Solução de problemas de erros de compilação

Nesta página, fornecemos estratégias de solução de problemas, bem como soluções para algumas mensagens de erro comuns que podem ser exibidas ao executar uma versão.

Você analisou os registros de compilação?

Use os registros de versão do Logging ou do Cloud Storage para ver mais informações sobre o erro de versão. Os registros gravados em stdout ou stderr são exibidos automaticamente no console do Google Cloud.

As compilações manuais falham porque o usuário não tem acesso aos registros da versão

Você verá o seguinte erro ao tentar executar uma compilação manualmente:

AccessDeniedAccess denied. [EMAIL_ADDRESS] does not have storage.objects.get access to the Google Cloud Storage object.

Você vê esse erro porque o Cloud Build requer que os usuários executem versões manuais e usem obucket de registros padrão do Cloud Storage têm o papel de IAM de visualizador do projeto, além do papel de editor do Cloud Build. Para resolver esse erro, siga um destes procedimentos:

• Use o bucket de registros padrão e conceda o papel Visualizador do projeto e o papel Editor do Cloud Build ao usuário que está criando a versão. Para instruções sobre como conceder essa permissão, consulte Configurar o acesso aos recursos do Cloud Build.

• Crie seu próprio bucket do Cloud Storage para armazenar registros. Para instruções, consulte Como armazenar registros da versão em um bucket criado pelo usuário.

As criações falham devido à ausência de permissões da conta de serviço

Se a conta de serviço que você está usando para o build não tiver a permissão necessária para executar uma tarefa, você verá um erro semelhante ao seguinte:

Missing necessary permission iam.serviceAccounts.actAs for [USER] on the service account [SERVICE ACCOUNT]

Para resolver esse erro, conceda a permissão à conta de serviço. Use as informações nas páginas a seguir para determinar a permissão a ser concedida à sua conta de serviço de build:

• Configurar contas de serviço especificadas pelo usuário
• Conta de serviço padrão do Cloud Build
• Noções básicas sobre papéis do IAM
• Como conceder permissões à conta de serviço padrão do Cloud Build

As falhas de build devido a permissões ausentes para contas de serviço de build geralmente ocorrem ao tentar implantar usando o Cloud Build.

Erro de permissão negada ao implantar em funções do Cloud Run

Você vai encontrar o seguinte erro ao tentar usar as funções do Cloud Run:

ResponseError: status=[403], code=[Ok], message=[Permission 'cloudfunctions.functions.get' denied]

Para resolver esse erro, conceda o papel de desenvolvedor do Cloud Run functions à sua conta de serviço de build.

Erro de permissão ausente ao implantar em funções do Cloud Run

Você vai encontrar um erro semelhante ao seguinte ao tentar implantar no Cloud Run:

Missing necessary permission iam.serviceAccounts.actAs for [USER] on the service account [SERVICE ACCOUNT]

Para resolver esse erro, conceda a função de usuário da conta de serviço à sua conta de serviço especificada pelo usuário ou à conta de serviço padrão.

Erro ao implantar no App Engine

Você vai encontrar um erro semelhante ao seguinte ao tentar implantar no App Engine:

Missing necessary permission iam.serviceAccounts.actAs for [USER] on the service account [SERVICE_ACCOUNT]

Para resolver esse erro, conceda o papel de administrador do App Engine à sua conta de serviço especificada pelo usuário ou à conta de serviço padrão.

Erro ao implantar no GKE

Você vai encontrar um erro semelhante ao seguinte ao tentar implantar no GKE:

Missing necessary permission iam.serviceAccounts.actAs for [USER] on the service account [SERVICE_ACCOUNT]

Para resolver esse erro, conceda o papel de desenvolvedor do GKE à sua conta de serviço de build.

Erro ao implantar no Cloud Run

Você vai encontrar um erro semelhante ao seguinte ao tentar implantar no Cloud Run:

Missing necessary permission iam.serviceAccounts.actAs for [USER] on the service account [SERVICE_ACCOUNT]

Esse erro aparece porque a conta de serviço de build não tem as permissões de IAM necessárias para a implantação no Cloud Run. Para mais informações sobre como conceder as permissões necessárias, consulte Como implantar no Cloud Run.

