このページでは、App Engine の使用中に発生する可能性のあるエラーをトラブルシューティングする方法について説明します。
App Engine などの Google Cloud サービスに影響するインシデントについては、Google Cloud Service Health ダッシュボードをご覧ください。
デプロイ
このセクションでは、App Engine Admin API を使用したアプリのデプロイで問題が発生した場合に表示されるエラー メッセージと、各エラーの修正に関するヒントについて説明します。
呼び出し元にプロジェクトにアクセスする権限がない
アプリをデプロイすると、次のエラーが発生します。
User EMAIL_ADDRESS does not have permission to access project PROJECT_ID (or it may not exist): The caller does not have permission
このエラーは、アプリのデプロイに使用したアカウントに現在のプロジェクトのアプリをデプロイする権限がない場合に発生します。
この問題を解決するには、アカウントに App Engine デプロイ担当者(roles/appengine.deployer
)のロールを付与します。デプロイに使用したアカウントを確認するには、次のいずれかを行います。
- Google Cloud CLI を使用してデプロイした場合は、
gcloud auth list
コマンドを実行します。 - IDE からデプロイした場合は、Cloud Tools プラグインの設定を表示します。
Failed to fetch metadata from the registry
アプリをデプロイすると、次のエラーが発生します。
Failed to fetch metadata from the registry, with reason: generic::permission_denied
このエラーは、ストレージ管理者(roles/storage.admin
)ロールを持たないサービス アカウントから gcloud app deploy
コマンドを使用すると発生します。
この問題を解決するには、サービス アカウントにストレージ管理者のロールを付与します。
- 使用したアカウントを確認するには、
gcloud auth list
コマンドを実行します。 - App Engine デプロイ担当者(
roles/appengine.deployer
)のロールのみでは十分でない理由については、App Engine のロールをご覧ください。
Service accounts must have permissions on the image
アプリをデプロイすると、次のエラーが発生します。
The App Engine appspot and App Engine flexible environment service accounts must have permissions on the image IMAGE_NAME
このエラーは、次のいずれかの原因で発生します。
デフォルトの App Engine サービス アカウントに、ストレージ オブジェクト閲覧者(
roles/storage.objectViewer
)ロールがない。- この問題を解決するには、サービス アカウントにストレージ オブジェクト閲覧者ロールを付与します。
プロジェクトに、アクセスレベルを使用して Cloud Storage API へのアクセスを制限する VPC サービス境界がある。
- この問題を解決するには、アプリのデプロイに使用するサービス アカウントを、対応する VPC サービス境界の accessPolicies に追加します。
Cloud Build の作成に失敗
アプリをデプロイすると、次のエラーが発生します。
Failed to create cloud build: Permission denied
このエラーは、Cloud Build 編集者(roles/cloudbuild.builds.editor
)ロールが割り当てられていないアカウントから gcloud app deploy
コマンドを使用すると発生します。
この問題を解決するには、アプリのデプロイに使用しているサービス アカウントに Cloud Build 編集者ロールを付与します。
使用したアカウントを確認するには、gcloud auth list
コマンドを実行します。
Permissions error fetching application
アプリをデプロイすると、次のエラーが発生します。
Permissions error fetching application apps/app_name. Please make sure you are using the correct project ID and that you have permission to view applications on the project
Google Cloud CLI バージョン 328 以降を実行している場合は、アプリをデプロイすると次のエラーが発生します。
Permissions error fetching application apps/app_name. Please make sure that you have permission to view applications on the project and that SERVICE_ACCOUNT has the App Engine Deployer (roles/appengine.deployer) role.
