Descripción general de la solución de problemas
En esta página, se proporciona información general sobre la solución de problemas para API Gateway.
No se pueden ejecutar los comandos “gcloud api-gateway”.
Para ejecutar los comandos gcloud api-gateway ...
, debes haber actualizado la
CLI de Google Cloud y habilitado los servicios de Google necesarios.
Consulta Configura tu entorno de desarrollo para obtener más información.
El comando "gcloud api-gateway api-configs create" indica que no existe la cuenta de servicio.
Si ejecutas el comando gcloud api-gateway api-configs create ...
y recibes un error del siguiente tipo, haz lo siguiente:
ERROR: (gcloud.api-gateway.api-configs.create) FAILED_PRECONDITION: Service Account "projects/-/serviceAccounts/service_account_email" does not exist
Vuelve a ejecutar el comando, pero esta vez incluye la opción --backend-auth-service-account
para especificar de forma explícita la dirección de correo electrónico de la cuenta de servicio que se usará:
gcloud api-gateway api-configs create CONFIG_ID \ --api=API_ID --openapi-spec=API_DEFINITION \ --project=PROJECT_ID --backend-auth-service-account=SERVICE_ACCOUNT_EMAIL
Asegúrate de haber asignado los permisos necesarios a la cuenta de servicio como se describe en Cómo configurar tu entorno de desarrollo.
Determina la fuente de las respuestas de error de la API
Si las solicitudes a tu API implementada generan un error (códigos de estado HTTP 400
a 599
), es posible que no quede claro en la respuesta si el error proviene de la puerta de enlace o de tu backend.
Para determinarlo, sigue estos pasos:
Ve a la página Explorador de registros y selecciona tu proyecto.
Filtra el recurso de puerta de enlace relevante con la siguiente consulta de registro:
resource.type="apigateway.googleapis.com/Gateway" resource.labels.gateway_id="GATEWAY_ID" resource.labels.location="GCP_REGION"
Aquí:
- GATEWAY_ID especifica el nombre de la puerta de enlace.
- GCP_REGION es la Google Cloud región de la puerta de enlace implementada.
Busca la entrada de registro que coincida con la respuesta de error HTTP que deseas investigar. Por ejemplo, filtra por
httpRequest.status
.Inspecciona el contenido del campo
jsonPayload.responseDetails
.
Si el valor del campo jsonPayload.responseDetails
es "via_upstream"
, la respuesta de error proviene de tu backend y deberás solucionar el problema directamente. Si es cualquier otro valor, la respuesta de error proviene de la puerta de enlace. Consulta las siguientes secciones de este documento para obtener más sugerencias de solución de problemas.
La solicitud a la API muestra un error HTTP 403
Si una solicitud a una API implementada muestra un error HTTP 403
al cliente de la API, significa que la URL solicitada es válida, pero el acceso está prohibido por algún motivo.
Una API implementada tiene los permisos asociados con los roles otorgados a la cuenta de servicio que usaste cuando creaste la configuración de la API. Por lo general, el motivo del error HTTP 403
es que la cuenta de servicio no tiene los permisos necesarios para acceder al servicio de backend.
Si definiste la API y el servicio de backend en el mismo proyecto de Google Cloud, asegúrate de que la cuenta de servicio tenga asignado el rol Editor
o el rol necesario para acceder al servicio de backend. Por ejemplo, si el servicio de backend se implementa con funciones de Cloud Run, asegúrate de que la cuenta de servicio tenga asignado el rol Cloud Function Invoker
.
La solicitud a la API muestra un error HTTP 401
o 500
.
Si una solicitud a una API implementada muestra un error HTTP 401
o 500
al cliente de la API, es posible que haya un problema con el uso de la cuenta de servicio que se usó cuando creaste la configuración de la API para llamar a tu servicio de backend.
Una API implementada tiene los permisos asociados con los roles otorgados a la cuenta de servicio que usaste cuando creaste la configuración de la API. Se verifica la cuenta de servicio para asegurarse de que exista y que la puerta de enlace de la API pueda usarla cuando se implemente la API.
Si la cuenta de servicio se borra o inhabilita después de que se implementa la puerta de enlace, es posible que se produzca la siguiente secuencia de eventos:
Inmediatamente después de que se borre o inhabilite la cuenta de servicio, es posible que veas respuestas HTTP 401 en los registros de la puerta de enlace. Si el campo
response_code_details
está configurado como"via_upstream"
en eljsonPayload
de la entrada de registro, esto indica que la eliminación o inhabilitación de la cuenta de servicio es la causa del error.También es posible que veas un error HTTP
500
sin ninguna entrada de registro correspondiente en los registros de la puerta de enlace de la API. Si no hay solicitudes a tu puerta de enlace inmediatamente después de que se borre o inhabilite la cuenta de servicio, es posible que no veas las respuestas HTTP 401, pero los errores HTTP500
sin los registros de API Gateway correspondientes indican que es posible que la cuenta de servicio de la puerta de enlace ya no esté activa.
Solicitudes a la API con alta latencia
Al igual que Cloud Run y las funciones de Cloud Run, API Gateway está sujeto a latencia de “inicio en frío”. Si tu puerta de enlace no recibió tráfico durante 15 a 20 minutos, las solicitudes que se realicen a la puerta de enlace durante los primeros 10 a 15 segundos del inicio en frío tendrán entre 3 y 5 segundos de latencia.
Si el problema persiste después del período inicial de "preparación", revisa los registros de solicitudes de los servicios de backend que configuraste en la configuración de la API. Por ejemplo, si el servicio de backend se implementa con funciones de Cloud Run, verifica las entradas de Cloud Logging del registro de solicitudes de Cloud Function asociado.
No se puede ver la información del registro
Si tu API responde correctamente, pero los registros no contienen datos, por lo general, eso significa que no habilitaste todos los servicios de Google que requiere API Gateway.
API Gateway requiere que habilites los siguientes servicios de Google:
Nombre | Título |
---|---|
apigateway.googleapis.com |
API de API Gateway |
servicemanagement.googleapis.com |
API de Administración de servicios |
servicecontrol.googleapis.com |
API de Service Control |
Para confirmar que los servicios obligatorios están habilitados, haz lo siguiente:
gcloud services list
Si no ves los servicios necesarios que se incluyeron en la lista, habilítalos:
gcloud services enable apigateway.googleapis.comgcloud services enable servicemanagement.googleapis.com
gcloud services enable servicecontrol.googleapis.com
Para obtener más información sobre los servicios de gcloud
, consulta Servicios de gcloud
.