App Engine のエラーをトラブルシューティングする

このページでは、App Engine の使用中に発生する可能性のあるエラーをトラブルシューティングする方法について説明します。

App Engine などの Google Cloud サービスに影響するインシデントについては、Google Cloud Service Health ダッシュボードをご覧ください。

デプロイ

このセクションでは、App Engine Admin API を使用したアプリのデプロイで問題が発生した場合に表示されるエラー メッセージと、各エラーの修正に関するヒントについて説明します。

呼び出し元にプロジェクトにアクセスする権限がない

アプリをデプロイすると、次のエラーが発生します。

User EMAIL_ADDRESS does not have permission to access project PROJECT_ID (or it may not exist): The caller does not have permission

このエラーは、アプリのデプロイに使用したアカウントに現在のプロジェクトのアプリをデプロイする権限がない場合に発生します。

この問題を解決するには、アカウントに App Engine デプロイ担当者(roles/appengine.deployer)のロール付与します。デプロイに使用したアカウントを確認するには、次のいずれかを行います。

  • Google Cloud CLI を使用してデプロイした場合は、gcloud auth list コマンドを実行します。
  • IDE からデプロイした場合は、Cloud Tools プラグインの設定を表示します。

Failed to fetch metadata from the registry

アプリをデプロイすると、次のエラーが発生します。

Failed to fetch metadata from the registry, with reason: generic::permission_denied

このエラーは、ストレージ管理者(roles/storage.admin)ロールを持たないサービス アカウントから gcloud app deploy コマンドを使用すると発生します。

この問題を解決するには、サービス アカウントにストレージ管理者のロール付与します。

  • 使用したアカウントを確認するには、gcloud auth list コマンドを実行します。
  • App Engine デプロイ担当者(roles/appengine.deployer)のロールのみでは十分でない理由については、App Engine のロールをご覧ください。

Service accounts must have permissions on the image

アプリをデプロイすると、次のエラーが発生します。

The App Engine appspot and App Engine flexible environment service accounts must
have permissions on the image IMAGE_NAME

このエラーは、次のいずれかの原因で発生します。

Cloud Build の作成に失敗

アプリをデプロイすると、次のエラーが発生します。

Failed to create cloud build: Permission denied

このエラーは、Cloud Build 編集者(roles/cloudbuild.builds.editor)ロールが割り当てられていないアカウントから gcloud app deploy コマンドを使用すると発生します。

この問題を解決するには、アプリのデプロイに使用しているサービス アカウントに Cloud Build 編集者ロール付与します。

使用したアカウントを確認するには、gcloud auth list コマンドを実行します。

Permissions error fetching application

アプリをデプロイすると、次のエラーが発生します。

Permissions error fetching application apps/app_name. Please make sure you are using the correct project ID and that you have permission to view applications on the project

Google Cloud CLI バージョン 328 以降を実行している場合は、アプリをデプロイすると次のエラーが発生します。

Permissions error fetching application apps/app_name. Please
make sure that you have permission to view applications on the project and that
SERVICE_ACCOUNT has the App Engine Deployer (roles/appengine.deployer) role.

このエラーは、アプリのデプロイに使用したアカウントに App Engine デプロイ担当者(roles/appengine.deployer)ロールがない場合に表示されます。

この問題を解決するには、アプリのデプロイに使用したサービス アカウントに App Engine デプロイ担当者のロールが付与されていることを確認します。付与されていない場合は、このロールを付与します。デプロイに使用したアカウントを確認するには、次のいずれかを行います。

  • Google Cloud CLI を使用してデプロイした場合は、gcloud auth list コマンドを実行します。
  • IDE からデプロイした場合は、Cloud Tools プラグインの設定を表示します。

新しいプロジェクトのデプロイに失敗する

新しいプロジェクトに初めてアプリをデプロイすると、次のエラーが表示されることがあります。

ERROR: (gcloud.app.deploy) Error Response: [13] Failed to create cloud build: com.google.net.rpc3.client.RpcClientException:..........invalid bucket "staging.PROJECT-ID.appspot.com"; service account PROJECT-ID@appspot.gserviceaccount.com does not have access to the bucket