O gatilho de compilação falha devido à permissão cloudbuild.builds.create ausente

Você vai encontrar um erro semelhante ao executar um gatilho de build:

Failed to trigger build: Permission 'cloudbuild.builds.create' denied on resource 'projects/xxxxxxxx' (or it may not exist)

Os gatilhos de build usam uma conta de serviço para criar um build. Esse erro indica que a conta de serviço não tem a permissão do IAM cloudbuild.builds.create, que é necessária para que a conta de serviço execute um gatilho de build. Para resolver esse erro, conceda o papel do IAM Cloud Build Service Account à conta de serviço especificada pelo usuário ou à conta de serviço padrão.

Falha no envio do build devido à falta de permissões do agente de serviço

Se o agente de serviço do Cloud Build for excluído ou não tiver permissões, isso poderá causar o seguinte erro ao enviar um build.

Caller does not have required permission to use project $PROJECT_ID. Grant the caller the roles/serviceusage.serviceUsageConsumer role, or a custom role with the serviceusage.services.use permission, by visiting https://console.developers.google.com/iam-admin/iam/project?project=$PROJECT_ID and then retry. Propagation of the new permission may take a few minutes.

O autor da chamada neste cenário é o agente de serviço do Cloud Build. Para resolver esse problema de permissão, siga estas etapas:

1. Verifique se o agente de serviço do Cloud Build existe. Para conferir o agente de serviço de um projeto, acesse a página IAM no console do Google Cloud e marque a caixa de seleção Mostrar contas de serviço gerenciadas do Google. Se ele não estiver lá, você poderá criar executando o seguinte comando da CLI gcloud:

   gcloud beta services identity create --service=cloudbuild.googleapis.com \
       --project=PROJECT_ID
   

2. Em seguida, conceda o papel roles/cloudbuild.serviceAgent do IAM ao agente de serviço do Cloud Build:

   gcloud projects add-iam-policy-binding PROJECT_ID \
       --member="serviceAccount:service-PROJECT_NUMBER@gcp-sa-cloudbuild.iam.gserviceaccount.com" \
       --role="roles/cloudbuild.serviceAgent"
   

Se você quiser verificar qual identidade do IAM foi potencialmente responsável por gerar o problema de permissão do agente de serviço, siga estas etapas:

1. Abra o Explorador de registros no console do Google Cloud:

   Acessar o Explorador de registros

2. Digite o seguinte texto no campo de consulta:

   resource.type="project"
   log_name="projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity"
   "service-PROJECT_NUMBER@gcp-sa-cloudbuild.iam.gserviceaccount.com"
   

3. Se você encontrar entradas de registro depois de usar essa consulta, verifique se alguma delas está removendo permissões do agente de serviço (service-PROJECT_NUMBER@gcp-sa-cloudbuild.iam.gserviceaccount.com). Se sim, analise o protoPayload.authenticationInfo.principalEmail no registro para determinar a identidade do IAM responsável por remover a permissão ou o papel roles/cloudbuild.serviceAgent que contém a permissão listada na mensagem de erro.

O acionador falha com o erro Couldn't read commit

Você verá o seguinte erro ao executar um gatilho de compilação:

  Failed to trigger build: Couldn't read commit

O Cloud Build vai retornar essa mensagem se você estiver tentando acionar um build usando uma ramificação que não existe. Revise os nomes dos diretórios para verificar a ortografia e a consistência. Para instruções sobre a configuração de gatilhos, consulte Criar e gerenciar gatilhos de build.

Não foi possível criar o gatilho do Pub/Sub

Você recebe o seguinte erro ao criar um gatilho do Pub/Sub:

  Failed to create trigger: Request is prohibited by organization's policy

Esse erro indica que a API Pub/Sub está restrita no seu projeto. Os projetos que restringem a API Pub/Sub limitam a capacidade de criar assinaturas push. Você pode remover temporariamente o Pub/Sub dos serviços restritos no seu perímetro, criar o acionador e restringir a API Pub/Sub novamente para resolver o erro.

