このドキュメントでは、オブザーバビリティ バケットに関連する可能性のある障害を解決する方法について説明します。たとえば、このページでは、オブザーバビリティ バケットのデフォルト設定の構成に関する問題を解決する方法について説明します。これらのデフォルト設定は、組織、フォルダ、プロジェクトなどのリソースに対して構成します。これらの設定により、次の操作が可能になります。
- オブザーバビリティ バケットのデフォルトのストレージ ロケーションを構成します。
- データを保存するロケーションごとに、顧客管理の暗号鍵(CMEK)の使用を構成できます。
リソース階層内の子孫は、デフォルト設定を構成した子孫を除き、これらの設定を自動的に使用します。
トレースデータが表示されない
[Trace エクスプローラ] ページにデータが表示されるはずなのに、データが表示されない。
トレースデータは、_Trace という名前のオブザーバビリティ バケットに保存されます。トレースデータが表示されない理由はいくつかあります。このエラーを解決する方法については、[Trace エクスプローラ] ページにデータが表示されないをご覧ください。
保存場所に関する問題
このセクションでは、オブザーバビリティ バケットのデフォルト設定のフィールドであるデフォルトの保存場所の設定またはクリアに関連する一般的な問題を示します。
リソースのデフォルトのストレージ ロケーションの設定が失敗する
リソースのデフォルトのストレージ ロケーションを設定しようとすると、コマンドが失敗します。
オブザーバビリティ バケットでサポートされていないロケーションを設定しようとすると、
400 (INVALID_ARGUMENT)エラーコードで失敗します。次のようなエラー メッセージが表示されます。Unsupported default storage location: my-region
これらのエラーを解決するには、次の操作を行います。
- コマンドで指定するロケーションがサポートされているオブザーバビリティ バケットのロケーションであることを確認します。
デフォルトのストレージ ロケーションをクリアするコマンドが失敗する
デフォルトのストレージ ロケーションの値が空の文字列に設定されているリソースに対して updateSettings コマンドを発行します。コマンドは 403 (INVALID_REQUEST) エラーコードで失敗します。次のようなエラー メッセージが表示されます。
Before you can clear the default storage location for this resource, you must set a default storage location for an ancestor in the resource hierarchy.
または
The default storage location may not be removed from an organization's Settings.
これは想定された動作です。
リソースのデフォルトのストレージ ロケーションを設定した後、値を変更することはできますが、リソース階層内の祖先に対してデフォルトのストレージ ロケーションが指定されていない限り、値をクリアまたは設定解除することはできません。組織には祖先がないため、組織のデフォルトのストレージ ロケーションをクリアまたは設定解除することはできません。
オブザーバビリティ バケットのロケーションが組織のポリシーと競合している
一部のオブザーバビリティ バケットのロケーションが、組織のポリシーで指定された許可されたロケーションと競合していることに気づきます。
これはエラーではありません。
ロケーションを制限する組織のポリシーは、オブザーバビリティ バケットでは適用されません。
CMEK に関連する問題
このセクションでは、CMEK の使用に関連する一般的な問題について説明します。
オブザーバビリティ バケットの CMEK 設定を確認するにはどうすればよいですか?
オブザーバビリティ バケットで CMEK が使用されているかどうかを確認するには、オブザーバビリティ バケットを一覧表示します。
レスポンス データには、Cloud KMS 鍵、そのバージョン、鍵へのアクセスに使用されるサービス アカウントに関する情報が含まれます。
CMEK 構成エラーを解決するにはどうすればよいですか?
