Résoudre les problèmes liés à Config Connector


Cette page décrit les techniques de dépannage que vous pouvez utiliser pour résoudre les problèmes liés à Config Connector et les problèmes courants que vous pouvez rencontrer lors de l'utilisation du produit.

Techniques de dépannage de base

Vérifier la version de Config Connector

Exécutez la commande suivante pour obtenir la version de Config Connector installée et faire une référence notes de version pour vérifier que la version en cours d'exécution prend en charge les fonctionnalités et les ressources que vous souhaitez utiliser:

kubectl get ns cnrm-system -o jsonpath='{.metadata.annotations.cnrm\.cloud\.google\.com/version}'

Vérifier l'état et les événements de la ressource

En règle générale, vous pouvez déterminer le problème lié à vos ressources Config Connector en inspectant l'état de vos ressources dans Kubernetes. Vérification en cours l'état et les événements d'une ressource sont particulièrement utiles pour déterminer Échec du rapprochement de la ressource par Config Connector et raison du rapprochement a échoué.

Vérifier que Config Connector est en cours d'exécution

Pour vérifier que Config Connector s'exécute, vérifiez que tous ses pods sont READY :

kubectl get pod -n cnrm-system

Exemple de résultat :

NAME                                            READY   STATUS    RESTARTS   AGE
cnrm-controller-manager-0                       1/1     Running   0          1h
cnrm-deletiondefender-0                         1/1     Running   0          1h
cnrm-resource-stats-recorder-77dc8cc4b6-mgpgp   1/1     Running   0          1h
cnrm-webhook-manager-58496b66f9-pqwhz           1/1     Running   0          1h
cnrm-webhook-manager-58496b66f9-wdcn4           1/1     Running   0          1h

Si Config Connector est installé en mode espace de noms, vous disposez d'un pod de contrôleur (cnrm-controller-manager) pour chaque espace de noms chargé de gérer les ressources Config Connector dans cet espace de noms.

Vous pouvez vérifier l'état du pod contrôleur responsable d'une en exécutant la commande suivante:

kubectl get pod -n cnrm-system \
    -l cnrm.cloud.google.com/scoped-namespace=NAMESPACE \
    -l cnrm.cloud.google.com/component=cnrm-controller-manager

Remplacez NAMESPACE par le nom de l'espace de noms.

Consulter les journaux du contrôleur

Le pod du contrôleur consigne des informations et des erreurs liées à la mise en correspondance des ressources Config Connector.

Vous pouvez consulter les journaux du pod contrôleur en exécutant la commande suivante:

kubectl logs -n cnrm-system \
    -l cnrm.cloud.google.com/component=cnrm-controller-manager \
    -c manager

Si Config Connector est installé en mode espace de noms, la commande précédente affiche les journaux de tous les pods de contrôleur combinés. Vous pouvez vérifier les journaux du pod du contrôleur pour un espace de noms spécifique en exécutant la commande suivante :

kubectl logs -n cnrm-system \
    -l cnrm.cloud.google.com/scoped-namespace=NAMESPACE \
    -l cnrm.cloud.google.com/component=cnrm-controller-manager \
    -c manager

Remplacez NAMESPACE par le nom de l'espace de noms.

Découvrez comment inspecter et interroger les journaux de Config Connector.

Abandonner et acquérir la ressource

Dans certains cas, vous devrez peut-être mettre à jour un champ immuable dans une ressource. Depuis vous ne pouvez pas modifier les champs immuables, vous devez abandonner, puis acquérir la ressource:

  1. Mettez à jour la configuration YAML de la ressource Config Connector et définissez l'annotation cnrm.cloud.google.com/deletion-policy sur abandon.
  2. Appliquez la configuration YAML mise à jour pour mettre à jour la règle de suppression de la ressource Config Connector.
  3. Abandonner Config Connector ressource.
  4. Modifiez les champs immuables qui doivent être modifiés dans la configuration YAML.
  5. Appliquez la configuration YAML mise à jour pour acquérir la ressource abandonnée.

Problèmes courants

La ressource continue de s'actualiser toutes les 5 à 15 minutes

Si votre ressource Config Connector passe constamment d'un état UpToDate à un état Updating toutes les 5 à 10 minutes, il est probable que Config Connector détecte des différences involontaires entre l'état souhaité de la ressource et son état réel, ce qui entraîne la mise à jour constante de la ressource.

Commencez par vérifier qu'aucun système externe ne modifie constamment Config Connector ou la ressource Google Cloud (par exemple, des pipelines CI/CD, des contrôleurs personnalisés, des tâches cron, etc.).

Si le comportement n'est pas dû à un système externe, vérifiez si Google Cloud modifie l'une des valeurs spécifiées dans votre ressource Config Connector. Pour Par exemple, dans certains cas, Google Cloud modifie la mise en forme majuscules) des valeurs des champs, ce qui génère une différence entre les valeurs l'état souhaité et l'état réel.

