Solução de problemas de erros de compilação

Nesta página, fornecemos estratégias de solução de problemas, bem como soluções para algumas mensagens de erro comuns que podem ser exibidas ao executar uma versão.

Você analisou os registros de compilação?

Use os registros de versão do Logging ou do Cloud Storage para ver mais informações sobre o erro de versão. Registros gravados em stdout ou stderr aparecem automaticamente no console do Google Cloud.

As compilações manuais falham porque o usuário não tem acesso aos registros da versão

Você verá o seguinte erro ao tentar executar uma compilação manualmente:

AccessDeniedAccess denied. [EMAIL_ADDRESS] does not have storage.objects.get access to the Google Cloud Storage object.

Você vê esse erro porque o Cloud Build requer que os usuários executem versões manuais e usem obucket de registros padrão do Cloud Storage têm o papel de IAM de visualizador do projeto, além do papel de editor do Cloud Build. Para resolver esse erro, siga um destes procedimentos:

As criações falham devido à ausência de permissões da conta de serviço

Se a conta de serviço usada no build não tiver as permissões necessárias permissão para executar uma tarefa, você verá algo parecido com este erro:

Missing necessary permission iam.serviceAccounts.actAs for [USER] on the service account [SERVICE ACCOUNT]

Para resolver esse erro, conceda a permissão à conta de serviço. Usar as informações nas páginas seguintes para determinar a permissão para conceder à sua conta de serviço de build:

As falhas de build devido a permissões ausentes para contas de serviço de build geralmente ocorrem ao tentar implantar usando o Cloud Build.

Erro de permissão negada ao implantar em funções do Cloud Run

Você vai encontrar o seguinte erro ao tentar usar as funções do Cloud Run:

ResponseError: status=[403], code=[Ok], message=[Permission 'cloudfunctions.functions.get' denied]

Para resolver esse erro, conceda o papel de desenvolvedor de funções do Cloud Run à conta de serviço de build.

Erro de permissão ausente ao implantar em funções do Cloud Run

Você verá algo parecido com o seguinte erro ao tentar implantar em funções do Cloud Run:

Missing necessary permission iam.serviceAccounts.actAs for [USER] on the service account [SERVICE ACCOUNT]

Para resolver esse erro, conceda o papel de usuário da conta de serviço à sua conta de serviço especificada pelo usuário ou à conta de serviço padrão.

Erro ao implantar no App Engine

Você verá algo parecido com o seguinte erro ao tentar implantar no App Engine:

Missing necessary permission iam.serviceAccounts.actAs for [USER] on the service account [SERVICE_ACCOUNT]

Para resolver esse erro, conceda o papel de administrador do App Engine à sua conta de serviço especificada pelo usuário ou à conta de serviço padrão.

Erro ao implantar no GKE

Você vai encontrar um erro semelhante ao seguinte ao tentar implantar no GKE:

Missing necessary permission iam.serviceAccounts.actAs for [USER] on the service account [SERVICE_ACCOUNT]

Para resolver esse erro, conceda o papel de Desenvolvedor do GKE à conta de serviço de build.

Erro ao implantar no Cloud Run

Você verá algo parecido com o seguinte erro ao tentar implantar no Cloud Run:

Missing necessary permission iam.serviceAccounts.actAs for [USER] on the service account [SERVICE_ACCOUNT]

Esse erro aparece porque sua conta de serviço de build não tem as permissões do IAM necessárias para implantar no Cloud Run. Para mais informações sobre como conceder as permissões necessárias, consulte Como implantar no Cloud Run.

O gatilho de compilação falha devido à permissão cloudbuild.builds.create ausente

Você verá um erro semelhante ao seguinte erro ao executar um gatilho de compilação:

Failed to trigger build: Permission 'cloudbuild.builds.create' denied on resource 'projects/xxxxxxxx' (or it may not exist)

Os gatilhos de build usam uma conta de serviço para criar um build. Esse erro indica que a conta de serviço não tem o cloudbuild.builds.create Permissão do IAM, necessária para a execução da conta de serviço um gatilho de compilação. Para solucionar esse erro, conceda a permissão Cloud Build Service Account papel do IAM para sua conta de serviço especificada pelo usuário ou a conta de serviço padrão.

Falha no envio do build devido à falta de permissões do agente de serviço

Se o agente de serviço do Cloud Build estiver excluída ou sem permissões, isso poderá causar o seguinte erro quando e enviar um build.

Caller does not have required permission to use project $PROJECT_ID. Grant the caller the roles/serviceusage.serviceUsageConsumer role, or a custom role with the serviceusage.services.use permission, by visiting https://console.developers.google.com/iam-admin/iam/project?project=$PROJECT_ID and then retry. Propagation of the new permission may take a few minutes.

