Risolvere i problemi di deployment

Se riscontri problemi durante il deployment dell'app utilizzando l'API App Engine Admin, questa sezione elenca i messaggi di errore e i suggerimenti per correggerli.

Il chiamante non dispone dell'autorizzazione per accedere al progetto

Quando esegui il deployment dell'app, si verifica il seguente errore:

User EMAIL_ADDRESS does not have permission to access project PROJECT_ID (or it may not exist): The caller does not have permission

Questo errore si verifica se l'account che hai utilizzato per eseguire il deployment dell'app non dispone di per eseguire il deployment delle app per il progetto attuale.

Per risolvere il problema, concedi il Ruolo Deployer App Engine (roles/appengine.deployer) all'account. Per vedere quale account hai utilizzato per il deployment, svolgi una delle seguenti operazioni:

• Se hai utilizzato Google Cloud CLI per il deployment, esegui Comando gcloud auth list.
• Se hai eseguito il deployment da un IDE, visualizza le impostazioni del plug-in Cloud Tools.

Impossibile recuperare i metadati dal registry

Quando esegui il deployment dell'app, si verifica il seguente errore:

Failed to fetch metadata from the registry, with reason: generic::permission_denied

Questo errore si verifica se utilizzi il comando gcloud app deploy da un servizio che non ha il ruolo Amministratore Storage (roles/storage.admin).

Per risolvere il problema, concedi il ruolo Amministratore Storage all'account di servizio:

• Per vedere quale account hai utilizzato, esegui il comando gcloud auth list.
• Per scoprire perché l'assegnazione solo del ruolo App Engine Deployer (roles/appengine.deployer) potrebbe non essere sufficiente in alcuni casi, consulta Ruoli App Engine.

Gli account di servizio devono avere autorizzazioni per l'immagine

Quando esegui il deployment dell'app, si verifica il seguente errore:

The App Engine appspot and App Engine flexible environment service accounts must
have permissions on the image IMAGE_NAME

Questo errore si verifica per uno dei seguenti motivi:

• L'account di servizio App Engine predefinito non dispone del ruolo Visualizzatore oggetti Storage (roles/storage.objectViewer).

  • Per risolvere il problema, concedi il ruolo Visualizzatore oggetti Storage all'account di servizio.

• Il progetto ha un perimetro di servizio VPC il che limita l'accesso all'API Cloud Storage tramite i livelli di accesso.

  • Per risolvere il problema, aggiungi l'account di servizio che utilizzi per eseguire il deployment dell'app il perimetro di servizio VPC corrispondente accessPolicies.

Impossibile creare Cloud Build

Quando esegui il deployment dell'app, si verifica il seguente errore:

Failed to create cloud build: Permission denied

Questo errore si verifica se utilizzi il comando gcloud app deploy da un account che non dispone del ruolo Editor Cloud Build (roles/cloudbuild.builds.editor).

Per risolvere il problema, concedi la classe Ruolo Editor Cloud Build per all'account di servizio che usi per il deployment dell'app.

Per sapere quale account hai utilizzato, esegui il Comando gcloud auth list.

Errore delle autorizzazioni durante il recupero dell'applicazione

Quando esegui il deployment dell'app, si verifica il seguente errore:

Permissions error fetching application apps/app_name. Please make sure you are using the correct project ID and that you have permission to view applications on the project

Se esegui Google Cloud CLI versione 328 o successive, si verifica il seguente errore quando esegui il deployment della tua app:

Permissions error fetching application apps/app_name. Please
make sure that you have permission to view applications on the project and that
SERVICE_ACCOUNT has the App Engine Deployer (roles/appengine.deployer) role.

Questo errore si verifica se l'account che hai utilizzato per eseguire il deployment L'app non dispone del Deployer App Engine (roles/appengine.deployer) ruolo.

Per risolvere il problema, verifica di aver concesso il ruolo App Engine Deployer all'account di servizio utilizzato per eseguire il deployment dell'app. Concede il ruolo se l'account di servizio non lo ha. Per vedere quale account hai utilizzato per il deployment, svolgi una delle seguenti operazioni:

• Se hai utilizzato Google Cloud CLI per il deployment, esegui Comando gcloud auth list.
• Se hai eseguito il deployment da un IDE, visualizza le impostazioni per il plug-in Cloud Tools.

L'implementazione non va a buon fine per i nuovi progetti

Potresti visualizzare il seguente errore quando esegui il deployment della tua app per la prima volta in un nuovo progetto:

ERROR: (gcloud.app.deploy) Error Response: [13] Failed to create cloud build: com.google.net.rpc3.client.RpcClientException:..........invalid bucket "staging.PROJECT-ID.appspot.com"; service account PROJECT-ID@appspot.gserviceaccount.com does not have access to the bucket

Questo errore può essere causato da vari fattori, ad esempio autorizzazioni mancanti e modifiche ai criteri dell'organizzazione.