Obtenez l'état de la ressource Google Cloud à l'aide de l'API REST (pour Par exemple, par exemple, ContainerCluster). ou la Google Cloud CLI. Comparez ensuite cet état à celui de Config Connector. ressource. Recherchez les champs dont les valeurs ne correspondent pas, puis mettez à jour votre Ressource Config Connector à mettre en correspondance. Recherchez en particulier les valeurs ont été reformatés par Google Cloud. Par exemple, consultez les problèmes GitHub 578 et 294.

Notez que cette méthode n'est pas parfaite, puisque les API Config Connector et Les modèles de ressources Google Cloud sont différents, mais ils devraient vous permettre dans la plupart des cas de différences inattendues.

Si vous ne parvenez pas à résoudre votre problème, consultez la section Aide supplémentaire.

Suppressions d'espaces de noms bloquées sur "Arrêt en cours"

La suppression d'espaces de noms peut rester bloquée sur Terminating si vous avez Config Connector installé dans namespaced-mode Si l'objet ConfigConnectorContext de l'espace de noms a été supprimé avant que Les ressources Config Connector de cet espace de noms sont supprimées. Lorsque l'espace de noms ConfigConnectorContext a été supprimé, Config Connector est désactivé pour cela qui empêche les ressources Config Connector restantes d'être supprimé.

Pour résoudre ce problème, vous devez effectuer un nettoyage forcé, puis manuellement les ressources Google Cloud sous-jacentes.

Pour atténuer ce problème à l'avenir, supprimez uniquement le ConfigConnectorContext une fois que toutes les ressources Config Connector de son espace de noms ont été supprimées Kubernetes. Éviter de supprimer des espaces de noms entiers avant tous les objets Config Connector que les ressources de cet espace de noms sont supprimées ConfigConnectorContext risque d'être supprimé en premier.

Découvrez également comment la suppression d'un espace de noms contenant un projet et ses enfants ou un dossier et ses enfants peut se bloquer.

Suppressions de ressources bloquées sur "DeleteFailed" après la suppression du projet

La suppression des ressources Config Connector peut se bloquer à DeleteFailed si leur projet Google Cloud a été supprimé au préalable.

Pour résoudre ce problème, restaurez le projet sur Google Cloud pour permettre à Config Connector de supprimer les ressources enfants restantes de Kubernetes. Vous pouvez également effectuer un nettoyage forcé.

Pour atténuer ce problème à l'avenir, ne supprimez les projets Google Cloud qu'après avoir supprimé toutes leurs ressources Config Connector enfants de Kubernetes. Évitez de supprimer des espaces de noms entiers pouvant contenir à la fois un la ressource Project et ses ressources Config Connector enfants depuis le Project ressource peut être supprimée en premier.

Métadonnées Compute Engine non définies

Si l'état de votre ressource Config Connector est UpdateFailed et qu'un message indique que les métadonnées Compute Engine ne sont pas définies, cela signifie probablement que le compte de service IAM utilisé par Config Connector n'existe pas.

Exemple de message UpdateFailed:

Update call failed: error fetching live state: error reading underlying
resource: summary: Error when reading or editing SpannerInstance
"my-project/my-spanner- instance": Get
"https://spanner.googleapis.com/v1/projects/my-project/instances/my-spanner-instance?alt=json":
metadata: Compute Engine metadata "instance/service-accounts/default/token?
scopes=https%!A(MISSING)%!F(MISSING)%!F(MISSING)www.googleapis.com%!F(MISSING)auth%!F(MISSING)compute%!C(MISSING)https%!A(MISSING)%!F(MISSING)%!F(MISSING)www.googleapis.com%!F(MISSIN
G)auth%!F(MISSING)cloud-platform%!C(MISSING)https%!A(MISSING)%!F(MISSING)%!F(MISSING)www.googleapis.com%!F(MISSING)auth%!F(MISSING)cloud-identity%!C(MISSING)https%!A(MISSING)%!F(MISS
ING)%!F(MISSING)www.googleapis.com%!F(MISSING)auth%!F(MISSING)ndev.clouddns.readwrite%!C(MISSING)https%!A(MISSING)%!F(MISSING)%!F(MISSING)www.googleapis.com%!F(MISSING)auth%!F(MISSIN
G)devstorage.full_control%!C(MISSING)https%!A(MISSING)%!F(MISSING)%!F(MISSING)www.googleapis.com%!F(MISSING)auth%!F(MISSING)userinfo.email%!C(MISSING)https%!A(MISSING)%!F(MISSING)%!F
(MISSING)www.googleapis.com%!F(MISSING)auth%!F(MISSING)drive.readonly" not
defined, detail:

Pour résoudre le problème, assurez-vous que le compte de service IAM utilisé par Config Connector existe.