このエラーの原因としては、権限不足や組織のポリシーの変更など、さまざまな要因が考えられます。

この問題を解決するには、デフォルトのサービス アカウントにストレージ管理者(roles/storage.adminロールが付与されていることを確認します。ストレージ管理者のロールを付与するには、ユーザーが作成したバケットにビルドログを保存するをご覧ください。

デプロイ中に発生したさまざまな権限エラーに基づいて、ストレージ管理者ロールと他の必要なロールを付与しているにもかかわらず、アプリをデプロイできない場合は、組織のポリシーに次の変更が加えられている可能性があります。

  • 2024 年 5 月以降、Google Cloud はすべての組織リソースにデフォルトで保護されている組織のポリシーを適用します。このポリシーにより、App Engine がデフォルトで App Engine のデフォルトのサービス アカウントに Editor ロールを付与できなくなります。

  • 2024 年 6 月より、Cloud Build が新しいプロジェクトでサービス アカウントを使用する際のデフォルトの動作が変更されます。この変更の詳細については、Cloud Build サービス アカウントの変更をご覧ください。この変更により、バージョンを初めてデプロイする新しいプロジェクトで、バージョンのデプロイに必要な権限が不足しているデフォルトの App Engine サービス アカウントが使用される可能性があります。

この問題を解決するには、次の操作を行います。

Timed out waiting for the app infrastructure to become healthy

アプリをデプロイすると、次のエラーが発生します。

Timed out waiting for the app infrastructure to become healthy

権限不足、コードエラー、CPU 性能やメモリ容量の不足、ヘルスチェックの失敗など、さまざまな要因が考えられます。このエラーは、App Engine フレキシブル環境でのみ発生します。

この問題を解決するには、次のように考えられる原因を排除します。

  1. 編集者(roles/editor)ロールがデフォルトの App Engine サービス アカウントに付与されていることを確認します。
  2. アプリケーションの実行に使用するサービス アカウント(通常はデフォルトのサービス アカウント app-id@appspot.gserviceaccount.com)に次のロールが付与されていることを確認します。

  3. サービス アカウントに上記のロールがない場合は、それを付与します。

  4. 共有 VPC 設定にデプロイし、app.yamlinstance_tag を渡す場合は、こちらのセクションを参照して問題を解決してください。

Permissions error when deploying a service with Serverless VPC Access Connector

アプリをデプロイすると、次のエラーが発生します。

Please ensure you have [compute.globalOperations.get] on the service project

このエラーは、サーバーレス VPC コネクタを使用してアプリをデプロイするユーザーまたはサービス アカウントに必要な権限がない場合に発生します。

この問題を解決するには、デプロイを行うユーザーまたはサービス アカウントに、サーバーレス VPC アクセス ユーザーのロールと Compute 閲覧者 IAM ロールを付与します。

Invalid value error when deploying in a Shared VPC setup

アプリをデプロイするときに Flex VM インスタンスの Cloud Logging に次のエラーが表示されます。

Invalid value for field 'resource.tags.items[1]': 'aef-instance'. Duplicate
tags are not allowed: aef-instance on compute.instances.insert

このエラーは、既知の問題(インスタンスの作成時に instance_tag を設定するとエラーが発生する)が原因で発生します。

この問題を解決するには、app.yaml ファイルから instance_tag フィールドを削除して再デプロイします。

最大インスタンス数が 3 以下のアプリをデプロイする際に発生するエラー

max_instances を 3 以下に設定してアプリをデプロイすると、予期しないエラーやダウンタイムが発生する可能性があります。この問題を解決するには、app.yaml ファイルに 4 以上の最大インスタンス数を指定して再デプロイします。

最大インスタンス数の上限を超えるとエラーが発生する

アプリをデプロイすると、次のエラーが発生します。

You may not have more than 'xx' total max instances in your project.