このエラーは、アプリのデプロイに使用したアカウントに App Engine デプロイ担当者(roles/appengine.deployer
)ロールがない場合に表示されます。
この問題を解決するには、アプリのデプロイに使用したサービス アカウントに App Engine デプロイ担当者のロールが付与されていることを確認します。付与されていない場合は、このロールを付与します。デプロイに使用したアカウントを確認するには、次のいずれかを行います。
- Google Cloud CLI を使用してデプロイした場合は、
gcloud auth list
コマンドを実行します。 - IDE からデプロイした場合は、Cloud Tools プラグインの設定を表示します。
新しいプロジェクトのデプロイに失敗する
新しいプロジェクトに初めてアプリをデプロイすると、次のエラーが表示されることがあります。
ERROR: (gcloud.app.deploy) Error Response: [13] Failed to create cloud build: com.google.net.rpc3.client.RpcClientException:..........invalid bucket "staging.PROJECT-ID.appspot.com"; service account PROJECT-ID@appspot.gserviceaccount.com does not have access to the bucket
このエラーの原因としては、権限不足や組織のポリシーの変更など、さまざまな要因が考えられます。
この問題を解決するには、デフォルトのサービス アカウントにストレージ管理者(roles/storage.admin
)ロールが付与されていることを確認します。ストレージ管理者のロールを付与するには、ユーザーが作成したバケットにビルドログを保存するをご覧ください。
デプロイ中に発生したさまざまな権限エラーに基づいて、ストレージ管理者ロールと他の必要なロールを付与しているにもかかわらず、アプリをデプロイできない場合は、組織のポリシーに次の変更が加えられている可能性があります。
2024 年 5 月以降、Google Cloud はすべての組織リソースにデフォルトで保護されている組織のポリシーを適用します。このポリシーにより、App Engine がデフォルトで App Engine のデフォルトのサービス アカウントに
Editor
ロールを付与できなくなります。2024 年 6 月より、Cloud Build が新しいプロジェクトでサービス アカウントを使用する際のデフォルトの動作が変更されます。この変更の詳細については、Cloud Build サービス アカウントの変更をご覧ください。この変更により、バージョンを初めてデプロイする新しいプロジェクトで、バージョンのデプロイに必要な権限が不足しているデフォルトの App Engine サービス アカウントが使用される可能性があります。
この問題を解決するには、次の操作を行います。
App Engine のデフォルトのサービス アカウント(
PROJECT_ID@appspot.gserviceaccount.com
)にEditor
ロールを付与します。デフォルトのサービス アカウントの変更に関する Cloud Build のガイダンスを確認し、新しいプロジェクトのデフォルトの変更をオプトアウトします。
Timed out waiting for the app infrastructure to become healthy
アプリをデプロイすると、次のエラーが発生します。
Timed out waiting for the app infrastructure to become healthy
権限不足、コードエラー、CPU 性能やメモリ容量の不足、ヘルスチェックの失敗など、さまざまな要因が考えられます。このエラーは、App Engine フレキシブル環境でのみ発生します。
この問題を解決するには、次のように考えられる原因を排除します。
- 編集者(
roles/editor
)ロールがデフォルトの App Engine サービス アカウントに付与されていることを確認します。 アプリケーションの実行に使用するサービス アカウント(通常はデフォルトのサービス アカウント
app-id@appspot.gserviceaccount.com
)に次のロールが付与されていることを確認します。サービス アカウントに上記のロールがない場合は、それを付与します。
共有 VPC 設定にデプロイし、
app.yaml
でinstance_tag
を渡す場合は、こちらのセクションを参照して問題を解決してください。
Permissions error when deploying a service with Serverless VPC Access Connector
アプリをデプロイすると、次のエラーが発生します。
Please ensure you have [compute.globalOperations.get] on the service project
このエラーは、サーバーレス VPC コネクタを使用してアプリをデプロイするユーザーまたはサービス アカウントに必要な権限がない場合に発生します。
この問題を解決するには、デプロイを行うユーザーまたはサービス アカウントに、サーバーレス VPC アクセス ユーザーのロールと Compute 閲覧者 IAM ロールを付与します。
Invalid value error when deploying in a Shared VPC setup
アプリをデプロイするときに Flex VM インスタンスの Cloud Logging に次のエラーが表示されます。
Invalid value for field 'resource.tags.items[1]': 'aef-instance'. Duplicate tags are not allowed: aef-instance on compute.instances.insert
このエラーは、既知の問題(インスタンスの作成時に instance_tag を設定するとエラーが発生する)が原因で発生します。
この問題を解決するには、app.yaml
ファイルから instance_tag
フィールドを削除して再デプロイします。
最大インスタンス数が 3 以下のアプリをデプロイする際に発生するエラー
max_instances
を 3 以下に設定してアプリをデプロイすると、予期しないエラーやダウンタイムが発生する可能性があります。この問題を解決するには、app.yaml
ファイルに 4 以上の最大インスタンス数を指定して再デプロイします。
最大インスタンス数の上限を超えるとエラーが発生する
アプリをデプロイすると、次のエラーが発生します。
You may not have more than 'xx' total max instances in your project.