Pour éviter ce problème à l'avenir, assurez-vous de suivre les instructions d'installation de Config Connector.

Erreur 403 : la requête ne disposait pas d'un nombre suffisant de champs d'application d'authentification

Si l'état de votre ressource Config Connector est UpdateFailed avec un message indiquant une erreur 403 en raison d'un nombre insuffisant de champs d'application d'authentification, signifie probablement que la charge de travail Identity n'est pas activée sur votre cluster GKE.

Exemple de message UpdateFailed :

Update call failed: error fetching live state: error reading underlying
resource: summary: Error when reading or editing SpannerInstance
"my-project/my-spanner-instance": googleapi: Error 403: Request had
insufficient authentication scopes.

Pour examiner le problème, procédez comme suit :

  1. Enregistrez la configuration de pod suivante sous wi-test.yaml :

    apiVersion: v1
    kind: Pod
    metadata:
      name: workload-identity-test
      namespace: cnrm-system
    spec:
      containers:
      - image: google/cloud-sdk:slim
        name: workload-identity-test
        command: ["sleep","infinity"]
      serviceAccountName: cnrm-controller-manager
    

    Si vous avez installé Config Connector à l'aide du mode espace de noms, serviceAccountName doit être cnrm-controller-manager-NAMESPACE. Remplacez NAMESPACE par l'espace de noms que vous avez utilisé lors de la l'installation.

  2. Créez le pod dans votre cluster GKE :

    kubectl apply -f wi-test.yaml
    
  3. Ouvrez une session interactive dans le pod :

    kubectl exec -it workload-identity-test \
        --namespace cnrm-system \
        -- /bin/bash
    
  4. Affichez votre identité :

    gcloud auth list
    
  5. Vérifiez que l'identité répertoriée correspond au compte de service Google associé à vos ressources.

    Si le compte de service Compute Engine par défaut apparaît cela signifie que la fédération d'identité de charge de travail pour GKE n'est pas activée sur votre un cluster GKE et/ou un pool de nœuds.

  6. Quittez la session interactive, puis supprimez le pod de votre Cluster GKE:

    kubectl delete pod workload-identity-test \
        --namespace cnrm-system
    

Pour résoudre ce problème, utilisez un cluster GKE avec la fédération d'identité de charge de travail pour GKE est activé.

Si la même erreur s'affiche toujours sur un cluster GKE avec Fédération d'identité de charge de travail pour GKE activée. Pensez à activer également Fédération d'identité de charge de travail pour GKE sur les pools de nœuds du cluster. En savoir plus sur Activation de la fédération d'identité de charge de travail pour GKE sur un nœud existant pools de nœuds. Nous vous recommandons d'activer la fédération d'identité de charge de travail pour GKE sur tous les pools de nœuds de votre cluster, car Config Connector peut s'exécuter sur n'importe lequel d'entre eux.

403 Forbidden: L'appelant n'a pas l'autorisation. consultez la documentation sur la fédération d'identité de charge de travail pour GKE

Si l'état de votre ressource Config Connector est UpdateFailed avec un message indiquant une erreur 403 due à la fédération d'identité de charge de travail pour GKE, cela signifie probablement Le compte de service Kubernetes de Config Connector ne dispose pas des autorisations Autorisations IAM permettant d'emprunter l'identité de votre service IAM en tant qu'utilisateur de fédération d'identité de charge de travail pour GKE.

Exemple de message UpdateFailed:

Update call failed: error fetching live state: error reading underlying
resource: summary: Error when reading or editing SpannerInstance
"my-project/my-spanner- instance": Get
"https://spanner.googleapis.com/v1/projects/my-project/instances/my-spanner-instance?alt=json":
compute: Received 403 `Unable to generate access token; IAM returned 403
Forbidden: The caller does not have permission
This error could be caused by a missing IAM policy binding on the target IAM
service account.
For more information, refer to the Workload Identity Federation for GKE documentation:
  https://cloud.google.com/kubernetes-engine/docs/how-to/workload-identity#creating_a_relationship_between_ksas_and_gsas

Pour résoudre et atténuer le problème à l'avenir, consultez les instructions d'installation de Config Connector.

Erreur 403: l'appelant ne dispose pas de l'autorisation IAM

Si l'état de votre ressource Config Connector est UpdateFailed avec un message indiquant que l'appelant ne dispose pas d'une autorisation IAM, cela signifie probablement Le compte de service IAM utilisé par Config Connector ne dispose pas du paramètre l'autorisation IAM indiquée dans le message, qui est nécessaire pour gérer la ressource Google Cloud.