プロジェクトごとに作成できるインスタンスには上限があります。この上限を超えると、追加のインスタンスの作成リクエストは失敗します。

この問題を解決するには、app.yaml ファイルの max_instances の値をこの上限を下回る値に設定するか、一部のサービスまたはバージョンを削除して max_instances の合計が上限内に収まるようにします。

デプロイ中のビルドが失敗しログにエラーが記録されない

アプリをデプロイすると、次のエラーが発生します。

ERROR: (gcloud.app.deploy) Cloud build failed. Check logs at https://console.cloud.google.com/cloud-build/builds/BUILD_ID?project=PROJECT_NUMBER Failure status: UNKNOWN: Error Response: [2] Build failed; check build logs for details

エラー メッセージのリンク先を確認すると、すべてのビルドステップが正常に完了していることが表示されていますが、アプリの作成に失敗しています。

この問題は、顧客管理の暗号鍵(CMEK)を使用している場合、または staging.PROJECT_ID.appspot.com バケットにデータ保持ポリシーを設定している場合に発生します。

この問題を解決するには、staging.PROJECT_ID.appspot.com バケットの以下の設定を変更します。

NODE_ENV=development で実行すると、デプロイ中にビルドが失敗する

このエラーは、Node.js アプリケーションをデプロイする際に発生することがあります。デフォルトでは、package.json ファイルで build スクリプトが検出されると、Node.js ランタイムは npm run build を実行します。

その結果、長時間実行ビルドやメモリ不足エラーのような予期しない動作が発生する可能性があります。

app.yaml ファイルに NODE_ENV=development を指定して、実行に必要な依存関係がすべて存在するようにします。

エラーにもかかわらず、app.yaml ファイルの build-env-variablesNODE_ENV: 'production' を指定すると、本番環境を強制できます。

  build_env_variables:
    NODE_ENV: 'production'

詳細については、デプロイ時のカスタムビルド ステップの実行をご覧ください。

配信エラー

以下の各セクションでは、アプリの初期化とサービス提供に関するエラーについて説明します。

デフォルトのサービス アカウントでアプリを作成するときに発生する権限エラー

App Engine API を初めて有効にした後でアプリを作成すると、次のエラーで失敗します。

gcloud CLI

An internal error occurred while calling service consumer manager for service account.
Creating  App Engine application in project [PROJECT__ID] and [REGION]....failed. DEBUG: (gcloud.app.create) Error Response: [13] an internal error has occurred

ログのリクエスト

Service account creation is not allowed on this project.

コンソール

Error while initialising App Engine.

このエラーは、アプリの作成時に組織のポリシーの制約 constraints/iam.disableServiceAccountCreation が適用されたために発生することがあります。このポリシーにより、App Engine のデフォルトのサービス アカウント PROJECT_ID@appspot.gserviceaccount.com をプロビジョニングできなくなります。

この問題を解決するには、組織のポリシーの制約 constraints/iam.disableServiceAccountCreation を一時的に削除して、App Engine のデフォルト サービス アカウントの作成とデプロイを許可する必要があります。デフォルトのサービス アカウントはアプリの作成に必要であり、スキップできません。これは、バージョンごとのサービス アカウントを使用する場合にも当てはまります。その後、App Engine のデフォルトのサービス アカウントは削除できます。また、デプロイが正常に完了した後に作成したサービス アカウントに置き換えることもできます。

作成したサービス アカウントを使用している場合は、ロールの推奨事項の概要を確認して、サービス エージェント用に作成したサービス アカウントにトークン作成者のロールを付与するなど、権限を制限する方法を理解してください。

Python 用の以前のバンドル サービスを使用する場合のセキュリティ エラー

Python 3 アプリの起動時に以前のバンドル サービス API を使用すると、次のエラー メッセージが表示される場合があります。

Attempted RPC call without active security ticket

このエラーは、アプリがデータベース接続の構成やグローバル変数の設定を開始するときに、Memcache から特定の値を読み取る場合などに発生することがあります。

この問題を解決するには、このようなロジックをウォームアップ リクエストに移動してください。