Erro ao armazenar imagens no Container Registry

Você vai encontrar um erro semelhante ao seguinte quando a versão tentar armazenar imagens criadas no Container Registry:

[EMAIL_ADDRESS] does not have storage.buckets.create access to project [PROJECT_NAME]

Esse erro aparece porque a conta de serviço do build não tem o papel de administrador de armazenamento necessário para armazenar imagens de contêiner no Container Registry.

As criações falham devido a uma autorização ssh inválida

Você verá o seguinte erro ao executar uma compilação:

Could not parse ssh: [default]: invalid empty ssh-agent socket, make sure SSH_AUTH_SOCK is set

Esse erro indica um problema com a autorização SSH. Um exemplo comum é o erro de autorização SSH que ocorre ao acessar repositórios particulares do GitHub com o Cloud Build. Para instruções sobre como configurar o SSH para o GitHub, consulte Como acessar repositórios particulares do GitHub.

Os builds falham devido a um erro No route to host

Você verá o seguinte erro ou semelhante ao executar um build em um pool particular:

Unable to connect to the server: dial tcp 192.168.10.XX:<port>: connect: no route to host

O Cloud Build executa seus Cloud builders na máquina virtual do projeto gerenciado pelo Google usando os contêineres do Docker. A interface de ponte do Docker (e, consequentemente, os contêineres conectados a essa interface) recebe um intervalo de IP de 192.168.10.0/24, o que impossibilita a comunicação com os hosts externos na mesma sub-rede. Ao alocar intervalos de IP para recursos nos seus projetos durante a configuração do pool particular, recomendamos selecionar um intervalo fora de 192.168.10.0/24. Para instruções, consulte Como configurar o ambiente para pools particulares.

A conexão com o recurso externo falha porque não há um IP externo ativado

Você vai encontrar o seguinte erro ao se conectar a um recurso externo de um pool particular:

 Failed to connect to <external_domain>: Connection timed out

Os pools particulares usam IPs externos para acessar recursos na Internet pública, como repositórios externos. Ao criar ou atualizar um pool particular, selecione a caixa para atribuir IPs externos ao seu pool particular. Para instruções sobre como criar ou atualizar campos no seu pool particular, consulte Criar e gerenciar pools particulares.

Erro de tempo limite de E/S

Você verá o seguinte erro ao executar uma compilação:

Timeout - last error: dial tcp IP_ADDRESS: i/o timeout

Esse erro pode ocorrer quando sua versão tenta acessar recursos em uma rede privada, mas falha. Por padrão, as versões executadas pelo Cloud Build podem acessar recursos particulares na Internet pública, como recursos em um repositório ou um registro. No entanto, os builds só podem acessar recursos em uma rede privada se você usar e configurar pools particulares para acessar a rede privada. Consulte Como usar o Cloud Build em uma rede particular.

4xx (erros de cliente)

Esse grupo de erros indica que a solicitação de versão não foi bem-sucedida devido a falha do usuário que enviou a solicitação. Veja abaixo alguns exemplos de erros de cliente 4xx:

• **Error**: 404 : Requested entity was not found
• **Error**: 404 : Trigger not found
• **Error**: 400 : Failed Precondition
• **Error**: 403 : Permission denied

Caso você veja um erro de cliente 4xx, analise os registros da versão para ver se ela contém mais informações sobre o motivo do erro. Veja algumas causas comuns dos erros do cliente:

• O local de origem especificado não tem nada novo para confirmar, e a árvore de trabalho é limpa. Nesse caso, verifique a localização do código-fonte e tente compilar novamente.
• Seu repositório não contém um arquivo de configuração de build. Se esse for o caso, faça upload de um arquivo de configuração da versão para seu repositório e execute a compilação novamente.
• Você especificou um código de gatilho incorreto.
• Recentemente, você adicionou um novo repositório depois de instalar o app GitHub. O Cloud Build não tem permissões para acessá-lo. Se esse for o caso, conecte seu novo repositório ao Cloud Build.
• Você precisa conceder outra permissão à sua conta de serviço de build.