Exemple de message UpdateFailed :

Update call failed: error fetching live state: error reading underlying
resource: summary: Error when reading or editing SpannerInstance
"my-project/my-spanner- instance": googleapi: Error 403: Caller is missing IAM
permission spanner.instances.get on resource
projects/my-project/instances/my-spanner-instance., detail:

Si vous rencontrez toujours la même erreur après avoir accordé à votre compte de service IAM les autorisations IAM appropriées, vérifiez que votre ressource est créée dans le bon projet. Consultez le Le champ spec.projectRef de la ressource Config Connector (ou son L'annotation cnrm.cloud.google.com/project-id si la ressource n'est pas compatible avec spec.projectRef) et vérifiez que la ressource fait référence au le bon projet. Notez que Config Connector utilise le nom de l'espace de noms comme ID de projet si ni la ressource, ni l'espace de noms ne spécifient de projet cible. Découvrez comment configurer le projet cible pour les ressources de portée projet.

Si l'erreur persiste, vérifiez si la fédération d'identité de charge de travail pour GKE est sur votre cluster GKE.

Pour éviter ce problème à l'avenir, assurez-vous de suivre les instructions d'installation de Config Connector.

Version non compatible avec les installations du module complémentaire Config Connector

Si vous ne parvenez pas à activer le module complémentaire Config Connector, le message d'erreur suivant s'affiche : Node version 1.15.x-gke.x s unsupported. Pour résoudre cette erreur, vérifiez que la version du cluster GKE répond aux exigences de version et de fonctionnalité.

Pour obtenir toutes les versions valides de vos clusters, exécutez la commande suivante :

gcloud container get-server-config --format "yaml(validMasterVersions)" \
    --zone ZONE

Remplacez ZONE par la zone Compute Engine.

Choisissez une version répondant aux exigences dans la liste.

Le message d'erreur s'affiche également si Workload Identity Federation for GKE ou GKE Monitoring sont désactivés. Assurez-vous que ces fonctionnalités sont activées pour corriger l'erreur.

Impossible de modifier des champs immuables

Config Connector rejette les mises à jour de champs immuables à d'admission.

Par exemple, la mise à jour d'un champ immuable avec kubectl apply entraîne d'échouer immédiatement.

Cela signifie que les outils qui réappliquent continuellement des ressources (par exemple, GitOps) peuvent se retrouver bloqués lors de la mise à jour d'une ressource s'ils ne gèrent pas les erreurs d'admission.

Étant donné que Config Connector n'autorise pas la mise à jour des champs immuables, pour effectuer une telle mise à jour consiste à supprimer et recréer la ressource.

Erreur lors de la mise à jour des champs immuables en l'absence de mise à jour

Les erreurs suivantes peuvent s'afficher dans l'état de Config Connector ressource peu de temps après la création ou l'acquisition d'une ressource Google Cloud à l'aide de Config Connector:

  • Update call failed: error applying desired state: infeasible update: ({true \<nil\>}) would require recreation (exemple)

  • Update call failed: cannot make changes to immutable field(s) (exemple)

Cela ne signifie peut-être pas que vous avez effectivement mis à jour la ressource, mais que la raison peut-être que l'API Google Cloud a modifié un champ immuable que vous gérez dans la ressource Config Connector. Cela a entraîné un décalage entre l'état souhaité et l'état réel des champs immuables.

Vous pouvez résoudre le problème en mettant à jour les valeurs de ces champs immuables dans la ressource Config Connector pour qu'elle corresponde à l'état actuel. Pour y parvenir, vous devez procédez comme suit:

  1. Mettez à jour la configuration YAML de la ressource Config Connector et définissez l'annotation cnrm.cloud.google.com/deletion-policy sur abandon.
  2. Appliquez la configuration YAML mise à jour pour mettre à jour Config Connector la règle de suppression d'une ressource.
  3. Abandonnez la ressource Config Connector.
  4. afficher l'état actuel de la ressource Google Cloud correspondante ; à l'aide de gcloud CLI.
  5. Recherchez l'incohérence entre la sortie de la ligne de commande gcloud et la configuration YAML de la ressource Config Connector, puis mettez à jour ces champs dans la configuration YAML.
  6. Appliquez la configuration YAML mise à jour acquérir la ressource abandonnée.

La ressource n'a pas d'état

Si vos ressources ne comportent pas de champ status, il est probable que Config Connector ne fonctionne pas correctement. Vérifiez que Config Connector est en cours d'exécution.

Aucun résultat pour le genre "Foo"

Lorsque cette erreur se produit, cela signifie que votre cluster Kubernetes ne l'objet CRD pour le genre de ressource Foo doit être installé.

Vérifiez que le type est un type de ressource compatible avec Config Connector.

Si le genre est compatible, cela signifie que votre installation Config Connector est obsolètes ou non valides.

Si vous avez installé Config Connector à l'aide du module complémentaire GKE, votre installation devrait être mise à niveau automatiquement. Si vous avez installé Config Connector manuellement, vous devez effectuer une mise à niveau manuelle.

