Risolvi i problemi di Cloud Functions (2nd gen)
Questo documento illustra come risolvere i messaggi di errore problemi durante l'utilizzo di Cloud Functions (2nd gen).
Deployment
Questa sezione elenca i problemi che potresti riscontrare durante il deployment e fornisce suggerimenti su come risolverli. Molti dei problemi che potresti riscontrare durante il deployment sono correlati ai ruoli autorizzazioni o configurazione errata.
L'utente non dispone delle autorizzazioni per l'account di servizio di runtime durante il deployment di una funzione
Ogni funzione è associata a un account di servizio che funge da identità.
quando la funzione accede ad altre risorse. Questo runtime
di servizio possono essere
l'account di servizio predefinito
o un account di servizio gestito dall'utente. In ambienti
in cui più funzioni accedono a risorse diverse, è una pratica
di usare per funzione
identità
con account di servizio di runtime denominati invece che con il servizio di runtime predefinito
(PROJECT_NUMBER-compute@developer.gserviceaccount.com
).
Per utilizzare un account di servizio di runtime, l'utente che esegue il deployment deve avere
iam.serviceAccounts.actAs
per quell'account di servizio. Un utente che
un account di servizio di runtime non predefinito viene concesso automaticamente
ma ad altri utenti che eseguono il deployment questa autorizzazione deve essere concessa da un utente.
Assegna l'autorizzazione iam.serviceAccounts.actAs
all'account di servizio di runtime
per l'utente con il Visualizzatore progetto, lo sviluppatore Cloud Functions oppure
Amministratore di Cloud Functions.
Il messaggio di errore
Console
You must have the iam.serviceAccounts.actAs permission on the selected service account. To obtain this permission, you can grant a role that includes it like the Service Account User role, on the project.
gcloud
Account di servizio predefinito:
ERROR: (gcloud.functions.deploy) ResponseError: status=[403], code=[Ok], message=[Caller is missing permission 'iam.serviceaccounts.actAs' on service account projects/-/serviceAccounts/PROJECT_NUMBER-compute@developer.gserviceaccount.com.Grant the role 'roles/iam.serviceAccountUser' to the caller on the service account projects/-/serviceAccounts/PROJECT_NUMBER-compute@developer.gserviceaccount.com.You can do that by running 'gcloud iam service-accounts add-iam-policy-binding projects/-/serviceAccounts/PROJECT_NUMBER-compute@developer.gserviceaccount.com --member MEMBER --role roles/iam.serviceAccountUser'where MEMBER has a prefix like 'user:' or 'serviceAccount:'
Account di servizio non predefinito:
ERROR: (gcloud.functions.deploy) ResponseError: status=[403], code=[Ok], message=[Caller is missing permission 'iam.serviceaccounts.actAs' on service account projects/-/serviceAccounts/
SERVICE_ACCOUNT_NAME@PROJECT_ID
.iam.gserviceaccount.com.Grant the role 'roles/iam.serviceAccountUser' to the caller on the service account projects/-/serviceAccounts/
SERVICE_ACCOUNT_NAME@PROJECT_ID
.iam.gserviceaccount.com.You can do that by running 'gcloud iam service-accounts add-iam-policy-binding projects/-/serviceAccounts/
SERVICE_ACCOUNT_NAME@PROJECT_ID
.iam.gserviceaccount.com --member MEMBER --role roles/iam.serviceAccountUser'where MEMBER has a prefix like 'user:' or 'serviceAccount:'
La soluzione
Assegna l'utente,
il ruolo Utente account di servizio (roles/iam.serviceAccountUser
) per l'account di servizio di runtime predefinito o non predefinito. Questo ruolo include l'autorizzazione iam.serviceAccounts.actAs
.