O build falha devido a restrições de cota

Você encontra o seguinte erro, que indica que um build está falhando devido a restrições de cota em uma região específica:

Failed to trigger build: generic::failed_precondition: due to quota restrictions, cannot run builds in this region. Please contact support.

Entre em contato com o Cloud Customer Care para aumentar as cotas para essa região específica. Para saber mais sobre cotas e limites, consulte Cotas e limites.

Problemas de tempo limite ao extrair imagens do registro do Docker

Você encontra os seguintes erros de tempo limite no registro do Cloud Build após uma execução:

Step #0: Pulling image: python:3.8.16-alpine3.17
Step #0: Error response from daemon: Get "https://registry-1.docker.io/v2/": net/http: request canceled while waiting for connection (Client.Timeout exceeded while awaiting headers)

Step 1/7 : FROM python:3.8.16-alpine3.17
Get "https://registry-1.docker.io/v2/": dial tcp 34.205.13.154:443: i/o timeout

Para resolver o erro, faça o download da imagem do Docker usando o crane e carregue a imagem no Docker do Cloud Build.

Adicione o snippet abaixo ao arquivo cloudbuild.yaml.

...
  # Crane runs as a regular user so we need to allow it to access the directory where it saves the image.
  - name: gcr.io/cloud-builders/docker
    args:
    - a+w
    - /workspace
    entrypoint: chmod
  # Use crane to download the image through the proxy
  - name: gcr.io/go-containerregistry/crane
    env: - 'HTTPS_PROXY=HTTPS_PROXY'
    args:
    - pull
    - 'python:3.8.16-alpine3.17'
    - /workspace/image.tar
  # Use docker load to add the image into the local Cloud Build registry
  - name: gcr.io/cloud-builders/docker
    args: [load, --input, "/workspace/image.tar"]
      - .

• HTTPS_PROXY: o endereço do proxy HTTP (por exemplo, https://proxy.example.com:8888/).

Depois que a imagem for carregada, as etapas do cloudbuid.yaml atuais vão funcionar normalmente, por exemplo:

...
  - name: python:3.8.16-alpine3.17
    args:
    - echo
    - hello
    entrypoint: bash
  # Or use it internally on a Dockerfile
  - name: gcr.io/cloud-builders/docker
    args:
    - build

Erros Unauthenticated em etapas do Docker de longa duração

As etapas de build que envolvem um comando do Docker executado por mais de uma hora (como enviar uma imagem grande para o Artifact Registry) podem falhar com um erro de autenticação. O Cloud Build atualiza os tokens de autenticação a cada hora, mas o Docker pode não selecionar esses novos tokens, resultando em problemas de autenticação. Você pode escrever seu próprio token com uma duração personalizada para arquivar e fazer referência a ele para comandos do Docker.

Builds em fila em um pool particular com peering para uma rede VPC

Quando você executa builds em um pool particular que tem a rede do produtor de serviços conectada à sua própria rede VPC, é importante que a conexão particular entre essas duas redes permaneça intacta. Se você excluir a conexão particular em que um pool particular se baseia, poderá interromper o pool. Isso pode acontecer com builds que permanecem na fila até o tempo limite expirar. Portanto, se você quiser excluir uma conexão particular, também exclua todos os pools particulares cuja rede do provedor de serviços tenha sido conectada à sua rede VPC usando essa conexão particular.

Tentativa de aprovar ou rejeitar builds pendentes com mais de dois meses

Não é possível aprovar ou rejeitar builds pendentes com mais de dois meses. Tentar fazer isso pode resultar em uma mensagem de erro semelhante a esta:

 404, "message": "Requested entity was not
found.", "status": "NOT_FOUND" } }

Se isso acontecer, tente enviar um novo build.

A seguir

• Saiba como gerenciar registros de criação.