Consultez le dépôt GitHub pour déterminer les types de ressources compatibles avec les versions de Config Connector (par exemple, voici les types compatibles avec Config Connector v1.44.0).

Les libellés ne sont pas propagés vers la ressource Google Cloud.

Config Connector propage les étiquettes trouvées dans metadata.labels au sous-réseau ressource Google Cloud. Notez toutefois que les services Google Cloud sont compatibles avec les étiquettes. Consultez la documentation de l'API REST de la ressource (par exemple, voici la documentation de l'API PubSubTopic) pour savoir si elle est compatible avec les libellés.

Échec de l'appel du webhook x509 : le certificat s'appuie sur l'ancien champ "Nom commun"

Si une erreur semblable à l'exemple suivant s'affiche, vous rencontrez peut-être un problème avec les certificats :

Error from server (InternalError): error when creating "/mnt/set-weaver-dns-record.yml": Internal error occurred: failed calling webhook "annotation-defaulter.cnrm.cloud.google.com": Post "https://cnrm-validating-webhook.cnrm-system.svc:443/annotation-defaulter?timeout=30s": x509: certificate relies on legacy Common Name field, use SANs or temporarily enable Common Name matching with GODEBUG=x509ignoreCN=0

Pour contourner ce problème, supprimez les pods et les certificats appropriés:

kubectl delete -n cnrm-system secrets cnrm-webhook-cert-abandon-on-uninstall
kubectl delete -n cnrm-system secrets cnrm-webhook-cert-cnrm-validating-webhook
kubectl delete -n cnrm-system pods -l "cnrm.cloud.google.com/component=cnrm-webhook-manager"

Une fois ces ressources supprimées, le certificat approprié est régénéré.

Pour en savoir plus sur cette erreur, consultez la Problème GitHub.

Erreur due à des caractères spéciaux dans le nom de la ressource

Les caractères spéciaux ne sont pas valides dans le champ Kubernetes metadata.name. Si vous rencontrez une erreur semblable à l'exemple suivant, le Le champ metadata.name de la ressource comporte probablement une valeur comportant des caractères spéciaux:

a lowercase RFC 1123 subdomain must consist of lower case alphanumeric characters, '-' or '.', and must start and end with an alphanumeric character (e.g. 'example.com', regex used for validation is '[a-z0-9]([-a-z0-9]*[a-z0-9])?(\.[a-z0-9]([-a-z0-9]*[a-z0-9])?)*')

Par exemple : SQLUser La ressource contient un caractère non valide dans metadata.name:

apiVersion: sql.cnrm.cloud.google.com/v1beta1
kind: SQLUser
metadata:
  name: test.example@example-project.iam
spec:
  instanceRef:
    name: test-cloudsql-db
  type: "CLOUD_IAM_USER"

Si vous essayez de créer cette ressource, vous obtenez l'erreur suivante:

Error from server (Invalid): error when creating "sqlusercrd.yaml": SQLUser.sql.cnrm.cloud.google.com "test.example@example-project.iam" is invalid: metadata.name: Invalid value: "test.example@example-project.iam": a lowercase RFC 1123 subdomain must consist of lower case alphanumeric characters, '-' or '.', and must start and end with an alphanumeric character (e.g. 'example.com', regex used for validation is '[a-z0-9]([-a-z0-9]*[a-z0-9])?(\.[a-z0-9]([-a-z0-9]*[a-z0-9])?)*')

Si vous souhaitez attribuer à votre ressource un nom qui n'est pas un nom Kubernetes valide, mais un nom de ressource Google Cloud valide, vous pouvez utiliser le champ resourceID, comme illustré dans l'exemple suivant :

apiVersion: sql.cnrm.cloud.google.com/v1beta1
kind: SQLUser
metadata:
  name: 'test'
spec:
  instanceRef:
    name: sqlinstance-sample-postgresql
  host: "%"
  type: CLOUD_IAM_USER
  resourceID: test.example@example-project.iam

Cette configuration oblige Config Connector à utiliser resourceID au lieu de metadata.name comme nom de ressource.

Impossible de supprimer des champs de la spécification de ressource

Supprimer un champ de la spécification d'une ressource Config Connector (en mettant à jour le champ fichier .yaml de la ressource et en réappliquer, ou en utilisant kubectl edit pour modifier la spécification des ressources) ne supprime pas ce champ du champ Spécification de la ressource Config Connector ou ressource Google Cloud sous-jacente. En revanche, supprimer un champ de la spécification le rend simplement géré en externe.

Si vous souhaitez définir la valeur d'un champ sur vide ou par défaut dans la ressource Google Cloud sous-jacente, vous devez définir le champ sur zéro dans la spécification de ressource Config Connector :

  • Pour le champ de type liste, définissez le champ sur une liste vide à l'aide de [].

