排解可觀測性 bucket 問題

本文說明如何解決可能與可觀測性 bucket 相關的失敗問題。舉例來說，本頁面說明如何解決與設定可觀測性 bucket 預設設定相關的問題。您可以為資源 (機構、資料夾或專案) 設定這些預設設定，並執行下列操作：

為可觀測性值區設定預設儲存位置。
您可以為選擇儲存資料的每個位置，設定使用客戶自行管理的加密金鑰 (CMEK)。

資源階層中的後代會自動使用這些設定，但您已設定預設設定的後代除外。

您沒有看到任何追蹤資料

您預期會在「Trace Explorer」(追蹤記錄檢視工具) 頁面中看到資料，但沒有任何資料。

追蹤資料會儲存在名為 _Trace 的可觀測性 bucket 中。您可能因為下列原因而無法查看追蹤資料。如要瞭解如何解決這項失敗問題，請參閱「『Trace 探索工具』頁面沒有資料」。

儲存位置相關問題

本節列出與設定或清除預設儲存位置相關的常見問題，這是可觀測性 bucket 預設設定中的欄位。

無法為資源設定預設儲存位置

您嘗試設定資源的預設儲存位置，但指令失敗：

如果嘗試設定觀測值區不支援的位置，系統會傳回 400 (INVALID_ARGUMENT) 錯誤代碼。失敗訊息類似於下列內容：
```
Unsupported default storage location: my-region
```

如要解決這些失敗問題，請按照下列步驟操作：

請確認您在指令中指定的位置是支援的觀測資料 bucket 位置。

清除預設儲存位置的指令失敗

您對資源發出 updateSettings 指令，並將預設儲存位置的值設為空白字串。指令會失敗，並顯示 403 (INVALID_REQUEST) 錯誤代碼。錯誤訊息類似下列其中一種：

Before you can clear the default storage location for this resource, you must set a default storage location for an ancestor in the resource hierarchy.

或

The default storage location may not be removed from an organization's Settings.

請放心，這是正常情況。

設定資源的預設儲存位置後，您可以變更該值，但除非資源階層中的上層項目已指定預設儲存位置，否則您無法清除或取消設定該值。您無法清除或取消設定機構的預設儲存位置，因為機構沒有上層機構。

可觀測性 bucket 的位置與機構政策衝突

您發現某些可觀測性儲存桶的位置與機構政策指定的允許位置衝突。

這並非錯誤。

可觀測性 bucket 不會遵守限制位置的機構政策。

與 CMEK 相關的問題

本節列出使用 CMEK 時的常見問題。

如何找出可觀測性儲存空間的 CMEK 設定？

如要判斷可觀測性值區是否使用 CMEK，可以列出可觀測性值區。

回應資料包含 Cloud KMS 金鑰、金鑰版本，以及用來存取金鑰的服務帳戶相關資訊。

如何解決 CMEK 設定錯誤

為資源和位置設定 CMEK 後，如果發生 CMEK 存取問題，您會收到 Google Cloud Observability 的電子郵件通知，或是發現已啟用 CMEK 的可觀測性 bucket 發生讀取或寫入錯誤。這封電子郵件會傳送給必要聯絡人，內容包含下列資訊：

Cloud KMS 金鑰名稱。
Cloud KMS 金鑰版本。
用於加密和解密的服務帳戶名稱。
Google Cloud Observability 在加密或解密資料時看到的錯誤碼。
加密或解密資料時顯示的錯誤訊息

通知會提供失敗相關資訊，並列出可採取哪些行動來減輕問題影響：

錯誤	建議
加密編譯金鑰權限遭拒	資源的服務帳戶沒有足夠的 IAM 權限，無法對指定的 Cloud KMS 金鑰進行操作。如要解決這項失敗問題，請按照錯誤訊息中的指示操作。下列資訊或許對您有幫助：確認服務帳戶具備必要角色授予服務帳戶金鑰存取權
已停用加密編譯金鑰	指定的 Cloud KMS 金鑰已停用。請按照錯誤訊息中的操作說明重新啟用金鑰。下列資訊或許對您有幫助：確認 Cloud KMS 金鑰是否可用授予服務帳戶金鑰存取權
已刪除加密編譯金鑰	指定的 Cloud KMS 金鑰已刪除。請按照指示操作，或參閱「管理資源的 Cloud KMS 金鑰」。

錯誤

建議

加密編譯金鑰權限遭拒

資源的服務帳戶沒有足夠的 IAM 權限，無法對指定的 Cloud KMS 金鑰進行操作。如要解決這項失敗問題，請按照錯誤訊息中的指示操作。下列資訊或許對您有幫助：

已停用加密編譯金鑰

指定的 Cloud KMS 金鑰已停用。請按照錯誤訊息中的操作說明重新啟用金鑰。下列資訊或許對您有幫助：

已刪除加密編譯金鑰

指定的 Cloud KMS 金鑰已刪除。請按照指示操作，或參閱「管理資源的 Cloud KMS 金鑰」。

無法佈建可觀測性 bucket

您是資源的重要聯絡人或擁有者，而且收到 Google Cloud Observability 傳送的電子郵件通知，指出佈建失敗。

設定錯誤或內部錯誤可能會導致無法佈建可觀測性 bucket：

如果因內部錯誤導致佈建失敗，您不需要採取任何行動。系統會自動從這些失敗中復原，方法是重試建立指令，直到成功為止。
如果因設定錯誤而導致佈建失敗，請修正錯誤。只要系統持續收到資料，每天至少會自動發出一個建立可觀測性 bucket 的指令。設定錯誤包括：
- Cloud KMS 金鑰無法使用。
- 服務帳戶缺少必要角色。

本節其餘內容將說明如何調查常見的設定問題。

查看資源的預設儲存位置

檢查並視需要更新機構、資料夾或專案的預設可觀測性值區設定，包括預設儲存位置。

詳情請參閱「查看可觀測性 bucket 的預設設定」。

確認 Cloud KMS 金鑰是否可用

如要判斷 Cloud KMS 金鑰是否可用，請執行 gcloud kms keys list：

gcloud kms keys list \
--location=LOCATION_ID \
--keyring=KMS_KEY_RING

執行上一個指令前，請先進行下列替換：

LOCATION_ID：Cloud KMS 金鑰的位置。
KMS_KEY_RING：Cloud KMS 金鑰環的名稱。

先前的指令會傳回指定位置中每個金鑰的相關資訊。請確認 Cloud KMS 金鑰符合下列條件：

Cloud KMS 金鑰會列在表格中。
「STATUS」欄會列出 ENABLED。
「PURPOSE」欄會列出 ENCRYPT_DECRYPT。這項設定表示金鑰的用途是對稱式加密：

如有必要，請建立新的 Cloud KMS 金鑰，並更新相關聯資源和位置的可觀測性值區預設設定。

確認服務帳戶具備必要角色

確認資源的服務帳戶已取得 Cloud KMS 金鑰的「Cloud KMS CryptoKey Encrypter/Decrypter」角色，該金鑰列為資源可觀測性儲存空間的預設設定。

如要判斷 Cloud KMS 金鑰的繫結，請執行下列指令：

gcloud kms keys get-iam-policy KMS_KEY_NAME

如有必要，請將金鑰的 Cloud KMS CryptoKey Encrypter/Decrypter 角色授予資源的服務帳戶。詳情請參閱授予服務帳戶金鑰存取權。