L'account di servizio del deployment non dispone delle autorizzazioni Pub/Sub durante il deployment di una funzione basata su eventi
Il servizio Cloud Functions utilizza il servizio dell'agente di servizio Cloud Functions
account (service-PROJECT_NUMBER@gcf-admin-robot.iam.gserviceaccount.com
)
quando si eseguono azioni amministrative. Per impostazione predefinita, a questo account è assegnato il
Ruolo cloudfunctions.serviceAgent
di Cloud Functions. Per eseguire il deployment
funzioni basate su eventi,
il servizio Cloud Functions deve accedere a Pub/Sub
per configurare argomenti e sottoscrizioni. Se cambi il ruolo assegnato al servizio
senza concedere le autorizzazioni appropriate,
il servizio Cloud Functions non può accedere a Pub/Sub e al deployment
non riesce.
Il messaggio di errore
Console
Validation failed for trigger projects/PROJECT_ID/locations/LOCATION/triggers/FUNCTION_NAME-EVENTARC_ID: Permission "iam.serviceAccounts.ActAs" denied on "EndUserCredentials to PROJECT_NUMBER-compute@developer.gserviceaccount.com"
gcloud
ERROR: (gcloud.functions.deploy) ResponseError: status=[403], code=[Ok], message=[Validation failed for trigger projects/test-project-356312/locations/LOCATION/triggers/FUNCTION_NAME-EVENTARC_ID: Permission "iam.serviceAccounts.ActAs" denied on "EndUserCredentials to PROJECT_NUMBER-compute@developer.gserviceaccount.com"]
La soluzione
Puoi reimpostare il tuo account di servizio al ruolo predefinito cloudfunctions.serviceAgent.
L'account di servizio di runtime predefinito non esiste
Se non specifichi un servizio di runtime gestito dall'utente account, Cloud Functions (2nd gen) utilizza il servizio di computing predefinito dell'account di servizio di account di servizio di runtime. I deployment non riescono se elimini l'account predefinito senza specificare un account gestito dall'utente.
Il messaggio di errore
gcloud
ERROR: (gcloud.functions.deploy) ResponseError: status=[404], code=[Ok], message=[Service account projects/-/serviceAccounts/PROJECT_NUMBER-compute@developer.gserviceaccount.com was not found.]
La soluzione
Per risolvere il problema, segui una delle seguenti soluzioni:
Specifica un valore account di servizio di runtime gestito dall'utente prima di eseguire il deployment della funzione.
Annulla l'eliminazione dell'account di servizio in base all'ID numerico dell'account di servizio predefinito.
All'account di servizio dell'agente di servizio Cloud Functions mancano le autorizzazioni del bucket di progetto durante il deployment di una funzione
Le funzioni Cloud Functions possono essere attivate solo da
eventi dai bucket Cloud Storage
lo stesso progetto Google Cloud Platform. Inoltre, il servizio Cloud Functions
Account di servizio agente
(service-PROJECT_NUMBER@gcf-admin-robot.iam.gserviceaccount.com
)
richiede un ruolo cloudfunctions.serviceAgent
nel tuo progetto.
Il messaggio di errore
Console
ERROR: (gcloud.functions.deploy) ResponseError: status=[403], code=[Ok], message=[Validation failed for trigger projects/PROJECT_ID/locations/LOCATION/triggers/FUNCTION_NAME-EVENTARC_ID: Permission "iam.serviceAccounts.ActAs" denied on "EndUserCredentials to PROJECT_NUMBER-compute@developer.gserviceaccount.com"]
gcloud
ERROR: (gcloud.functions.deploy) ResponseError: status=[403], code=[Ok], message=[Validation failed for trigger projects/<project-id>/locations/LOCATION/triggers/FUNCTION_NAME-EVENTARC_ID: Permission "iam.serviceAccounts.ActAs" denied on "EndUserCredentials to PROJECT_NUMBER-compute@developer.gserviceaccount.com"]
La soluzione
Per risolvere il problema, reimposta questo account di servizio al ruolo predefinito.
