Catálogo de erros de provisionamento da Apigee

O objetivo deste catálogo de erros é ajudar a resolver problemas comuns ao provisionar recursos da Apigee. Ela fornece informações detalhadas sobre os erros que podem ser retornados na interface ou na linha de comando durante o provisionamento.

O catálogo inclui as seguintes informações:

É o código do erro
A mensagem de erro
A possível causa do erro
Etapas para resolver o erro

Erros retornados durante o provisionamento

As chamadas de API são feitas durante o provisionamento de recursos da Apigee, seja pelo provisionamento da interface da Apigee no Console do Cloud ou pela interface de linha de comando (CLI). As chamadas de API feitas durante o provisionamento ou para verificar o status dele podem retornar erros em diversas circunstâncias, incluindo:

O faturamento do Google Cloud não está ativado no projeto
As APIs necessárias não estão ativadas no projeto
Região, intervalo de peering ou outros problemas de configuração de rede

Normalmente, a mensagem de erro contém informações que podem ser usadas para corrigir problemas, resolver o erro e desbloquear o provisionamento.

Formato de erro

Se for um erro comum listado neste catálogo, uma mensagem de erro será exibida na interface da Apigee no Console do Cloud. Exemplo:

  {
    "error": {
      "code": "FAILED_PRECONDITION",
      "message": "Error finding one or more network address ranges to use for the Instance. Verify
       the network configuration provided for the Instance and try again."
      }
  }

Use a mensagem fornecida para pesquisar esta referência e ver mais informações sobre as possíveis causas do erro e as possíveis etapas para resolver o problema.

Erros comuns

O local não tem recursos suficientes disponíveis

Mensagem de erro

location "[loc]" does not have enough resources available to fulfill the request. Try again later
or choose a different location

Possível causa

Esse erro pode ocorrer quando é feita uma solicitação para provisionar uma instância da Apigee em uma zona ou região em que um ou mais recursos não estão disponíveis. Esse erro não é resultado de problemas com a configuração da instância.

Etapas de resolução

Para resolver o erro, você pode optar por provisionar sua instância em outra região ou esperar que o problema seja resolvido (normalmente dentro de algumas horas).

Falha na validação da rede do serviço

Mensagem de erro

Você verá uma mensagem de erro de validação de rede inicial, que pode ser seguida por uma ou mais das seguintes mensagens de erro detalhadas:

generic::failed_precondition: validation failed for service networking for network "[network]",
COMPUTE_API_NOT_ENABLED

generic::failed_precondition: validation failed for service networking for network "[network]",
RANGES_DELETED_LATER

generic::internal: error validating service networking consumer config for network "[network]":
This API method requires billing to be enabled. Please enable billing on project [project] by visiting
... then retry.

Possível causa

Esse erro pode ocorrer se a validação de pré-provisionamento da configuração de rede falhar.

Etapas de resolução

A tabela a seguir lista as ações que você pode executar para resolver essas mensagens de erro:

mensagem	Etapas de resolução
COMPUTE_API_NOT_ENABLED	Ative a API Compute Engine.
RANGES_DELETED_LATER	Confirme se os intervalos de IP fornecidos são válidos.
Exige que o faturamento seja ativado...	Confirme se o faturamento está ativado no projeto.

Não foi possível encontrar um espaço de IP livre de /22

Mensagem de erro

couldn't find a free IP space of /22 to launch an instance. Verify the peering ranges are available
as per https://cloud.google.com/apigee/docs/api-platform/get-started/install-cli#service-networking
and try again

Possível causa

Esse erro pode ocorrer durante a criação da sub-rede, se um espaço IP de /22 não estiver disponível nos intervalos fornecidos.

Etapas de resolução

Para resolver esse erro, confirme se os intervalos de peering de IP fornecidos atendem aos requisitos de criação de sub-rede em rede de serviço. Em seguida, tente realizar a operação novamente.

Erro na alocação de IPs

Mensagem de erro

Pode aparecer uma das seguintes mensagens de erro:

Error in allocating IPs to use for the Instance. Please verify the network configuration provided
for the Instance and try again.

Error in allocating IPs for ServiceAttachment.

Error finding one or more network address ranges to use for the Instance. Verify the network
configuration provided for the Instance and try again.

Você também pode receber uma mensagem de erro detalhada do cliente da rede. Exemplo:

Invalid resource usage: 'The resource 'projects/xxx' is already linked to another shared VPC host
'projects/yyy'.

Possível causa

Esse erro pode ocorrer durante a criação da instância da Apigee ao executar operações de rede de serviço, como criar uma sub-rede ou pesquisar um intervalo de rede. Em alguns casos, o Service Networking pode retornar uma mensagem de erro.