リソースとロケーションに CMEK を構成した後、CMEK アクセスの問題について Google Cloud Observability からメール通知を受け取るか、CMEK が有効になっているオブザーバビリティ バケットからの読み取りまたは書き込みエラーが発生します。重要な連絡先に送信されるメールには、次のような情報が含まれています。
- Cloud KMS 鍵の名前。
- Cloud KMS 鍵バージョン。
- 暗号化と復号に使用されるサービス アカウントの名前。
- データの暗号化または復号時に Google Cloud Observability で確認されたエラーコード。
- データの暗号化または復号化時に表示されるエラー メッセージ
通知には失敗に関する情報と、問題を軽減するために実行できる手順が記載されています。
| エラー | 推奨 |
|---|---|
| 暗号鍵に対するアクセスが拒否された | リソースのサービス アカウントに、指定した Cloud KMS 鍵を操作するための十分な IAM 権限がありません。このエラーを解決するには、エラーに記載されている手順に沿って操作します。以下の情報が参考になる場合があります。 |
| 暗号鍵が無効になっている | 指定された Cloud KMS 鍵は無効になりました。エラーの指示に従って鍵を再度有効にしてください。以下の情報が参考になる場合があります。 |
| 暗号鍵が破棄された | 指定された Cloud KMS 鍵が破棄されました。手順に沿って操作するか、リソースの Cloud KMS 鍵を管理するをご覧ください。 |
オブザーバビリティ バケットのプロビジョニングが失敗する
重要な連絡先またはリソースのオーナーであり、プロビジョニングの失敗に関するメール通知が Google Cloud Observability から届いた。
構成エラーまたは内部エラーにより、オブザーバビリティ バケットのプロビジョニングが失敗することがあります。
内部エラーが原因でプロビジョニングが失敗した場合は、対応する必要はありません。システムは、作成コマンドが成功するまで再試行することで、これらの障害から自動的に復旧します。
構成エラーが原因でプロビジョニングが失敗した場合は、エラーを修正する必要があります。データが継続的に提供される場合、システムは 1 日に 1 つ以上のオブザーバビリティ バケット作成コマンドを自動的に発行します。構成エラーには、次のものがあります。
このセクションの残りの部分では、一般的な構成の問題を調査する方法について説明します。
リソースのデフォルトのストレージ ロケーションを確認する
デフォルトのストレージのロケーションを持つ組織、フォルダ、またはプロジェクトのオブザーバビリティ バケットのデフォルト設定を確認し、必要に応じて更新します。
詳細については、オブザーバビリティ バケットのデフォルト設定を表示するをご覧ください。
Cloud KMS 鍵が使用可能であることを確認する
Cloud KMS 鍵が使用可能かどうかを確認するには、gcloud kms keys list を実行します。
gcloud kms keys list \
--location=LOCATION_ID \
--keyring=KMS_KEY_RING
前のコマンドを実行する前に、次のように置き換えます。
- LOCATION_ID: Cloud KMS 鍵のロケーション。
- KMS_KEY_RING: Cloud KMS キーリングの名前。
上記のコマンドは、指定されたロケーションにある各鍵に関する情報を返します。Cloud KMS 鍵については、次のことを確認してください。
- Cloud KMS 鍵が表に表示されます。
STATUS列にはENABLEDが表示されます。PURPOSE列にはENCRYPT_DECRYPTが表示されます。この設定は、鍵の目的が対称暗号化であることを示します。
必要に応じて、新しい Cloud KMS 鍵を作成し、関連付けられたリソースとロケーションのオブザーバビリティ バケットのデフォルト設定を更新します。
サービス アカウントに必要なロールがあることを確認する
リソースのサービス アカウントに、リソースのオブザーバビリティ バケットのデフォルト設定の一部としてリストされている Cloud KMS 鍵に対する Cloud KMS CryptoKey の暗号化/復号ロールが付与されていることを確認します。
Cloud KMS 鍵のバインディングを確認するには、次のコマンドを実行します。
gcloud kms keys get-iam-policy KMS_KEY_NAME
必要に応じて、リソースのサービス アカウントに、鍵に対する Cloud KMS CryptoKey の暗号化/復号ロールを付与します。詳細については、サービス アカウントにキーへのアクセス権を付与するをご覧ください。