L'utente con il ruolo di Editor di progetto non può rendere pubblica una funzione
Il ruolo Editor di progetto dispone di ampie autorizzazioni per gestire le risorse all'interno di un progetto, ma non concede intrinsecamente la possibilità di rendere pubblico Cloud Functions. L'utente o il servizio che esegue il deployment della funzione richiede
l'autorizzazione run.services.setIamPolicy
.
Il messaggio di errore
gcloud
ERROR: (gcloud.run.services.add-iam-policy-binding) PERMISSION_DENIED: Permission 'run.services.setIamPolicy' denied on resource 'projects/PROJECT_ID/locations/LOCATION/functions/FUNCTION_NAME' (or resource may not exist).
La soluzione
Puoi:
Assegna al deployer Proprietario progetto o Ruolo Amministratore Cloud Functions.
Concedi l'autorizzazione manualmente creando un ruolo personalizzato.
Verifica che al progetto sia applicata in modo forzato la condivisione limitata al dominio.
Il deployment delle funzioni non riesce quando si utilizza il criterio dell'organizzazione per la restrizione sulla località delle risorse
Se la tua organizzazione utilizza una località delle risorse vincolo limita il deployment delle funzioni nelle regioni limitate dal . Nella console Google Cloud, la regione con restrizioni non sarà disponibile il menu a discesa della regione durante il deployment di una funzione.
Il messaggio di errore
gcloud
ResponseError: status=[400], code=[Ok], message=["LOCATION" violates constraint "constraints/gcp.resourceLocations" on the resource "projects/PROJECT_ID/locations/LOCATION/functions/FUNCTION_NAME".]
La soluzione
Puoi aggiungere o rimuovere sedi da allowed_values
o denied_values
di un vincolo di località delle risorse adatte al deployment riuscito.
Il deployment della funzione non riesce durante l'esecuzione dell'ambito globale della funzione
Questo errore indica un problema con il codice. Il deployment pipeline ha terminato il deployment della funzione, ma non è riuscita nell'ultimo passaggio, l'invio un controllo di integrità della funzione. Questo controllo di integrità è pensato per eseguire l'ambito globale della funzione, che potrebbero generare un'eccezione, un arresto anomalo o un timeout. Ambito globale è la fase in cui solitamente carichi nelle librerie e inizializzi i client.
Il messaggio di errore
Nei log di Cloud Logging:
Could not create or update Cloud Run service FUNCTION_NAME, Container Healthcheck failed. Revision REVISION_NAMEE is not ready and cannot serve traffic. The user-provided container failed to start and listen on the port defined provided by the PORT=8080 environment variable. Logs for this revision might contain more information.
La soluzione
Per risolvere il problema, segui una delle seguenti soluzioni:
Per un messaggio di errore più dettagliato, esamina la query log di build e la chiave log del runtime.
Se non è chiaro perché la funzione non sia riuscita a eseguire il suo ambito globale, considera lo spostamento temporaneo del codice nella chiamata della richiesta utilizzando inizializzazione lazy delle variabili globali. Ciò ti consente di aggiungere ulteriori istruzioni di log per le librerie client, la creazione di un'istanza (soprattutto se chiama altre e servizi), arresti anomali o generazione di eccezioni del tutto.
Inoltre, prova ad aumentare il timeout della funzione. Limiti di timeout più lunghi in Cloud Functions (2ª generazione) offre più spazio per l'inizializzazione e più un'allocazione scalabile delle risorse in un ambiente Cloud Run, per mitigare questo problema se causato da esaurimento delle risorse.
Il codice sorgente deve contenere una funzione punto di ingresso correttamente specificato nel deployment, tramite console o gcloud.
L'utente con il ruolo Visualizzatore non può eseguire il deployment di una funzione
Gli utenti con il ruolo Visualizzatore progetto o Visualizzatore Cloud Functions hanno Accesso in sola lettura alle funzioni e ai relativi dettagli e non può eseguire il deployment nuove funzioni. La funzionalità Crea funzione non è selezionabile Console Google Cloud con il seguente errore:
Il messaggio di errore
gcloud
ERROR: (gcloud.functions.deploy) ResponseError: status=[403], code=[Ok], message=[Permission 'cloudfunctions.functions.generateUploadUrl' denied on 'projects/PROJECT_ID/locations/LOCATION/functions']
La soluzione
Assegna il ruolo utente Sviluppatore Cloud Functions.
