Dieses Dokument enthält Anleitungen zur Fehlerbehebung bei Problemen, die bei der Registrierung und Verbindungsherstellung auftreten können.
Ungültige Konfiguration
Wenn in der Google Cloud Console die OIDC-Konfiguration aus Ihrem Cluster nicht gelesen werden kann, ist die Schaltfläche ANMELDEN deaktiviert.
Anmelde-URL nicht gefunden
Das folgende Problem tritt auf, wenn die Google Cloud Console den Identitätsanbieter nicht erreichen kann.
Bei einem Anmeldeversuch wird der Nutzer auf eine Seite mit dem Fehler „URL nicht gefunden“ weitergeleitet.
So lösen Sie dieses Problem:
Wenn der Identitätsanbieter nicht über das öffentliche Internet erreichbar ist, müssen Sie den OIDC-HTTP-Proxy aktivieren, um sich über die Google Cloud Console anzumelden. Legen Sie im Abschnitt
authentication.oidc
der ClusterkonfigurationsdateideployCloudConsoleProxy
auftrue
fest. Wenn Sie bereits einen Cluster erstellt haben und den Proxy aktivieren möchten, können Sie die benutzerdefinierte ClientConfig-Ressource direkt bearbeiten unduseHTTPProxy
auftrue
setzen:kubectl --kubeconfig USER_CLUSTER_KUBECONFIG edit clientconfig default -n kube-public
Wenn der HTTP-Proxy aktiviert ist und dieser Fehler weiterhin angezeigt wird, ist möglicherweise ein Problem beim Start des Proxys aufgetreten. So rufen Sie die Logs des Proxys ab.
kubectl --kubeconfig USER_CLUSTER_KUBECONFIG logs deployment/clientconfig-operator -n kube-system
Selbst wenn Ihr Identitätsanbieter eine bekannte Zertifizierungsstelle hat, müssen Sie für den Start des HTTP-Proxy einen Wert für
authentication.oidc.caPath
in Ihrer Clusterkonfigurationsdatei angeben.Wenn der Autorisierungsserver um Ihre Einwilligung bittet und Sie nicht den
extraparam
prompt=consent
hinzugefügt haben, wird möglicherweise diese Fehlermeldung angezeigt. Bearbeiten Sie das ClientConfig-Objekt und fügen Sieprompt=consent
denextraparams
hinzu:kubectl --kubeconfig USER_CLUSTER_KUBECONFIG edit clientconfig default -n kube-public
Versuchen Sie sich dann noch einmal einzuloggen.
Falls noch nicht geschehen, versuchen Sie, sich mit dem Authentifizierungs-Plug-in für Anthos zu authentifizieren. Wenn auch bei der Anmeldung mit dem Plug-in ein Autorisierungsfehler angezeigt wird, führen Sie die Schritte zur Fehlerbehebung aus, um das Problem mit dem Plug-in zu beheben. Melden Sie sich dann noch einmal über die Google Cloud Console an.
In einigen Fällen müssen Sie sich möglicherweise explizit abmelden, wenn Sie Einstellungen für den Speicherdienst ändern. Rufen Sie in der Google Cloud Console die Seite mit den Clusterdetails auf und klicken Sie auf Abmelden. Versuchen Sie sich dann noch einmal einzuloggen.