    L'exemple suivant montre le champ targetServiceAccounts que nous souhaitons supprimer :

    spec:
      targetServiceAccounts:
        - external: "foo-bar@foo-project.iam.gserviceaccount.com"
        - external: "bar@foo-project.iam.gserviceaccount.com"
    

    Pour supprimer ce champ, définissez la valeur sur vide :

    spec:
      targetServiceAccounts: []
    
  • Pour le champ de type primitif, définissez-le sur vide à l'aide de l'une des méthodes suivantes :

    Type Valeur vide
    chaîne ""
    Bool "faux"
    entier 0

    L'exemple suivant montre le champ identityNamespace que nous souhaitons supprimer :

    spec:
      workloadIdentityConfig:
        identityNamespace: "foo-project.svc.id.goog"
    

    Pour supprimer ce champ, définissez la valeur sur vide :

    spec:
      workloadIdentityConfig:
        identityNamespace: ""
    
  • Pour les champs de type "Objet", Config Connector ne propose actuellement aucun moyen simple Définissez un champ de type d'objet entier sur "NULL". Vous pouvez essayer de définir les sous-champs du type d'objet comme vides ou par défaut en suivant les instructions ci-dessus, puis vérifier si cela fonctionne.

KNV2005: le synchroniseur met à jour la ressource de manière excessive

Si vous utilisez Config Sync et vous les erreurs de détection KNV2005 erreurs pour ressources Config Connector, il est probable que Config Sync et Config Connector se disputent la ressource.

Exemple de message de journal:

KNV2005: detected excessive object updates, approximately 6 times per
minute. This may indicate Config Sync is fighting with another controller over
the object.

Config Sync et Config Connector sont considérés comme des éléments contradictoires sur une ressource s'ils continuent de mettre à jour les mêmes champs avec des valeurs différentes. Mise à jour One déclenche l'action de l'autre utilisateur et la mise à jour de la ressource, ce qui amène l'autre à agir, mettre à jour la ressource, etc.

Les combats ne sont pas un problème pour la plupart des domaines. Les champs spécifiés dans Config Sync ne change pas par Config Connector, contrairement aux champs qui ne le sont pas. spécifiées dans Config Sync et définies par défaut par Config Connector sont ignorées par Config Sync Par conséquent, pour la plupart des champs, Config Sync et Config Connector ne doit jamais mettre à jour le même champ avec des valeurs différentes valeurs.

à l'exception des champs de liste. De la même manière que Config Connector sous-champs par défaut des champs d'objet, Config Connector peut aussi dans des objets à l'intérieur de listes. Toutefois, étant donné que les champs sont listés dans Config Connector, ressources sont atomiques, la valeur par défaut des sous-champs est considérée comme la modification de la liste.

Par conséquent, Config Sync et Config Connector finiront par se battre si Config Sync définit un champ de liste et que Config Connector définit par défaut des sous-champs dans cette liste.

Pour contourner ce problème, vous disposez des options suivantes:

  1. Mettez à jour le fichier manifeste de la ressource dans le dépôt Config Sync en fonction des éléments Config Connector tente de définir la ressource sur.

    Pour ce faire, vous pouvez arrêter temporairement la synchronisation de configuration, d'attendre que Config Connector ait rapproché la ressource, puis Mettre à jour le fichier manifeste de la ressource pour qu'il corresponde à la ressource de l'API Kubernetes Google Cloud.

  2. Empêcher Config Sync de réagir aux mises à jour de la ressource sur le le serveur d'API Kubernetes en définissant l'annotation De client.lifecycle.config.k8s.io/mutation à ignore. Découvrez comment ignorer les mutations d'objets avec Config Sync.

  3. Empêchez Config Connector de mettre à jour entièrement la spécification de la ressource en définissant l'annotation cnrm.cloud.google.com/state-into-spec sur absent sur la ressource. Cette annotation n'est pas compatible avec toutes les ressources. Pour savoir si votre prend en charge l'annotation, vérifiez page de référence des ressources. En savoir plus sur l'annotation

failed calling webhook

Il est possible que Config Connector soit dans un état où vous ne pouvez pas le désinstaller. Cela se produit généralement lors de l'utilisation du module complémentaire Config Connector et de la désactivation Config Connector avant supprimer les objets CRD Config Connector. Lorsque vous tentez de la désinstaller, un message d'erreur semblable à celui-ci s'affiche:

error during reconciliation: error building deployment objects: error finalizing the deletion of Config Connector system components deployed by ConfigConnector controller: error waiting for CRDs to be deleted: error deleting CRD accesscontextmanageraccesslevels.accesscontextmanager.cnrm.cloud.google.com: Internal error occurred: failed calling webhook "abandon-on-uninstall.cnrm.cloud.google.com": failed to call webhook: Post "https://abandon-on-uninstall.cnrm-system.svc:443/abandon-on-uninstall?timeout=3s": service "abandon-on-uninstall" not found

Pour résoudre cette erreur, vous devez d'abord supprimer manuellement les webhooks :

kubectl delete validatingwebhookconfiguration abandon-on-uninstall.cnrm.cloud.google.com --ignore-not-found --wait=true
kubectl delete validatingwebhookconfiguration validating-webhook.cnrm.cloud.google.com --ignore-not-found --wait=true
kubectl delete mutatingwebhookconfiguration mutating-webhook.cnrm.cloud.google.com --ignore-not-found --wait=true

Vous pouvez ensuite désinstaller Config Connector.