Etapas de resolução

Siga as instruções na mensagem detalhada da rede de serviços para resolver o erro. Talvez seja necessário:

Atualizar as alocações de intervalo de IP fornecidas para a instância
Resolver outros problemas de configuração do Service Networking
Usar outra rede VPC para a configuração da instância

Permissão de chave KMS negada

Mensagem de erro

apigee service agent <email> cannot encrypt/decrypt with kms key <keyID>: PermissionDenied

Possível causa

Antes de provisionar uma instância da Apigee, a chave KMS fornecida é validada. Esse erro indica que o agente de serviço da Apigee não tem as permissões corretas necessárias para o papel de criptografia/descriptografia do CryptoKey do Cloud KMS na chave fornecida.

Etapas de resolução

Conceda ao agente de serviço da Apigee o acesso à chave do KMS fornecida. Encontre o comando para conceder acesso na etapa 1(f) de Provisionar uma organização paga na linha de comando.

Solicitação proibida pela política da organização

Mensagem de erro

The request is prohibited by organization's policy. Please refer to
https://cloud.google.com/vpc-service-controls/docs/troubleshooter
to review the org policy for VPC Service Control. vpcServiceControlsUniqueIdentifier:
<vpc-sc unique identifier>.

Possível causa

Esse erro pode ocorrer ao provisionar uma instância da Apigee. A solicitação de criação de instância é bloqueada por uma das políticas da organização do Google Cloud para o VPC Service Control.

Etapas de resolução

Para resolver esse erro, siga as etapas descritas em Comunicar, depurar e resolver problemas do VPC Service Controls com o mínimo de esforço. Nestas etapas, usamos vpcServiceControlsUniqueIdentifier para corrigir a configuração do VPC-SC.

número máximo de peerings atingido

Mensagem de erro

The maximum number of peerings for the network (7) has been reached. Please delete unused peerings
for the network and try again

Possível causa

Esse erro pode ocorrer ao provisionar uma instância da Apigee. Nesse caso, não há peerings de rede disponíveis.

Etapas de resolução

Para resolver o erro, exclua todos os peerings não utilizados na rede ou use outra rede VPC na instância.

Máximo de roteadores permitidos

Mensagem de erro

exceeded maximum allowed routers in same network and region. Please use a different network + same
region OR same network + different region

Possível causa

Esse erro pode ocorrer durante o provisionamento ao criar um Cloud NAT (conversão de endereços de rede). Nesse caso, a escolha de rede e de região é inválida.

Etapas de resolução

Para resolver o erro, selecione uma rede diferente na mesma região ou use a mesma rede em uma região diferente.

O recurso era inválido

Mensagem de erro

the resource 'projects/.../regions/.../serviceAttachments/...' was invalid. Must be either a valid
In-Project Forwarding Rule Target URL, a valid Service Attachment URL, or a supported Google API
bundle (global-only)

Possível causa

Esse erro pode ocorrer se o URL do anexo de serviço fornecido for inválido.

Etapas de resolução

Para resolver esse problema, atualize o URL do anexo de serviço na configuração da sua instância para um URL válido.

O recurso não foi encontrado

Mensagem de erro

the resource 'projects/.../regions/.../serviceAttachments/...' was not found

Possível causa

Esse erro pode ocorrer se o URL do anexo de serviço fornecido não for encontrado.

Etapas de resolução

Para resolver esse erro, atualize o URL do anexo de serviço na configuração da instância para um URL válido.

Intervalo de rede excluído, mas ainda atribuído

Mensagem de erro

a network range was deleted but still assigned in network <network>. Please refer to this guide
to fix: https://cloud.google.com/sdk/gcloud/reference/services/vpc-peerings/update. Valid ranges can
be found at VPC networks -> Private service connection -> Allocated IP ranges for services

Possível causa

Esse erro poderá ocorrer se um intervalo de rede alocado para a instância da Apigee for excluído, excluído parcialmente ou não existir.

Etapas de resolução

Para resolver esse erro, execute o seguinte comando para atualizar o peering de VPC para o intervalo alocado:

gcloud services vpc-peerings update \
  --service=servicenetworking.googleapis.com \
  --ranges=$VALID_RANGES \
  --network=$NETWORK \
  --project=$PROJECT \
  --force

Sobreposições de intervalo de IP

Mensagem de erro

An IP range in the peer network (10.128.0.0/28) overlaps with an IP range (10.128.0.0/20) in an
active peer (peering-to-consumer) of the local network. Please use a different ipRange.
If you've recently deleted an ApigeeInstance and wanted to use the same ipRange, please wait
for some time and try again

Possível causa

Esse erro pode ocorrer ao provisionar uma instância da Apigee. Nesse caso, a operação de criação da instância da Apigee falha porque o intervalo de IP alocado é inválido ou porque não foi totalmente liberado após a exclusão de uma instância da Apigee criada anteriormente.