Per risolvere il problema, verifica di aver concesso il ruolo Storage Admin (roles/storage.admin) all'amministratore l'account di servizio predefinito. Per concedere il ruolo Amministratore Storage, vedi Archiviare i log di compilazione in un bucket creato dall'utente

Se hai già concesso il ruolo Amministratore Storage, insieme all'altro i ruoli richiesti in base ai diversi errori di autorizzazione riscontrati durante il deployment, e non riesci ancora a eseguire il deployment dell'app, il motivo potrebbe essere uno dei seguenti: modifiche ai criteri dell'organizzazione:

• A partire da maggio 2024, Google Cloud applica criteri dell'organizzazione sicuri per impostazione predefinita per tutte le risorse dell'organizzazione. Questo criterio impedisce ad App Engine di concedere il ruolo Editor agli account di servizio predefiniti di App Engine per impostazione predefinita.

• A partire da giugno 2024, Cloud Build ha modificato il comportamento predefinito per come Cloud Build usa gli account di servizio nei nuovi progetti. Questa modifica è dettagliata in Modifica dell'account di servizio Cloud Build. In seguito a questo cambiamento, i nuovi progetti che eseguono il deployment delle versioni per la prima volta potrebbero utilizzare l'account di servizio App Engine con autorizzazioni insufficienti per il deployment delle versioni.

Per risolvere il problema:

• Concedi il ruolo Editor all'account di servizio predefinito di App Engine (PROJECT_ID@appspot.gserviceaccount.com).

• Consulta le indicazioni di Cloud Build sulle modifiche all'account di servizio predefinito e disattiva le modifiche predefinite nei nuovi progetti.

Timeout durante l'attesa dell'integrità dell'infrastruttura delle app

Quando esegui il deployment dell'app, si verifica il seguente errore:

Timed out waiting for the app infrastructure to become healthy

Questo errore può essere causato da vari fattori, ad esempio autorizzazioni mancanti, errori di codice, CPU o memoria insufficienti o controlli di integrità non riusciti. L'errore si verifica solo nell'ambiente flessibile di App Engine.

Per risolvere il problema, elimina le seguenti potenziali cause:

1. Verifica di aver concesso Ruolo di Editor (roles/editor) per il tuo l'account di servizio predefinito di App Engine.
2. Verifica se i criteri dell'organizzazione per il tuo progetto limitano l'accesso agli indirizzi IP esterni. Per ulteriori informazioni, vedi Problemi noti dell'ambiente flessibile di App Engine.

3. Verifica di aver concesso i seguenti ruoli all'account di servizio che utilizzi per eseguire l'applicazione (di solito l'account di servizio predefinito, app-id@appspot.gserviceaccount.com):

   • Visualizzatore oggetti Storage (roles/storage.objectViewer)
   • Writer log (roles/logging.logWriter)

4. Concedi i ruoli se l'account di servizio non li ha.

5. Se esegui il deployment nella configurazione VPC condivisa e passi instance_tag in app.yaml, consulta questa sezione per risolvere il problema.

Errore di autorizzazione durante il deployment di un servizio con il connettore di accesso VPC serverless

Quando esegui il deployment dell'app, si verifica il seguente errore:

Please ensure you have [compute.globalOperations.get] on the service project

Questo errore si verifica quando l'account utente o di servizio che sta tentando di eseguire il deployment dell'app con Il connettore VPC serverless non dispone delle autorizzazioni necessarie.

Per risolvere il problema, assicurati che l'utente o l'account di servizio che esegue il deployment abbia i ruoli Utente con accesso alla VPC serverless e Visualizzatore IAM di Compute.

Errore di valore non valido durante il deployment in una configurazione VPC condivisa

Quando esegui il deployment della tua app, in Cloud Logging per le istanze VM Flex viene visualizzato il seguente errore:

Invalid value for field 'resource.tags.items[1]': 'aef-instance'. Duplicate
tags are not allowed: aef-instance on compute.instances.insert

Questo errore è dovuto a un problema noto attuale per cui l'impostazione di instance_tag genera errori durante la creazione delle istanze.

Per risolvere il problema, rimuovi il campo instance_tag dal file app.yaml e esegui nuovamente il deployment.

Errori durante il deployment di app con un massimo di tre istanze

Le app di cui è stato eseguito il deployment con max_instances impostato su tre o meno potrebbero presentare errori o tempi di inattività imprevisti. Per risolvere il problema specifica almeno quattro istanze nel file app.yaml ed esegui di nuovo il deployment.

Errore durante il superamento del limite massimo di istanze

Quando esegui il deployment dell'app, si verifica il seguente errore:

You may not have more than 'xx' total max instances in your project.

Esiste un limite al numero massimo di istanze che puoi creare per progetto. Le richieste di creazione di istanze aggiuntive non vanno a buon fine se superi questo limite.

Per risolvere il problema, imposta il valore di max_instances nel file app.yaml su un valore inferiore a questo limite o elimina alcuni servizi o versioni per riportare la somma di max_instances al di sotto del limite.

