Fehlerbehebung bei der Beispielbereitstellung

In diesem Leitfaden werden Schritte zur Fehlerbehebung beschrieben, die bei Problemen mit der Bereitstellung des Anthos-Beispielbereitstellungs hilfreich sein können.

Weitere Informationen zum Bereitstellen und Untersuchen des Beispiels finden Sie in der Anleitung zu GKE Enterprise entdecken.

Wenn während der Bereitstellung ein Problem auftritt, finden Sie die relevanten Fehlerinformationen in der Ansicht Deployment Manager. Wenn Fehler beim Bereitstellen angezeigt wird, klicken Sie auf Details anzeigen und dann auf das Dreieckssymbol, um alle Ressourcen anzuzeigen und zu sehen, was nicht funktioniert hat.

Fehler bei der Prüfprüfung

Das Anthos-Beispiel-Deployment enthält ein Vorbereitungsskript, das Sie vor der Bereitstellung ausführen können, um zu überprüfen, ob Ihr Projekt die Kriterien für eine erfolgreiche Bereitstellung erfüllt. Der Jump-Server überprüft auch einige dieser Voraussetzungen und führt dazu, dass das Deployment fehlschlägt, wenn keines gefunden wird. Alle Fehler im Zusammenhang mit diesen Voraussetzungen sind in der Ansicht Deployment Manager der entsprechenden Ressource prerequisite-check zu sehen. Die folgenden Voraussetzungen werden während der Bereitstellung überprüft:

• prerequisite-check-sa-permission
• prerequisite-check-existing-deployment
• prerequisite-check-invalid-project-env
• prerequisite-check-invalid-project-id
• prerequisite-check-org-policy-ip-forwarding
• prerequisite-check-org-policy-os-login
• prerequisite-check-cpu-quota

Der folgende Screenshot zeigt ein Beispiel für ein Anthos-Beispielbereitstellungs-Deployment, das aufgrund von Voraussetzungen nicht erfolgreich ausgeführt werden konnte.

Service Management API ist nicht aktiviert (Code 403)

Empfohlene Lösung: Aktivieren Sie die Service Management API für das ausgewählte Projekt und versuchen Sie noch einmal, die Bereitstellung durchzuführen.

Ungültige Projektumgebung

Ein Qwiklabs-Projekt wurde erkannt. Das Anthos-Beispiel-Deployment ist nicht für die Ausführung in Qwiklabs-Umgebungen konzipiert.

Empfohlene Lösung:Erstellen Sie ein neues Projekt in Ihrer Organisation mit einer anderen Projekt-ID.

Ungültige Projekt-ID

Wenn Ihr Projekt auf Ihre Domain beschränkt ist, enthält die Projekt-ID den Namen der Domain, gefolgt von einem Doppelpunkt (:). Projekt-IDs auf Domainebene sind eine Legacy-Funktion.

Empfohlene Lösung:Erstellen Sie ein neues Projekt, das nicht auf die Domain beschränkt ist, und versuchen Sie die Bereitstellung noch einmal.

Sie haben keine ausreichenden Berechtigungen zum Erstellen eines Dienstkontos

Korrekturvorschlag

Sie benötigen die Berechtigung resourcemanager.projects.setIamPolicy. Normalerweise haben Projektinhaber und Dienstkontoadministratoren diese. Wenn Sie keine dieser Rollen für das Identity and Access Management (IAM) haben, führen Sie einen der folgenden Schritte aus:

• Erstellen Sie ein neues Projekt (Sie sind automatisch Inhaber).
• Bitten Sie den Projektinhaber oder Dienstkontoadministrator, Ihnen eine der folgenden Rollen zuzuweisen:
  • roles/owner
  • roles/iam.serviceAccountAdmin

Unzureichendes Kontingent, um die Anfrage zu erfüllen

Empfohlene Lösung: Für die Bereitstellung sind 7 vCPUs, 24,6 GiB Arbeitsspeicher und 310 GiB Speicher in der ausgewählten Zone oder Region sowie eine VPC, zwei Firewallregeln und eine erforderlich. Cloud NAT im ausgewählten Projekt Prüfen Sie, ob Ihr Projekt genügend Ressourcenkontingente für die Bereitstellung hat. Sie können Ihr Kontingent prüfen und gegebenenfalls eine Erhöhung anfordern.

VPC-Peering ist im Projekt nicht zulässig

Dieser Fehler tritt auf, wenn die Einschränkung der Organisationsrichtlinie compute.restrictVpcPeering erzwungen wird. Diese Einschränkung verhindert die Erstellung eines privaten GKE-Clusters, wenn keine VPC-Netzwerk-Peering-Verbindung zum VPC-Netzwerk der GKE-Steuerungsebene besteht.

Korrekturvorschlag

Führen Sie einen der folgenden Schritte aus:

• Erstellen Sie ein neues Projekt in Ihrer aktuellen Organisation. Bitten Sie den Administrator der Organisationsrichtlinie, die Richtlinie constraints/compute.restrictVpcPeering zu bearbeiten, um das Erstellen von VPC-Peering für dieses Projekt zu ermöglichen.

• Ein anderes Projekt in einer anderen Organisation oder einem anderen Ordner verwenden.

Click-to-Deploy-Images sind im Projekt nicht zulässig

Dieser Fehler tritt auf, wenn die Einschränkung der Organisationsrichtlinie compute.trustedImagesProjects erzwungen wird. Beim Anthos-Beispiel-Deployment wird eine Compute Engine-Instanz mit einem Image erstellt, das zur Automatisierung von Aufgaben für die Anthos-Einrichtung und die Anwendungsbereitstellung verwendet wird.