Erreur de mise à jour concernant IAMPolicy, IAMPartialPolicy et IAMPolicyMember

Si vous supprimez une ressource IAMServiceAccount Config Connector avant de nettoyer les ressources IAMPolicy, IAMPartialPolicy et IAMPolicyMember qui dépendent de ce compte de service, Config Connector ne peut pas localiser le compte de service référencé dans ces ressources IAM lors de la mise en correspondance. L'état UpdateFailed est alors renvoyé avec un message d'erreur semblable à celui-ci :

Update call failed: error setting policy member: error applying changes: summary: Request `Create IAM Members roles/[MYROLE] serviceAccount:[NAME]@[PROJECT_ID].iam.gserviceaccount.com for project \"projects/[PROJECT_ID]\"` returned error: Error applying IAM policy for project \"projects/[PROJECT_ID]\": Error setting IAM policy for project \"projects/[PROJECT_ID]\": googleapi: Error 400: Service account [NAME]@[PROJECT_ID].iam.gserviceaccount.com does not exist., badRequest

Pour résoudre ce problème, vérifiez vos comptes de service et vérifiez si le compte de service requis pour ces ressources IAM a été supprimé. Si le compte de service est supprimé, nettoyez également les ressources IAM Config Connector associées. Pour IAMPolicyMember, supprimez l'intégralité de la ressource. Pour IAMPolicy et IAMParitialPolicy, ne supprimez que les liaisons qui impliquent le compte de service supprimé. Toutefois, ce nettoyage ne supprime pas immédiatement les liaisons de rôle Google Cloud. Les liaisons de rôles Google Cloud sont conservées pendant 60 jours en raison de la conservation appliquée au compte de service supprimé. Pour en savoir plus, consultez la documentation Google Cloud IAM sur la suppression d'un compte de service.

Pour éviter ce problème, vous devez toujours nettoyer les ressources IAMPolicy, IAMPartialPolicy et IAMPolicyMember Config Connector avant de supprimer le IAMServiceAccount référencé.

Ressource supprimée par Config Connector

Config Connector ne supprime jamais vos ressources sans cause externe. Par exemple, vous pouvez exécuter kubectl delete à l'aide d'outils de gestion de la configuration tels que Argo CD ou l'utilisation d'un client API personnalisé peut entraîner la suppression de ressources.

Une idée fausse courante est que Config Connector a lancé et supprimé certaines des ressources de votre cluster. Par exemple, si vous utilisez Config Connector, peut remarquer des requêtes de suppression du gestionnaire de contrôleurs Config Connector certaines ressources depuis les messages de journal de conteneurs ou le cluster Kubernetes les journaux d'audit. Ces requêtes de suppression sont le résultat de déclencheurs externes, et Config Connector tente de les concilier.

Pour déterminer pourquoi une ressource a été supprimée, vous devez examiner la première requête de suppression envoyée à la ressource correspondante. La La meilleure façon de procéder est d'examiner les journaux d'audit du cluster Kubernetes.

Par exemple, si vous utilisez GKE, vous pouvez utiliser Cloud Logging pour interroger des données, les journaux d'audit du cluster GKE. Par exemple, si vous souhaitez rechercher les requêtes de suppression initiales d'une ressource BigQueryDataset nommée foo dans l'espace de noms bar, exécutez une requête comme celle-ci :

resource.type="k8s_cluster"
resource.labels.project_id="my-project-id"
resource.labels.cluster_name="my-cluster-name"
protoPayload.methodName="com.google.cloud.cnrm.bigquery.v1beta1.bigquerydatasets.delete"
protoPayload.resourceName="bigquery.cnrm.cloud.google.com/v1beta1/namespaces/bar/bigquerydatasets/foo"

À l'aide de cette requête, vous recherchez la première requête de suppression, puis vérifiez la valeur authenticationInfo.principalEmail de ce message de journal de suppression pour déterminer la cause de la suppression.