Autorizzazioni mancanti per l'account di servizio di Build
Il messaggio di errore
Nell'errore di deployment della funzione o nei log di build, potresti vedere uno dei i seguenti errori:
The service account running this build does not have permission to write logs. To fix this, grant the Logs Writer (roles/logging.logWriter) role to the service account.
Step #0 - "fetch": failed to Fetch: failed to download archive gs://gcf-v2-sources-PROJECT_NUMBER-LOCATION/FUNCTION_NAME/version-VERSION_NUMBER/function-source.zip: Access to bucket gcf-v2-sources-PROJECT_NUMBER-LOCATION denied. You must grant Storage Object Viewer permission to PROJECT_NUMBER-compute@developer.gserviceaccount.com.
Step #2 - "build": ERROR: failed to create image cache: accessing cache image "LOCATION-docker.pkg.dev/PROJECT/gcf-artifacts/FUNCTION_NAME/cache:latest": connect to repo store "LOCATION-docker.pkg.dev/PROJECT/gcf-artifacts/FUNCTION_NAME/cache:latest": GET https://LOCATION-docker.pkg.dev/v2/token?scope=repository%3APROJECT%2Fgcf-artifacts%2FFUNCTION_NAME%2Fcache%3Apull&service=: DENIED: Permission "artifactregistry.repositories.downloadArtifacts" denied on resource "projects/PROJECT/locations/LOCATION/repositories/gcf-artifacts" (or it may not exist)
Could not build the function due to a missing permission on the build service account. If you didn't revoke that permission explicitly, this could be caused by a change in the organization policies.
La soluzione
L'account di servizio di build richiede l'autorizzazione per leggere dal bucket di origine e le autorizzazioni di lettura e scrittura per il repository Artifact Deployment. Puoi riscontra questo errore a causa di una modifica nel comportamento predefinito del Cloud Build utilizza gli account di servizio, descritti in Modifica dell'account di servizio Cloud Build.
Per risolvere il problema, utilizza una delle seguenti soluzioni:
- Crea un account di servizio di Build personalizzato per i deployment delle funzioni.
- Aggiungi il parametro
Ruolo Account di servizio Cloud Build
(
roles/cloudbuild.builds.builder
) all'account di servizio Compute predefinito. - Rivedi le indicazioni di Cloud Build sulle modifiche all'account di servizio predefinito e disattivare queste modifiche.
Account di servizio di Build disabilitato
Il messaggio di errore
Could not build the function due to disabled service account used by Cloud Build. Please make sure that the service account is active.
La soluzione
L'account di servizio di build deve essere abilitato per poter eseguire il deployment di una funzione. Potresti riscontrare questo errore a causa di una modifica nel comportamento predefinito del modo in cui Cloud Build utilizza gli account di servizio, descritti in Modifica dell'account di servizio Cloud Build.
Per risolvere il problema, utilizza una delle seguenti soluzioni:
- Crea un account di servizio di Build personalizzato per i deployment delle funzioni.
- Abilita l'account di servizio Compute predefinito.
- Rivedi le indicazioni di Cloud Build sulle modifiche all'account di servizio predefinito e disattivare queste modifiche.
Pubblicazione
In questa sezione sono elencati i problemi di pubblicazione che potresti riscontrare suggerimenti su come risolverli.
Errore di autorizzazione di pubblicazione a causa della funzione che richiede l'autenticazione
Funzioni HTTP senza abilitata l'opzione Consenti chiamate non autenticate, limita l'accesso agli utenti finali e agli account di servizio che non dispongono autorizzazioni. Questo errore indica che il chiamante non dispone dell'autorizzazione per richiamare il personalizzata.