プロジェクトごとに作成できるインスタンスには上限があります。この上限を超えると、追加のインスタンスの作成リクエストは失敗します。
この問題を解決するには、app.yaml
ファイルの max_instances
の値をこの上限を下回る値に設定するか、一部のサービスまたはバージョンを削除して max_instances
の合計が上限内に収まるようにします。
デプロイ中のビルドが失敗しログにエラーが記録されない
アプリをデプロイすると、次のエラーが発生します。
ERROR: (gcloud.app.deploy) Cloud build failed. Check logs at https://console.cloud.google.com/cloud-build/builds/BUILD_ID?project=PROJECT_NUMBER Failure status: UNKNOWN: Error Response: [2] Build failed; check build logs for details
エラー メッセージのリンク先を確認すると、すべてのビルドステップが正常に完了していることが表示されていますが、アプリの作成に失敗しています。
この問題は、顧客管理の暗号鍵(CMEK)を使用している場合、または staging.PROJECT_ID.appspot.com
バケットにデータ保持ポリシーを設定している場合に発生します。
この問題を解決するには、staging.PROJECT_ID.appspot.com
バケットの以下の設定を変更します。
- 暗号化を Google が所有して管理する鍵に設定します。
- 保持ポリシーを削除します。
NODE_ENV=development
で実行すると、デプロイ中にビルドが失敗する
このエラーは、Node.js アプリケーションをデプロイする際に発生することがあります。デフォルトでは、package.json
ファイルで build
スクリプトが検出されると、Node.js ランタイムは npm run build
を実行します。
その結果、長時間実行ビルドやメモリ不足エラーのような予期しない動作が発生する可能性があります。
app.yaml
ファイルに NODE_ENV=development
を指定して、実行に必要な依存関係がすべて存在するようにします。
エラーにもかかわらず、app.yaml
ファイルの build-env-variables
で NODE_ENV: 'production'
を指定すると、本番環境を強制できます。
build_env_variables:
NODE_ENV: 'production'
詳細については、デプロイ時のカスタムビルド ステップの実行をご覧ください。
配信エラー
以下の各セクションでは、アプリの初期化とサービス提供に関するエラーについて説明します。
デフォルトのサービス アカウントでアプリを作成するときに発生する権限エラー
App Engine API を初めて有効にした後でアプリを作成すると、次のエラーで失敗します。
gcloud CLI
An internal error occurred while calling service consumer manager for service account.
Creating App Engine application in project [PROJECT__ID] and [REGION]....failed. DEBUG: (gcloud.app.create) Error Response: [13] an internal error has occurred
ログのリクエスト
Service account creation is not allowed on this project.
コンソール
Error while initialising App Engine.
このエラーは、アプリの作成時に組織のポリシーの制約 constraints/iam.disableServiceAccountCreation
が適用されたために発生することがあります。このポリシーにより、App Engine のデフォルトのサービス アカウント PROJECT_ID@appspot.gserviceaccount.com
をプロビジョニングできなくなります。
この問題を解決するには、組織のポリシーの制約 constraints/iam.disableServiceAccountCreation
を一時的に削除して、App Engine のデフォルト サービス アカウントの作成とデプロイを許可する必要があります。デフォルトのサービス アカウントはアプリの作成に必要であり、スキップできません。これは、バージョンごとのサービス アカウントを使用する場合にも当てはまります。その後、App Engine のデフォルトのサービス アカウントは削除できます。また、デプロイが正常に完了した後に作成したサービス アカウントに置き換えることもできます。
作成したサービス アカウントを使用している場合は、ロールの推奨事項の概要を確認して、サービス エージェント用に作成したサービス アカウントにトークン作成者のロールを付与するなど、権限を制限する方法を理解してください。
Python 用の以前のバンドル サービスを使用する場合のセキュリティ エラー
Python 3 アプリの起動時に以前のバンドル サービス API を使用すると、次のエラー メッセージが表示される場合があります。
Attempted RPC call without active security ticket
このエラーは、アプリがデータベース接続の構成やグローバル変数の設定を開始するときに、Memcache から特定の値を読み取る場合などに発生することがあります。
この問題を解決するには、このようなロジックをウォームアップ リクエストに移動してください。