Errore durante il riavvio delle istanze nelle versioni in esecuzione

Quando esegui il deployment dell'app, si verifica il seguente errore:

error when restarting the instance under the running versions

A maggio 2024, Google Cloud ha iniziato ad applicare i criteri dell'organizzazione Sicurezza per impostazione predefinita per tutte le nuove organizzazioni. Questo criterio richiede che tutte le istanze VM create nei nuovi progetti abbiano VM Manager abilitato. Per i progetti nuovi ed esistenti, questo vincolo impedisce gli aggiornamenti dei metadati che disabilitano VM Manager a livello di progetto o di istanza.

Per risolvere il problema, devi disattivare il vincolo dei criteri dell'organizzazione Richiedi configurazione OS (constraints/compute.requireOsConfig).

Se il problema persiste, devi disattivare anche la seguente organizzazione criteri che potrebbero essere stati attivati a livello di progetto o di organizzazione:

• Definisci gli IP esterni consentiti per le istanze VM (constraints/compute.vmExternalIpAccess). Se la tua applicazione è configurata per utilizzare solo un networking privato, non devi disabilitare questo vincolo.

• Disabilita attributi guest dei metadati Compute Engine (constraints/compute.disableGuestAttributesAccess)

Autorizzazione "compute.firewalls.list" obbligatoria

Quando esegui il deployment dell'app su una rete VPC condivisa, si verifica il seguente errore:

Request to https://compute.googleapis.com/compute/v1/projects/projects/PROJECT_ID/global/firewalls?key failed, details: Required 'compute.firewalls.list' permission for 'projects/PROJECT_ID'

Questo errore si verifica se i seguenti account di servizio per il progetto host non dispongono del ruolo Utente di rete Compute (roles/compute.networkUser):

• Agente di servizio API di Google
• Agente di servizio dell'ambiente flessibile di App Engine

Per risolvere il problema, verifica di aver concesso il ruolo Utente di rete Compute Agente di servizio API di Google e agente di servizio ambiente flessibile App Engine gli account di servizio per il progetto host; concedi il ruolo se non è presente per gli account di servizio.

La compilazione durante il deployment non va a buon fine, ma non vengono visualizzati errori nei log

Durante il deployment dell'app si verifica il seguente errore:

ERROR: (gcloud.app.deploy) Cloud build failed. Check logs at https://console.cloud.google.com/cloud-build/builds/BUILD_ID?project=PROJECT_NUMBER Failure status: UNKNOWN: Error Response: [2] Build failed; check build logs for details

Se segui il link nel messaggio di errore, viene visualizzato che tutti i passaggi di compilazione sono stati completati correttamente. Tuttavia, la compilazione dell'app non è riuscita.

Questo problema si verifica se utilizzi chiavi di crittografia gestite dal cliente. (CMEK) o hai configurato un criterio di conservazione dei dati per il bucket staging.PROJECT_ID.appspot.com.

Per risolvere il problema, modifica le seguenti impostazioni per il bucketstaging.PROJECT_ID.appspot.com:

• Imposta la crittografia su Chiavi di proprietà di Google e gestite da Google.
• Rimuovi il criterio di conservazione.

Il deployment non riesce a causa di un vincolo del criterio dell'organizzazione

Quando esegui il deployment di un'app, si verifica il seguente errore:

ERROR: (gcloud.app.deploy) Error Response: [13] An internal error occurred while processing task /app-engine-flex/....: Request to https://compute.googleapis.com/compute/[VERSSION]/[PROJECT_ID]/... failed, details: Constraint constraints/compute.disableGuestAttributesAccess violated for project [PROJECT_ID].

Questo errore può verificarsi a causa dell'applicazione del vincolo del criterio dell'organizzazione constraints/compute.disableGuestAttributesAccess durante il deployment dell'app. Questo criterio viene applicato per impostazione predefinita a tutte le app nell'ambiente flessibile di App Engine.

Per risolvere il problema, devi disattivare il vincolo del criterio dell'organizzazione. constraints/compute.disableGuestAttributesAccess.

Errori durante il deployment in una versione di ambiente flessibile esistente

Durante il deployment in un ambiente dell'ambiente flessibile App Engine esistente, potrebbe verificarsi il seguente errore versione:

ERROR: (gcloud.app.deploy) Error Response: [9] An internal error occurred while
processing task /app-engine-flex/flex_await_healthy/flex_await_healthy

Questo errore indica che l'aggiornamento di un deployment non funzionante con un'immagine Docker funzionante non sempre genera un deployment funzionante. Il risultato dipende dallo stato delle istanze del deployment non integro. Nonostante l'errore, se fornisci un'immagine Docker valida, il deployment potrebbe essere corretto. L'aggiornamento di una versione esistente con una nuova immagine Docker, anche se consentito, non è una buona prassi. Non è previsto alcun rollback in caso di fallimento della versione.