Il messaggio di errore
Codice di risposta di errore HTTP: 403 accesso negato
Corpo della risposta di errore HTTP:
Error: Forbidden Your client does not have permission
to get URL /FUNCTION_NAME from this server.
La soluzione
Per risolvere il problema, segui una delle seguenti soluzioni:
Assegna all'utente il ruolo Invoker Cloud IAM di Cloud Run. per la funzione specifica.
Esegui di nuovo il deployment della funzione per consentire chiamate non autenticate, se questa funzionalità è supportata dalla tua organizzazione. È utile per i test.
Errore di pubblicazione dovuto alla configurazione di allow internal traffic only
Le impostazioni in entrata limitano se una funzione HTTP può essere richiamata dalle risorse al di fuori del perimetro di servizio del progetto Google Cloud o dei Controlli di servizio VPC. Quando configuri l'impostazione Consenti solo il traffico interno per il networking in entrata, questo messaggio di errore indica che solo le richieste dalle reti VPC lo stesso progetto o perimetro dei Controlli di servizio VPC.
Il messaggio di errore
Codice di risposta di errore HTTP: 404 NOT FOUND
La soluzione
Per risolvere questo errore, segui una delle seguenti soluzioni:
Assicurati che la richiesta provenga dal tuo progetto Google Cloud o dal perimetro di servizio dei Controlli di servizio VPC.
Modifica le impostazioni di traffico in entrata in consenti tutto il traffico per la funzione.
Il codice sorgente di Cloud Functions può inoltre restituire un errore 404 a causa di un URL della funzione non corretto, metodi HTTP, errori logici e così via.
La chiamata della funzione non dispone di credenziali di autenticazione valide
Richiamo di una funzione Cloud Functions configurata con accesso limitato richiede un token ID. Token di accesso o token di aggiornamento non funzionano.
Il messaggio di errore
Codice di risposta di errore HTTP: 401 Non autorizzato
Corpo della risposta di errore HTTP:
Your client does not have permission to the requested URL 'FUNCTION_NAME'
La soluzione
Per risolvere questo errore, segui una delle seguenti soluzioni:
Assicurati che le richieste includano un Intestazione
Authorization: Bearer ID_TOKEN
, e che il token sia un token ID, non un token di accesso o di aggiornamento. Se generare manualmente questo token con la chiave privata di un account di servizio, devono scambiare il token JWT autofirmato con un token di identità firmato da Google. Per Per ulteriori informazioni, consulta Autenticazione per le chiamate.Richiamare la funzione HTTP utilizzando le credenziali di autenticazione nella richiesta intestazione. Ad esempio, puoi ricevere un token di identità utilizzando
gcloud
nel seguente modo:curl -H "Authorization: Bearer $(gcloud auth print-identity-token)"
Per ulteriori informazioni, consulta la sezione Autenticazione per le chiamate .
https://REGION-PROJECT_ID.cloudfunctions.net/FUNCTION_NAMEEsegui di nuovo il deployment della funzione per consentire chiamate non autenticate, se questa funzionalità è supportata dalla tua organizzazione. È utile per i test.
La funzione si interrompe a metà esecuzione o continua in esecuzione al termine del codice
Alcuni runtime di Cloud Functions consentono agli utenti di eseguire attività asincrone. Se le tue crea tali attività, deve anche attendere esplicitamente che vengano completato. In caso contrario, la funzione potrebbe interrompere l'esecuzione nel l'ora sbagliata.
Comportamento dell'errore
La funzione mostra uno dei seguenti comportamenti:
- La funzione termina mentre le attività asincrone sono ancora in esecuzione, prima che sia trascorso il periodo di timeout specificato.
- L'esecuzione della funzione non si interrompe al termine di queste attività e continua deve essere eseguita fino alla scadenza del periodo di timeout.
