このドキュメントでは、登録と接続を行う際に発生する可能性がある問題のトラブルシューティングについて説明します。
無効な構成
Google Cloud コンソールがクラスタから OIDC 構成を読み取れない場合、[ログイン] ボタンは無効になっています。
ログイン URL が見つからない
Google Cloud Console が ID プロバイダに到達できない場合は、次の問題が発生します。
ログインしようとすると、「URL が見つかりません」というエラーが表示されたページにリダイレクトされます。
この問題を解決するには:
公共のインターネット経由で ID プロバイダにアクセスできない場合は、OIDC HTTP プロキシを有効にして、Google Cloud Console 経由でログインする必要があります。クラスタ構成ファイルの
authentication.oidcセクションで、deployCloudConsoleProxyをtrueに設定します。すでに作成したクラスタでプロキシを有効にするには、ClientConfig カスタム リソースを直接編集して、useHTTPProxyをtrueに設定します。kubectl --kubeconfig USER_CLUSTER_KUBECONFIG edit clientconfig default -n kube-public
HTTP プロキシが有効になっていてもこのエラーが表示される場合は、プロキシの起動に問題があった可能性があります。プロキシのログを取得するには、次のコマンドを実行します。
kubectl --kubeconfig USER_CLUSTER_KUBECONFIG logs deployment/clientconfig-operator -n kube-system
ID プロバイダが既知の CA を保有する場合であっても、HTTP プロキシが起動するには、クラスタ構成ファイルで
authentication.oidc.caPathの値を指定する必要があります。認可サーバーから同意を求めるプロンプトが表示されたときに、追加パラメータ
extraparamprompt=consentを指定しないと、このエラーが発生することがあります。ClientConfig オブジェクトを編集し、prompt=consentをextraparamsに追加します。kubectl --kubeconfig USER_CLUSTER_KUBECONFIG edit clientconfig default -n kube-public
その後、もう一度ログインしてみてください。
まだ行っていない場合は、Anthos 用認証プラグインを使用して認証を試みます。プラグインを使用してログインする際にも認可エラーが表示される場合は、トラブルシューティングの手順に沿ってプラグインの問題を解決してください。その後、Google Cloud コンソールからもう一度ログインを試みます。
たとえば、ストレージ サービスの設定が変更された場合は、明示的にログアウトする必要があります。Google Cloud コンソールで、クラスタの詳細ページに移動し、[ログアウト] をクリックします。その後、もう一度ログインしてみてください。