Arrêt du pod du contrôleur en raison de l'arrêt OOMKille

Si une erreur OOMKilled s'affiche sur un pod de contrôleur Config Connector, cela signifie que un conteneur ou le pod entier a été arrêté, car la mémoire utilisée était supérieure à la limite autorisée. Vous pouvez le vérifier en exécutant la commande kubectl describe. L'état du pod peut être OOMKilled ou Terminating. En outre, l'examen des journaux des événements du pod peut révéler toute occurrence d'événements liés à l'OOM.

kubectl describe pod POD_NAME -n cnrm-system

Remplacez POD_NAME par le pod que vous essayez de résoudre.

Pour résoudre ce problème, vous pouvez utiliser la ressource personnalisée ControllerResource pour augmenter la demande de mémoire et la limite de mémoire du pod.

PodSecurityPolicy empêche les mises à niveau

Après Passer du module complémentaire Config Connector à une installation manuelle et à la mise à niveau de Config Connector vers une nouvelle version, l'utilisation de PodSecurityPolicies peut empêcher la mise à jour des pods cnrm.

Pour confirmer que les PodSecurityPolicies empêchent votre mise à niveau, vérifiez les événements de config-connector-operator et recherchez une erreur semblable à celle-ci :

create Pod configconnector-operator-0 in StatefulSet configconnector-operator failed error: pods "configconnector-operator-0" is forbidden: PodSecurityPolicy: unable to admit pod: [pod.metadata.annotations[seccomp.security.alpha.kubernetes.io/pod]: Forbidden: seccomp may not be set pod.metadata.annotations[container.seccomp.security.alpha.kubernetes.io/manager]: Forbidden: seccomp may not be set]

Pour résoudre ce problème, vous devez Spécifier l'annotation sur la règle PodSecurityPolicy qui correspond à l'annotation mentionnée dans l'erreur. Dans Dans l'exemple précédent, l'annotation est seccomp.security.alpha.kubernetes.io.

Nettoyage forcé

Si la suppression de vos ressources Config Connector est bloquée et que vous souhaitez simplement vous en débarrasser de votre cluster Kubernetes, vous pouvez forcer leur suppression en supprimant leurs finaliseurs.

Vous pouvez supprimer les finaliseurs d'une ressource en la modifiant à l'aide de kubectl edit, en supprimant le champ metadata.finalizers, puis en enregistrant le fichier pour conserver vos modifications apportées au serveur d'API Kubernetes.

Étant donné que la suppression des finaliseurs d'une ressource permet de la supprimer immédiatement du cluster Kubernetes, Config Connector peut (mais pas nécessairement) ne pas avoir la possibilité de terminer la suppression de la ressource Google Cloud sous-jacente. Cela signifie que vous pouvez supprimer manuellement vos ressources Google Cloud par la suite.

Surveillance

Métriques

Vous pouvez utiliser Prometheus pour collecter et afficher des métriques à partir de Config Connector.

Journalisation

Tous les pods Config Connector génèrent des journaux structurés au format JSON.

Les journaux des pods contrôleurs sont particulièrement utiles pour déboguer les problèmes de rapprochement des ressources.

Vous pouvez interroger les journaux de ressources spécifiques en filtrant les champs suivants dans les messages de journal :

  • logger: contient le genre de la ressource en minuscules. Par exemple, le logger des ressources PubSubTopic est pubsubtopic-controller.
  • resource.namespace : contient l'espace de noms de la ressource.
  • resource.name: contient le nom de la ressource.

Utiliser Cloud Logging pour les requêtes de journaux avancées

Si vous utilisez GKE, Cloud Logging vous permet d'interroger les journaux d'une ressource spécifique à l'aide la requête suivante:

# Filter to include only logs coming from the controller Pods
resource.type="k8s_container"
resource.labels.container_name="manager"
resource.labels.namespace_name="cnrm-system"
labels.k8s-pod/cnrm_cloud_google_com/component="cnrm-controller-manager"

# Filter to include only logs coming from a particular GKE cluster
resource.labels.cluster_name="GKE_CLUSTER_NAME"
resource.labels.location="GKE_CLUSTER_LOCATION"

# Filter to include only logs for a particular Config Connector resource
jsonPayload.logger="RESOURCE_KIND-controller"
jsonPayload.resource.namespace="RESOURCE_NAMESPACE"
jsonPayload.resource.name="RESOURCE_NAME"

Remplacez les éléments suivants :

  • GKE_CLUSTER_NAME par le nom du cluster GKE exécutant Config Connector
  • GKE_CLUSTER_LOCATION par l'emplacement du cluster GKE exécutant Config Connector. Exemple :us-central1
  • RESOURCE_KIND avec le type de la ressource en minuscules. Par exemple, pubsubtopic.
  • RESOURCE_NAMESPACE par l'espace de noms de la ressource.
  • RESOURCE_NAME par le nom de la ressource.

Aide supplémentaire

Pour obtenir de l'aide supplémentaire, vous pouvez signaler un problème sur GitHub ou contactez l'assistance Google Cloud.