La soluzione
Se la funzione viene terminata in anticipo, devi assicurarti che le attività asincrone vengono completate prima che la funzione esegua una qualsiasi delle le seguenti azioni:
- Restituzione di un valore
- Risoluzione o rifiuto di un oggetto
Promise
restituito (solo funzioni Node.js) - Generazione di eccezioni o errori non rilevati
- Invio di una risposta HTTP
- Chiamata a una funzione di callback
Se la funzione non viene terminata dopo aver completato le attività asincrone, devi verificare che la tua funzione segnali correttamente Cloud Functions al termine dell'operazione. In particolare, assicurati di eseguire una delle elencate in precedenza non appena la funzione ha terminato attività di machine learning.
Errore di runtime durante l'accesso alle risorse protette dai Controlli di servizio VPC
Per impostazione predefinita, Cloud Functions utilizza indirizzi IP pubblici per effettuare richieste in uscita ad altri servizi. Se le tue funzioni non si trovano all'interno di un Controlli di servizio VPC il perimetro potrebbe ricevere risposte HTTP 403 durante il tentativo per accedere ai servizi Google Cloud protetti dai Controlli di servizio VPC a causa del perimetro di servizio rifiuti.
Il messaggio di errore
Nei log delle risorse controllate, una voce simile alla seguente:
"protoPayload": { "@type": "type.googleapis.com/google.cloud.audit.AuditLog", "status": { "code": 7, "details": [ { "@type": "type.googleapis.com/google.rpc.PreconditionFailure", "violations": [ { "type": "VPC_SERVICE_CONTROLS", ... "authenticationInfo": { "principalEmail": "CLOUD_FUNCTION_RUNTIME_SERVICE_ACCOUNT", ... "metadata": { "violationReason": "NO_MATCHING_ACCESS_LEVEL", "securityPolicyInfo": { "organizationId": "ORGANIZATION_ID", "servicePerimeterName": "accessPolicies/NUMBER/servicePerimeters/SERVICE_PERIMETER_NAME" ...
La soluzione
Per risolvere questo errore, segui una delle seguenti soluzioni:
La funzione deve instradare tutto il traffico in uscita attraverso la rete VPC. Per ulteriori informazioni, consulta la sezione Eseguire il deployment di funzioni conformi ai Controlli di servizio VPC.
In alternativa, concedi l'accesso all'account di servizio di runtime della funzione al perimetro. Per farlo, puoi creare un livello di accesso e aggiungerlo al perimetro di servizio oppure creando un criterio in entrata nel perimetro. Per saperne di più, consulta Utilizzo dei Controlli di servizio VPC con funzioni esterne a un perimetro.
Scalabilità
Questa sezione elenca i problemi di scalabilità e fornisce suggerimenti su come risolverli.
Errori di Cloud Logging relativi all'interruzione di richieste di coda in attesa
Gli errori di scalabilità possono verificarsi nei seguenti scenari:
- Un enorme aumento improvviso del traffico.
- Inizio a freddo lungo.
- Tempi di elaborazione lunghi delle richieste.
- Elevato tasso di errori delle funzioni.
- Hai raggiunto il limite massimo di istanze e che impedisce la scalabilità del sistema.
- Fattori temporanei attribuiti al servizio Cloud Functions.
In ogni caso, Cloud Functions potrebbe non fare lo scale up abbastanza rapidamente per gestire per via del traffico.
Il messaggio di errore
The request was aborted because there was no available instance
severity=WARNING
( codice di risposta: 429) Impossibile scalare le funzioni Cloud Functions a causa al limite dimax-instances
che hai impostato durante la configurazione.severity=ERROR
( Codice di risposta: 500) Cloud Functions intrinsecamente non possono gestire la frequenza di traffico.
La soluzione
Per risolvere il problema, risolvi le cause elencate in precedenza.