O autor da chamada neste cenário é o agente de serviço do Cloud Build. Para resolver esse problema de permissão, siga estas etapas:

  1. Verifique se o agente de serviço do Cloud Build existe. É possível consultar agente de serviço para um projeto acessando Página do IAM no console do Google Cloud e marque a caixa de seleção Mostrar contas de serviço gerenciado do Google. Se ele não estiver lá, crie-o executando o seguinte comando da CLI gcloud:

    gcloud beta services identity create --service=cloudbuild.googleapis.com \
        --project=PROJECT_ID
    
  2. Em seguida, conceda o papel roles/cloudbuild.serviceAgent do IAM à Agente de serviço do Cloud Build:

    gcloud projects add-iam-policy-binding PROJECT_ID \
        --member="serviceAccount:service-PROJECT_NUMBER@gcp-sa-cloudbuild.iam.gserviceaccount.com" \
        --role="roles/cloudbuild.serviceAgent"
    

Se você quiser verificar qual identidade do IAM foi potencialmente responsável por gerar o problema de permissão do agente de serviço, siga estas etapas:

  1. Abra o Explorador de registros no console do Google Cloud:

    Acessar o Explorador de registros

  2. Digite o seguinte texto no campo de consulta:

    resource.type="project"
    log_name="projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Factivity"
    "service-PROJECT_NUMBER@gcp-sa-cloudbuild.iam.gserviceaccount.com"
    
  3. Se você vir alguma entrada de registro depois de usar essa consulta, verifique se alguma das ele remove permissões do agente de serviço (service-PROJECT_NUMBER@gcp-sa-cloudbuild.iam.gserviceaccount.com). Nesse caso, confira protoPayload.authenticationInfo.principalEmail nesse registro para determinar a identidade do IAM responsável por remover a permissão ou o papel roles/cloudbuild.serviceAgent que contém a permissão listada em mensagem de erro.

O gatilho falha com Couldn't read commit erro

Você verá o seguinte erro ao executar um gatilho de compilação:

  Failed to trigger build: Couldn't read commit

O Cloud Build retornará essa mensagem se você estiver tentando acionar um build usando uma ramificação que não existe. Revise os nomes dos diretórios para verificar a ortografia e a consistência. Para instruções sobre a configuração do gatilho, consulte Criar e gerenciar gatilhos de build.

Não foi possível criar o gatilho do Pub/Sub

O seguinte erro aparece ao criar um gatilho do Pub/Sub:

  Failed to create trigger: Request is prohibited by organization's policy

Esse erro indica que a API Pub/Sub está restrita no seu projeto. Projetos que restringem a API Pub/Sub limitam a capacidade de criar assinaturas de push. É possível remover temporariamente o Pub/Sub dos serviços restritos seu perímetro, crie o gatilho e restrinja a API Pub/Sub novamente para resolver o erro.

Erro ao armazenar imagens no Container Registry

Você verá algo parecido com o seguinte erro quando seu build estiver tentando armazenar imagens criadas para Container Registry:

[EMAIL_ADDRESS] does not have storage.buckets.create access to project [PROJECT_NAME]

Esse erro aparece porque a conta de serviço do build não tem o papel de administrador de armazenamento necessário para armazenar imagens de contêiner no Container Registry.

As criações falham devido a uma autorização ssh inválida

Você verá o seguinte erro ao executar uma compilação:

Could not parse ssh: [default]: invalid empty ssh-agent socket, make sure SSH_AUTH_SOCK is set

Esse erro indica um problema com a autorização SSH. Um exemplo comum é o erro de autorização SSH que ocorre ao acessar repositórios particulares do GitHub com o Cloud Build. Para instruções sobre como configurar o SSH para o GitHub, consulte Como acessar repositórios particulares do GitHub.

Os builds falham devido a um erro No route to host

Você verá o seguinte erro ou semelhante ao executar um build em um pool particular:

Unable to connect to the server: dial tcp 192.168.10.XX:<port>: connect: no route to host

O Cloud Build executa seus Cloud builders na máquina virtual do projeto gerenciado pelo Google usando os contêineres do Docker. A interface de ponte do Docker (e, consequentemente, os contêineres conectados a essa interface) recebe um intervalo de IP de 192.168.10.0/24, o que impossibilita a comunicação com os hosts externos na mesma sub-rede. Ao alocar intervalos de IP para recursos nos seus projetos durante a configuração do pool particular, recomendamos selecionar um intervalo fora de 192.168.10.0/24. Para instruções, consulte Como configurar o ambiente para pools particulares.

A conexão com o recurso externo falha porque não há um IP externo ativado

Você vai encontrar o seguinte erro ao se conectar a um recurso externo de um pool particular:

 Failed to connect to <external_domain>: Connection timed out

Os pools particulares usam IPs externos para acessar recursos públicos como repositórios externos. Ao criar ou atualizar um pool privado, marque a caixa para atribuir IPs externos ao seu pool privado piscina. Para instruções sobre como criar ou atualizar campos no seu pool particular, consulte Criar e gerenciar pools particulares.

Erro de tempo limite de E/S

Você verá o seguinte erro ao executar uma compilação:

Timeout - last error: dial tcp IP_ADDRESS: i/o timeout

Esse erro pode ocorrer quando seu build tenta acessar recursos em um ambiente na rede, mas falha. Por padrão, as versões executadas pelo Cloud Build podem acessar recursos particulares na Internet pública, como recursos em um repositório ou um registro. No entanto, os builds só podem acessar recursos em uma rede privada se você usar e configurar pools particulares para acessar a rede privada. Consulte Como usar o Cloud Build em uma rede particular.