Etapas de resolução

Para resolver o erro, use um intervalo de IP diferente ou tente novamente mais tarde para usar um intervalo de IP totalmente liberado.

Não foi possível se conectar aos intervalos particulares das APIs do Google

Mensagem de erro

couldn't connect to the private Google APIs ranges. This is likely a DNS mis-configuration if you've
set up peered-dns-domains. Please check
https://cloud.google.com/vpc/docs/configure-private-google-access#config-domain

Possível causa

Esse erro pode ocorrer ao provisionar uma instância da Apigee. Nesse caso, a instância da Apigee não pode se conectar aos intervalos privados da API do Google.

Etapas de resolução

Para resolver o problema, confirme se as configurações de DNS dos intervalos particulares da API do Google estão corretas e se os intervalos da API do Google privados são acessados de dentro da rede VPC.

Exclusão acionada pelo projeto

Mensagem de erro

deletion had been triggered for project <project>

Possível causa

Esse erro pode ocorrer se o processo de exclusão do projeto usado para a criação da instância foi iniciado. Essa verificação de validação é realizada entre cada etapa da operação de provisionamento.

Etapas de resolução

Se a exclusão do projeto não for intencional, você poderá restaurá-lo usando o seguinte comando:

gcloud projects undelete PROJECT_ID

Para mais informações, consulte Como restaurar um projeto.

Argumento inválido de chave KMS

Mensagem de erro

apigee service agent <p4sa email> cannot encrypt/decrypt with kms key <kms key>: Invalid Argument

Possível causa

Esse erro pode ocorrer ao validar a chave KMS fornecida durante o provisionamento. Nesse caso, um ou mais valores nos campos de chave do Cloud KMS são inválidos.

Etapas de resolução

Para resolver esse erro, confirme os valores corretos da chave do Cloud KMS e atualize os campos na configuração da instância.

API Google Cloud KMS não ativada

Mensagem de erro

Google Cloud KMS API has not been used in project <project> before or it is disabled. Enable it by
visiting https://console.developers.google.com/apis/api/cloudkms.googleapis.com/overview?project=<project> then retry.
If you enabled this API recently, wait a few minutes for the action to propagate to our systems
and retry.

Possível causa

Esse erro pode ocorrer se a API Cloud KMS não estiver ativada no projeto usado para o provisionamento da Apigee.

Etapas de resolução

Para resolver esse erro, ative a API Cloud KMS.

API Apigee não ativada

Mensagem de erro

Apigee API has not been used in project <project> before or it is disabled. Enable it by visiting
https://console.developers.google.com/apis/api/apigee.googleapis.com/overview?project=<project> then retry.
If you enabled this API recently, wait a few minutes for the action to propagate to our systems
and retry.

Possível causa

Esse erro pode ocorrer se a API Apigee não estiver ativada no projeto usado para provisionamento da Apigee.

Etapas de resolução

Para resolver este erro, ative a API Apigee.

Faturamento do Google Cloud não ativado

Mensagem de erro

This API method requires billing to be enabled. Please enable billing on project <project number>
by visiting https://console.developers.google.com/billing/enable?project=<project number> then
retry. If you enabled billing for this project recently, wait a few minutes for the action to
propagate to our systems and retry.

Possível causa

Esse erro pode ocorrer se o faturamento não estiver ativado para o projeto do Google Cloud usado para o provisionamento da Apigee.

Etapas de resolução

Para resolver esse erro, ative o faturamento do seu projeto do Google Cloud.

Criar conexão de rede de serviços novamente

Mensagem de erro

please create Service Networking connection with service 'servicenetworking.googleapis.com' from
consumer project <project number> network <network> again

Possível causa

Esse erro pode ocorrer se a conexão do Service Networking falhar no seu projeto do Google Cloud ao recuperar o número do projeto host do Service Networking.

Etapas de resolução

Para resolver esse problema, crie uma conexão de rede de serviços, conforme descrito na Etapa 2: configurar a rede.

Permissão do IAM negada

Mensagem de erro

IAM permission denied for service account
service-<project number>@gcp-sa-apigee.iam.gserviceaccount.com. Ensure that Apigee service
account has Apigee service agent role to your consumer project.

Possível causa

Esse erro poderá ocorrer se as permissões do IAM da conta de serviço da Apigee que estiverem tentando interagir com o projeto de consumidor do Google Cloud estiverem incorretas.

Etapas de resolução

Para resolver esse problema, conceda o papel Apigee service agent à conta de serviço que inicia essa operação. As permissões podem ser concedidas na página do IAM no Console do Google Cloud.