding kunci Cloud KMS, jalankan perintah berikut:
gcloud kms keys get-iam-policy KMS_KEY_NAME
Jika perlu, berikan peran Pengenkripsi/Pendekripsi CryptoKey Cloud KMS untuk kunci tersebut kepada akun layanan resource. Untuk mempelajari lebih lanjut, lihat Memberikan akses akun layanan ke kunci.