4xx (erros de cliente)

Esse grupo de erros indica que a solicitação de versão não foi bem-sucedida devido a falha do usuário que enviou a solicitação. Veja abaixo alguns exemplos de erros de cliente 4xx:

  • **Error**: 404 : Requested entity was not found
  • **Error**: 404 : Trigger not found
  • **Error**: 400 : Failed Precondition
  • **Error**: 403 : Permission denied

Caso você veja um erro de cliente 4xx, analise os registros da versão para ver se ela contém mais informações sobre o motivo do erro. Veja algumas causas comuns dos erros do cliente:

  • O local de origem especificado não tem nada novo para confirmar, e a árvore de trabalho é limpa. Nesse caso, verifique a localização do código-fonte e tente compilar novamente.
  • Seu repositório não contém um arquivo de configuração de build. Se esse for o caso, faça upload de um arquivo de configuração da versão para seu repositório e execute a compilação novamente.
  • Você especificou um código de gatilho incorreto.
  • Você adicionou recentemente um novo repositório depois de instalar o app GitHub e O Cloud Build não tem permissões para acessar o novo repositório. Se esse for o caso, conecte seu novo repositório ao Cloud Build.
  • Você precisa conceder outra permissão à sua conta de serviço de build.

O build falha devido a restrições de cota

Você encontra o seguinte erro, que indica que um build está falhando devido a restrições de cota em uma região específica:

Failed to trigger build: generic::failed_precondition: due to quota restrictions, cannot run builds in this region. Please contact support.

Entre em contato com o Cloud Customer Care para aumentar as cotas para essa região específica. Para saber mais sobre cotas e limites, consulte Cotas e limites.

Problemas de tempo limite ao extrair imagens do registro do Docker

Você verá os seguintes erros de tempo limite no registro do Cloud Build após uma execução:

Step #0: Pulling image: python:3.8.16-alpine3.17
Step #0: Error response from daemon: Get "https://registry-1.docker.io/v2/": net/http: request canceled while waiting for connection (Client.Timeout exceeded while awaiting headers)

Step 1/7 : FROM python:3.8.16-alpine3.17
Get "https://registry-1.docker.io/v2/": dial tcp 34.205.13.154:443: i/o timeout

Para resolver o erro, faça o download da imagem Docker usando crane e carregue a imagem na imagem Docker do Cloud Build.

Adicione o snippet abaixo ao arquivo cloudbuild.yaml.

...
  # Crane runs as a regular user so we need to allow it to access the directory where it saves the image.
  - name: gcr.io/cloud-builders/docker
    args:
    - a+w
    - /workspace
    entrypoint: chmod
  # Use crane to download the image through the proxy
  - name: gcr.io/go-containerregistry/crane
    env: - 'HTTPS_PROXY=HTTPS_PROXY'
    args:
    - pull
    - 'python:3.8.16-alpine3.17'
    - /workspace/image.tar
  # Use docker load to add the image into the local Cloud Build registry
  - name: gcr.io/cloud-builders/docker
    args: [load, --input, "/workspace/image.tar"]
      - .
  • HTTPS_PROXY: o endereço do proxy HTTP (por exemplo, https://proxy.example.com:8888/).

Depois que a imagem for carregada, as etapas cloudbuid.yaml existentes devem funcionar normalmente, por exemplo,

...
  - name: python:3.8.16-alpine3.17
    args:
    - echo
    - hello
    entrypoint: bash
  # Or use it internally on a Dockerfile
  - name: gcr.io/cloud-builders/docker
    args:
    - build

Erros Unauthenticated em etapas do Docker de longa duração

Etapas de build que envolvem um comando do Docker em execução por mais de uma hora (como enviando uma imagem grande para o Artifact Registry) pode falhar com um erro de autenticação. O Cloud Build atualiza os tokens de autenticação a cada hora, mas o Docker pode não conseguem retirar esses novos tokens, o que resulta em problemas de autenticação. Você pode escrever seu próprio token com uma duração personalizada para arquivar e fazer referência a ele para comandos do Docker.

Builds na fila em um pool privado com peering para uma rede VPC

Quando você executa builds em um pool privado que tem uma rede do produtor de serviços com peering à sua rede VPC, é importante que a conexão particular entre as duas redes permanece intacta. Se você excluir a conexão particular que um pool privado dependia, você pode corrompê-lo. Isso pode aparecem como builds que permanecem na fila até atingirem o tempo limite. Portanto, Se você quiser excluir uma conexão privada, também exclua quaisquer pools particulares com uma rede do produtor de serviços conectada à sua própria VPC usando esta conexão particular.

Tentativa de aprovar ou rejeitar builds pendentes com mais de dois meses

Não é possível aprovar nem rejeitar builds pendentes com mais de dois meses. Tentando isso pode resultar em uma mensagem de erro parecida com esta:

 404, "message": "Requested entity was not
found.", "status": "NOT_FOUND" } }

Se isso ocorrer, envie um novo build.

A seguir