本文档介绍了如何解决可能与观测桶相关的故障。例如,此页面介绍了如何解决与配置观测桶的默认设置相关的问题。您可以为资源(组织、文件夹或项目)配置这些默认设置,以便执行以下操作:
- 为可观测性存储分区配置默认存储位置。
- 对于您选择存储数据的每个位置,您都可以配置客户管理的加密密钥 (CMEK) 的使用。
资源层次结构中的后代会自动使用这些设置,除非您已为这些后代配置默认设置。
您没有看到任何轨迹数据
您希望在 Trace 探索器页面中看到数据,但实际上没有任何数据。
轨迹数据存储在名为 _Trace 的可观测性存储分区中。您可能看不到跟踪记录数据,原因有多种。如需了解如何解决此失败问题,请参阅 Trace 探索器页面中没有数据。
与存储位置相关的问题
本部分列出了与设置或清除默认存储位置(即可观测性存储分区的默认设置中的一个字段)相关的常见问题。
为资源设置默认存储位置失败
您尝试为资源设置默认存储位置,但命令失败:
尝试设置观测桶不支持的位置时,操作会失败并显示
400 (INVALID_ARGUMENT)错误代码。失败消息类似于以下内容:Unsupported default storage location: my-region
如需解决这些故障,请执行以下操作:
- 确保您在命令中指定的位置是受支持的可观测性存储桶位置。
用于清除默认存储位置的命令失败
您向资源发出 updateSettings 命令,并将默认存储位置的值设置为空字符串。该命令失败,并显示 403 (INVALID_REQUEST) 错误代码。错误消息类似于以下内容之一:
Before you can clear the default storage location for this resource, you must set a default storage location for an ancestor in the resource hierarchy.
或
The default storage location may not be removed from an organization's Settings.
这是预期行为。
为资源设置默认存储位置后,您可以更改该值,但除非在资源层次结构中为祖先指定了默认存储位置,否则您无法清除或取消设置该值。您无法清除或取消设置组织的默认存储位置,因为该组织没有祖先。
可观测性存储桶的位置与组织政策相冲突
您发现,某些可观测性存储分区的位置与组织政策指定的允许位置相冲突。
这不是错误。
可观测性存储分区不会遵守限制位置的组织政策。
与 CMEK 相关的问题
本部分列出了与使用 CMEK 相关的常见问题。
如何查找观测存储桶的 CMEK 设置?
如需确定观测桶是否使用 CMEK,您可以列出观测桶。
响应数据包含有关 Cloud KMS 密钥、其版本以及用于访问该密钥的服务账号的信息。
如何解决 CMEK 配置错误
为资源和位置配置 CMEK 后,您会收到 Google Cloud Observability 发送的关于 CMEK 访问权限问题的电子邮件通知,或者发现启用了 CMEK 的可观测性存储分区出现读取或写入错误。发送给重要联系人的电子邮件包含以下信息:
- Cloud KMS 密钥名称。
- Cloud KMS 密钥版本。
- 用于加密和解密的服务账号的名称。
- Google Cloud Observability 在加密或解密数据时看到的错误代码。
- 加密或解密数据时看到的错误消息
通知会提供有关失败的信息,并列出可用于缓解问题的操作:
| 错误 | 建议 |
|---|---|
| 加密密钥权限被拒 | 相应资源的服务账号没有足够的 IAM 权限,无法对指定的 Cloud KMS 密钥执行操作。如需解决此故障,请按照错误消息中的说明操作。以下信息可能对您有所帮助: |
| 加密密钥已停用 | 指定的 Cloud KMS 密钥已停用。按照错误中的说明重新启用密钥。以下信息可能对您有所帮助: |
| 加密密钥已销毁 | 指定的 Cloud KMS 密钥已销毁。请按照说明操作,或参阅管理资源的 Cloud KMS 密钥。 |
可观测性存储桶的配置失败
您是资源的必要联系人或所有者,并且收到了 Google Cloud Observability 发送的有关配置失败的电子邮件通知。
由于配置错误或内部错误,预配可观测性存储桶可能会失败:
如果因内部错误导致配置失败,您无需采取任何措施。系统会自动从这些故障中恢复,方法是重试创建命令,直到成功为止。
如果因配置错误导致配置失败,您需要更正该错误。如果提供的数据持续到达,系统每天至少会自动发出一次创建观测桶命令。配置错误包括以下情况:
本部分的其余内容介绍了如何调查常见的配置问题。
查看资源的默认存储位置
查看并根据需要更新组织、文件夹或项目的可观测性存储分区的默认设置(包括默认存储位置)。
如需了解详情,请参阅查看可观测性存储分区的默认设置。
验证 Cloud KMS 密钥是否可用
如需确定 Cloud KMS 密钥是否可用,请运行 gcloud kms keys list:
gcloud kms keys list \
--location=LOCATION_ID \
--keyring=KMS_KEY_RING
在运行上面的命令之前,请先进行以下替换:
- LOCATION_ID:Cloud KMS 密钥的位置。
- KMS_KEY_RING:Cloud KMS 密钥环的名称。
上述命令会返回指定位置中每个密钥的相关信息。对于您的 Cloud KMS 密钥,请确保满足以下条件:
- Cloud KMS 密钥会列在表格中。
STATUS列列出了ENABLED。PURPOSE列列出了ENCRYPT_DECRYPT。此设置表示密钥的用途是对称加密:
如有必要,请创建新的 Cloud KMS 密钥,并更新关联资源和位置的可观测性存储分区的默认设置。
验证服务账号是否具有所需角色
验证资源的服务账号是否已获得 Cloud KMS 密钥的 Cloud KMS CryptoKey Encrypter/Decrypter 角色,该密钥列为资源的可观测性存储分区的默认设置的一部分。
如需确定 Cloud KMS 密钥的绑定,请运行以下命令:
gcloud kms keys get-iam-policy KMS_KEY_NAME
如有必要,请为资源的服务账号授予密钥的 Cloud KMS CryptoKey Encrypter/Decrypter 角色。如需了解详情,请参阅向服务账号授予对密钥的访问权限。