Neste documento, descrevemos como resolver falhas que podem estar relacionadas a buckets de observabilidade. Por exemplo, esta página descreve como resolver problemas relacionados à configuração de opções padrão para intervalos de observabilidade. Você configura essas definições padrão para um recurso, que pode ser uma organização, pasta ou projeto, e elas permitem fazer o seguinte:
- Configure um local de armazenamento padrão para seus buckets de observabilidade.
- Para cada local em que você escolhe armazenar dados, é possível configurar o uso de chaves de criptografia gerenciadas pelo cliente (CMEK).
Os descendentes na hierarquia de recursos usam automaticamente essas configurações, exceto aqueles em que você configurou as configurações padrão.
Você não vê nenhum dado de rastreamento
Você espera ver dados na página Explorador de traces, mas não há nenhum.
Os dados de rastreamento são armazenados em um bucket de observabilidade chamado _Trace. Há vários motivos para isso acontecer. Para saber como
resolver essa falha, consulte
Não há dados na página Explorador de traces.
Problemas relacionados ao local de armazenamento
Esta seção lista problemas comuns relacionados à definição ou remoção do local de armazenamento padrão, que é um campo nas configurações padrão dos buckets de observabilidade.
Não é possível definir o local de armazenamento padrão para um recurso
Você tenta definir o local de armazenamento padrão para um recurso, mas o comando falha:
Uma tentativa de definir um local que não é compatível com buckets de observabilidade falha com um código de erro
400 (INVALID_ARGUMENT). A mensagem de falha é semelhante a esta:Unsupported default storage location: my-region
Para resolver essas falhas, faça o seguinte:
- Verifique se o local especificado no comando é um local de bucket de capacidade de observação compatível.
Um comando para limpar o local de armazenamento padrão falha
Você emite um comando updateSettings para um recurso com o valor do local de armazenamento padrão definido como uma string vazia. O comando falha com um código de erro 403 (INVALID_REQUEST). A mensagem de erro é semelhante a uma das seguintes opções:
Before you can clear the default storage location for this resource, you must set a default storage location for an ancestor in the resource hierarchy.
ou
The default storage location may not be removed from an organization's Settings.
Esse é o comportamento esperado.
Depois que um local de armazenamento padrão é definido para um recurso, é possível mudar o valor, mas não limpar ou remover a definição, a menos que o local de armazenamento padrão seja especificado para um ancestral na hierarquia de recursos. Não é possível limpar ou remover o local de armazenamento padrão de uma organização porque ela não tem ancestrais.
O local de um bucket de observabilidade entra em conflito com uma política da organização
Você percebe que os locais de alguns intervalos de observabilidade entram em conflito com os locais permitidos especificados em uma política da organização.
Isso não é um erro.
As políticas da organização que restringem o local não são respeitadas pelos buckets de observabilidade.
Problemas relacionados à CMEK
Esta seção lista problemas comuns relacionados ao uso da CMEK.
Como posso encontrar as configurações da CMEK para um bucket de observabilidade?
Para determinar se um bucket de observabilidade usa a CMEK, liste seus buckets de observabilidade.
Os dados da resposta incluem informações sobre a chave do Cloud KMS, a versão dela e a conta de serviço usada para acessar a chave.
Como resolver erros de configuração da CMEK
Depois de configurar a CMEK para um recurso e um local, você vai receber uma notificação por e-mail da Observabilidade do Google Cloud sobre problemas de acesso à CMEK ou vai notar erros de leitura ou gravação em buckets de observabilidade com a CMEK ativada. O e-mail, que é enviado para os Contatos essenciais, contém informações como:
- Nome da chave do Cloud KMS.
- Versão da chave do Cloud KMS.
- Nome da conta de serviço usada para criptografia e descriptografia.
- O código de erro detectado pelo Google Cloud Observability ao criptografar ou descriptografar dados.
- A mensagem de erro exibida ao criptografar ou descriptografar dados
A notificação fornece informações sobre a falha e lista ações que você pode realizar para minimizar o problema:
| Erro | Recomendação |
|---|---|
| Permissão de chave criptográfica negada | A conta de serviço do recurso não tem permissões do IAM suficientes para operar na chave do Cloud KMS especificada. Para resolver essa falha, siga as instruções no erro. As informações a seguir podem ser úteis: |
| A chave criptográfica está desativada | A chave do Cloud KMS especificada foi desativada. Siga as instruções no erro para reativar a chave. As informações a seguir podem ser úteis: |
| A chave criptográfica foi destruída | A chave do Cloud KMS especificada foi destruída. Siga as instruções ou consulte Gerenciar sua chave do Cloud KMS para um recurso. |
Falha no provisionamento de um bucket de observabilidade
Você é um contato essencial ou proprietário de um recurso e recebe uma notificação por e-mail da Observabilidade do Google Cloud sobre uma falha de provisionamento.
O provisionamento de um bucket de observabilidade pode falhar devido a um erro de configuração ou interno:
Quando o provisionamento falha devido a um erro interno, não é necessário fazer nada. O sistema se recupera automaticamente dessas falhas repetindo o comando de criação até que ele seja bem-sucedido.
Quando o provisionamento falha devido a um erro de configuração, é necessário corrigir o erro. Se os dados fornecidos continuarem chegando, o sistema vai emitir automaticamente pelo menos um comando de criação de bucket de observabilidade por dia. Os erros de configuração incluem o seguinte:
O restante desta seção descreve como investigar problemas comuns de configuração.
Revise os locais de armazenamento padrão dos seus recursos
Revise e, se necessário, atualize as configurações padrão dos intervalos de observabilidade para organização, pasta ou projeto com um local de armazenamento padrão.
Para saber mais, consulte Ver as configurações padrão dos buckets de observabilidade.
Verificar se uma chave do Cloud KMS pode ser usada
Para determinar se uma chave do Cloud KMS pode ser usada, execute gcloud kms keys list:
gcloud kms keys list \
--location=LOCATION_ID \
--keyring=KMS_KEY_RING
Antes de executar o comando anterior, faça as seguintes substituições:
- LOCATION_ID: o local da sua chave do Cloud KMS.
- KMS_KEY_RING: o nome do keyring do Cloud KMS.
O comando anterior retorna informações sobre cada chave no local especificado. Para sua chave do Cloud KMS, verifique se o seguinte é verdadeiro:
- A chave do Cloud KMS está listada na tabela.
- A coluna
STATUSlistaENABLED. - A coluna
PURPOSElistaENCRYPT_DECRYPT. Essa configuração indica que a finalidade da chave é a criptografia simétrica:
Se necessário, crie uma chave do Cloud KMS e atualize as configurações padrão dos buckets de observabilidade para o recurso e o local associados.
Verificar se a conta de serviço tem o papel necessário
Verifique se a conta de serviço do recurso recebeu o papel Criptografador/Descriptografador de CryptoKey do Cloud KMS para a chave do Cloud KMS listada como parte das configurações padrão dos buckets de observabilidade do recurso.
Para determinar as vinculações de uma chave do Cloud KMS, execute o seguinte comando:
gcloud kms keys get-iam-policy KMS_KEY_NAME
Se necessário, conceda à conta de serviço do recurso o papel Criptografador/Descriptografador de CryptoKey do Cloud KMS para a chave. Para saber mais, consulte Conceder acesso de conta de serviço a uma chave.