Per le funzioni basate su trigger HTTP, fai in modo che il client implementi la funzione il backoff e i nuovi tentativi per le richieste che non devono essere ignorate. Se l'attivazione di Cloud Functions da Workflows, puoi usare la sintassi
try/retry
per raggiungere questo obiettivo.Per le funzioni in background o basate su eventi, Cloud Functions supporta consegna "at-least-once". Anche senza l'attivazione esplicita di nuovi tentativi, l'evento viene automaticamente verrà pubblicato di nuovo e verrà effettuato un nuovo tentativo di esecuzione della funzione. Consulta Ripetere le funzioni basate su eventi per ulteriori informazioni.
Se la causa principale del problema è un periodo di gravi errori temporanei attribuite esclusivamente a Cloud Functions o se hai bisogno di assistenza per risolvere il problema, contatta l'assistenza.
Per i problemi relativi agli avvii a freddo, configura minimo di istanze per ridurre degli avvii a freddo con un'implicazione di fatturazione più elevata.
Logging
La sezione seguente illustra i problemi relativi al logging e come risolverli.
Le voci di log non hanno livelli di gravità dei log errati o sono errati
Cloud Functions include il logging del runtime per impostazione predefinita. Log scritti in
stdout
o stderr
vengono visualizzati automaticamente in Cloud Logging.
Tuttavia, queste voci di log, per impostazione predefinita, contengono solo messaggi di tipo stringa.
Il messaggio di errore
Livelli di gravità assenti o errati nei log.
La soluzione
Per includere le gravità dei log, devi inviare un voce di log strutturato.
Gestire o registrare le eccezioni in modo diverso in caso di arresto anomalo
Potrebbe essere opportuno personalizzare la gestione e la registrazione delle informazioni sugli arresti anomali.
La soluzione
Aggrega la funzione in un blocco try
per personalizzare la gestione delle eccezioni e
e logging delle analisi dello stack.
Esempio
import logging
import traceback
def try_catch_log(wrapped_func):
def wrapper(*args, **kwargs):
try:
response = wrapped_func(*args, **kwargs)
except Exception:
# Replace new lines with spaces so as to prevent several entries which
# would trigger several errors.
error_message = traceback.format_exc().replace('\n', ' ')
logging.error(error_message)
return 'Error';
return response;
return wrapper;
#Example hello world function
@try_catch_log
def python_hello_world(request):
request_args = request.args
if request_args and 'name' in request_args:
1 + 's'
return 'Hello World!'
Log troppo grandi in Node.js 10+, Python 3.8, Go 1.13 e Java 11
La dimensione massima per una normale voce di log in questi runtime è 105 KiB.
La soluzione
Invia voci di log inferiori a questo limite.
Log mancanti nonostante Cloud Functions restituisca errori
Cloud Functions invia i flussi di log delle Cloud Function a un bucket predefinito. Quando crei un progetto, Cloud Functions crea e abilita il bucket predefinito. Se il bucket predefinito è disabilitato o se i log della funzione Cloud Function si trovano nella filtro di esclusione, i log non verranno visualizzati in Esplora log.
La soluzione
Abilita i log predefiniti.
I log di Cloud Functions non vengono visualizzati in Esplora log
Alcune librerie client di Cloud Logging utilizzano un processo asincrono per scrivere il log le voci corrispondenti. Se una funzione si arresta in modo anomalo o termina in altro modo, è possibile che alcune voci di log non sono ancora state scritte e potrebbero essere visualizzate in seguito. Alcuni log potrebbero non possono essere visualizzati in Esplora log.
La soluzione
Usa l'interfaccia della libreria client per svuotare le voci di log presenti nel buffer prima di uscire
la funzione o utilizzare la libreria per scrivere le voci di log in modo sincrono. Puoi anche
scrivere i log in modo sincrono direttamente in stdout
o stderr
.
Log di Cloud Functions mancanti quando utilizzi il sink del router dei log
Il router dei log acquisisce le voci di log del route verso varie destinazioni.
I filtri di esclusione definiscono le voci che puoi ignorare.
La soluzione
Rimuovi il filtro di esclusione impostato per resource.type = "cloud_run_revision"
.