Korrekturvorschlag

Führen Sie einen der folgenden Schritte aus:

• Erstellen Sie ein neues Projekt in Ihrer aktuellen Organisation. Bitten Sie den Administrator der Organisationsrichtlinie, die Richtlinie constraints/compute.trustedImageProjects für dieses Projekt zu bearbeiten, um projects/click-to-deploy-images aufzunehmen.

• Ein anderes Projekt in einer anderen Organisation oder einem anderen Ordner verwenden.

IP-Weiterleitung ist im Projekt nicht zulässig

Dieser Fehler tritt auf, wenn die Einschränkung der Organisationsrichtlinie compute.vmCanIpForward erzwungen wird. Die IP-Weiterleitung wird als Teil der Beispielanwendung verwendet.

Korrekturvorschlag

Führen Sie einen der folgenden Schritte aus:

• Erstellen Sie ein neues Projekt in Ihrer aktuellen Organisation. Bitten Sie den Administrator der Organisationsrichtlinien, die Richtlinie constraints/compute.vmCanIpForward für dieses Projekt zu bearbeiten und die VM-IP-Weiterleitung zuzulassen.

• Ein anderes Projekt in einer anderen Organisation oder einem anderen Ordner verwenden.

Für das Projekt ist OS Login erforderlich

Dieser Fehler tritt auf, wenn die Einschränkung der Organisationsrichtlinie compute.requireOsLogin erzwungen wird. OS Login wird in Google Kubernetes Engine (GKE) derzeit nicht unterstützt.

Korrekturvorschlag

Führen Sie einen der folgenden Schritte aus:

• Erstellen Sie ein neues Projekt in Ihrer aktuellen Organisation. Bitten Sie den Administrator der Organisationsrichtlinie, die Richtlinie constraints/compute.requireOsLogin für dieses Projekt so zu bearbeiten, dass OS Login nicht erforderlich ist.

• Ein anderes Projekt in einer anderen Organisation oder einem anderen Ordner verwenden.

GKE-Cluster können nicht bereitgestellt werden

GKE-Cluster können aus verschiedenen Gründen nicht bereitgestellt werden.

Korrekturvorschlag

Führen Sie einen der folgenden Schritte aus:

• Wenn ein erster Fehler auftritt, versuchen Sie noch einmal, einen bereitzustellen.

• Empfohlen: Löschen Sie das Projekt und beginnen Sie mit einem neuen Projekt.

• Löschen Sie das Deployment, indem Sie der Anleitung unter Bereitstellung löschen folgen. Versuchen Sie nicht, eine neue Bereitstellung im selben Projekt ohne Bereinigung durchzuführen.

Wenn der Fehler weiterhin auftritt, wenden Sie sich an unser Supportteam oder geben Sie uns Feedback in unserer Umfrage.

GKE Enterprise-Komponenten werden nicht bereitgestellt

Deployment Manager kann während des Vorgangs bei jedem der folgenden Schritte fehlschlagen:

• cluster-registration-with-hub
• anthos-service-mesh-setup
• Anthos Config Management einrichten
• Bereitstellung von Anwendungen

Korrekturvorschlag

Führen Sie einen der folgenden Schritte aus:

• Wenn ein erster Fehler auftritt, versuchen Sie noch einmal, einen bereitzustellen.

• Empfohlen: Löschen Sie das Projekt und beginnen Sie mit einem neuen Projekt.

• Löschen Sie das Deployment, indem Sie der Anleitung unter Bereitstellung löschen folgen. Versuchen Sie nicht, eine neue Bereitstellung im selben Projekt ohne Bereinigung durchzuführen.

Wenn der Fehler weiterhin auftritt, wenden Sie sich an unser Supportteam oder geben Sie uns Feedback in unserer Umfrage.

Vorhandene Bereitstellung der Anthos-Beispielbereitstellung

Frühere Bereitstellungen von Anthos-Beispielbereitstellung müssen gelöscht werden, bevor eine neue Bereitstellung ausgeführt werden kann. Löschen Sie das Deployment, indem Sie der Anleitung unter Bereitstellung löschen folgen. Stellen Sie die Bereitstellung nicht im selben Projekt ohne Bereinigung fort.

Dienstkontoberechtigungen für Anthos-Beispiel-Deployment

Für das Anthos Sample Deployment-Dienstkonto sind verschiedene IAM-Rollen erforderlich. Das Deployment überprüft zuerst, ob es über Berechtigungen von roles/runtimeconfig.admin verfügt, um den Status für die nachfolgenden erforderlichen Prüfungen und Installationsschritte zu melden.

Es folgt eine vollständige Liste der Rollen, die für das Anthos-Beispiel-Deployment-Dienstkonto erforderlich sind:

• roles/cloudtrace.agent
• roles/container.admin
• roles/deploymentmanager.editor
• roles/gkehub.admin
• roles/iam.serviceAccountAdmin
• roles/iam.workloadIdentityUser
• roles/logging.configWriter
• roles/logging.logWriter
• roles/meshconfig.admin
• roles/meshtelemetry.reporter
• roles/monitoring.metricWriter
• roles/resourcemanager.projectIamAdmin
• roles/runtimeconfig.admin
• roles/serviceusage.serviceUsageAdmin
• roles/source.admin
• roles/viewer

Wenn das Dienstkonto für das Anthos Sample Deployment mit demselben Namen gelöscht und neu erstellt wird, kann es zu unerwartetem Verhalten kommen.