Connessioni al database
Quando ci si connette a un database, possono sorgere diversi problemi,
associate al superamento dei limiti di connessione o al timeout. Se noti un deployment di Cloud SQL
nei log, ad esempio Context deadline exceeded
, potresti aver bisogno
per regolare la configurazione della connessione. Per ulteriori informazioni, vedi
Best practice per Cloud SQL.
Networking
Questa sezione elenca i problemi di rete e fornisce suggerimenti su come risolverli ciascuno di essi.
Connettività di rete
Se tutte le richieste in uscita da una Cloud Function non vanno a buon fine anche dopo configuri le impostazioni di traffico in uscita, puoi eseguire Connectivity Tests per identificare problemi di connettività di rete. Per ulteriori informazioni, vedi Crea ed esegui Connectivity Tests.
Il connettore di accesso VPC serverless non è pronto o non esiste
In caso di errore di un connettore di accesso VPC serverless, potrebbe non essere
utilizzando una subnet mask /28
dedicata al connettore, come obbligatorio.
Il messaggio di errore
Problem connecting to VPC Connector projects/xxxxx/locations/REGION/connectors/xxxx: Serverless VPC Access is not found.
Quando viene eseguito il deployment di Cloud Functions con un connettore in stato non valido a causa della mancanza dell'autorizzazione sull'account di servizio dell'agente di servizio delle API di Google PROJECT_NUMBER@cloudservices.gserviceaccount.com
, si verifica il seguente errore:
Il messaggio di errore
Failed to prepare VPC connector. Please try again later.
La soluzione
Elenca le subnet
per verificare se il connettore utilizza una subnet mask /28
. Se il connettore non utilizza la subnet mask /28
, ricrea o crea un nuovo connettore.
Per risolvere il problema, segui una delle seguenti soluzioni:
Se ricrei il connettore, non devi rieseguire il deployment di altre funzioni. Potrebbe verificarsi un'interruzione di rete perché il connettore viene ricreato.
Se crei un nuovo connettore alternativo, esegui nuovamente il deployment delle funzioni per utilizzare nuovo connettore ed eliminare quello originale. Questo metodo evita che le reti un'interruzione del servizio.
Assicurati che il deployment di Cloud Functions e del connettore associato venga eseguito nella stessa regione.
Per la configurazione del VPC condiviso:
Assicurati che gli account di servizio
SERVICE_PROJECT_NUMBER@cloudservices.gserviceaccount.com
eservice-SERVICE_PROJECT_NUMBER@gcp-sa-vpcaccess.iam.gserviceaccount.com
utilizzati dal connettore VPC per eseguire il provisioning di risorse nel progetto, autorizzazioni mancanti. Questi account di servizio devono avere il ruoloroles/compute.networkUser
nel progetto host della configurazione del VPC condiviso quando il connettore si trova nel progetto di servizio.Se il connettore viene creato nel progetto host, assicurati che il ruolo
Serverless VPC Access User
sia concesso nell'agente di servizio Cloud Run nel progetto host.
Se lo stato del connettore mostra l'errore
Connector is in a bad state, manual deletion recommended
e l'agente di servizio API di Google non dispone delle autorizzazioni necessarie per eseguire il provisioning delle risorse di computing nel progetto del connettore, concediroles/compute.admin
all'account di servizioPROJECT_NUMBER@cloudservices.gserviceaccount.com
. In alcuni casi potrebbe essere necessario ricreare il connettore dopo aver aggiunto queste autorizzazioni.
Il traffico SMTP verso indirizzi IP di destinazione esterni che utilizzano la porta TCP 25 è bloccato
Per maggiore sicurezza, Google Cloud blocca le connessioni alla porta di destinazione TCP 25
quando invii email da funzioni.
La soluzione
Per sbloccare queste connessioni, segui una delle seguenti soluzioni:
Connettiti al server SMTP su una porta diversa, ad esempio la porta TCP
587
o465
.