サンプル デプロイのトラブルシューティング
このガイドでは、Anthos のサンプル デプロイのデプロイ中に問題が発生した場合に有用な可能性があるトラブルシューティングの手順について説明します。
サンプルをデプロイして探索する方法の詳細については、GKE Enterprise のチュートリアルを探索するをご覧ください。
デプロイ中に問題が発生した場合は、[Deployment Manager] ビューで関連するエラー情報を確認できます。「デプロイできませんでした」と表示された場合は、[詳細を表示]、三角形のアイコンの順にクリックしてすべてのリソースを表示し、失敗した要因を確認します。
前提条件のチェックエラー
Anthos のサンプル デプロイには、前提条件のスクリプトが含まれています。このスクリプトをデプロイの前に実行すると、プロジェクトがデプロイを成功させるための基準を満たしていることを確認できます。踏み台サーバーによってもこれらの前提条件の一部が確認され、条件を満たしていない場合、デプロイは失敗します。これらの前提条件の確認に関連するエラーは、対応する prerequisite-check
リソースの [Deployment Manager] ビューで確認できます。デプロイ中に次の前提条件が確認されます。
- prerequisite-check-sa-permission
- prerequisite-check-existing-deployment
- prerequisite-check-invalid-project-env
- prerequisite-check-invalid-project-id
- prerequisite-check-org-policy-ip-forwarding
- prerequisite-check-org-policy-os-login
- prerequisite-check-cpu-quota
次のスクリーンショットは、前提条件が原因で Anthos のサンプル デプロイのデプロイが失敗する場合の例を示しています。
Service Management API が有効になっていません(コード 403)
推奨される修正: 選択したプロジェクトで Service Management API を有効にし、もう一度デプロイしてみてください。
プロジェクト環境が無効です
Qwiklabs プロジェクトが検出されました。Anthos のサンプル デプロイは、Qwiklabs 環境で実行するようには設計されていません。
推奨される修正: 別のプロジェクト ID を使用して組織内で新しいプロジェクトを作成します。
プロジェクト ID が無効です
プロジェクトのスコープがドメインに設定されている場合、プロジェクト ID には後ろにコロン(:
)が付されたドメイン名が含まれます。ドメインをスコープとするプロジェクト ID は以前の機能です。
推奨される修正: ドメインをスコープとしない新しいプロジェクトを作成し、もう一度デプロイしてみてください。
サービス アカウントを作成するための十分な権限がありません
推奨される修正
resourcemanager.projects.setIamPolicy
権限を付与されていることを確認してください。通常は、プロジェクト オーナーまたはサービス アカウント管理者にこの権限が付与されています。これらの Identity and Access Management(IAM)ロールのいずれかがない場合は、次のいずれかを行います。
- 新しいプロジェクトを作成する(自動的にオーナーになります)。
- プロジェクト オーナーまたはサービス アカウント管理者に次のいずれかのロールを付与するよう依頼する。
- roles/owner
- roles/iam.serviceAccountAdmin
リクエストに対応できる十分な割り当てがありません
推奨される修正: デプロイには、選択したゾーンまたはリージョンで 7 つの vCPU、24.6 GiB のメモリ、310 GiB のディスク容量に加えて、選択したプロジェクト内に 1 つの VPC、2 つのファイアウォール ルール、1 つの Cloud NAT が必要です。プロジェクトにデプロイ用の十分なリソース割り当てがあることを確認します。割り当てを確認し、必要に応じて割り当ての増加をリクエストできます。
プロジェクトで VPC ピアリングが許可されていません
このエラーは、compute.restrictVpcPeering
組織ポリシーの制約が適用されている場合に発生します。この制約により、GKE コントロール プレーンの VPC ネットワークへの既存の VPC ネットワーク ピアリング接続が存在しない場合に、GKE の限定公開クラスタの作成が妨げられます。
推奨される修正
次のいずれかを行います。
現在の組織で新しいプロジェクトを作成する。このプロジェクトの VPC ピアリングの作成を許可するように
constraints/compute.restrictVpcPeering
ポリシーを編集することを組織のポリシー管理者に依頼する。異なる組織またはフォルダで別のプロジェクトを使用する。
プロジェクトでクリック デプロイ イメージが許可されていません
このエラーは、compute.trustedImagesProjects 組織ポリシーの制約が適用されている場合に発生します。Anthos のサンプル デプロイにより、Anthos のセットアップとアプリケーションのデプロイのタスクを自動化するために使用されるイメージを使用して Compute Engine インスタンスが作成されます。
推奨される修正
次のいずれかを行います。
現在の組織で新しいプロジェクトを作成する。
projects/click-to-deploy-images
を含めるようにこのプロジェクトのconstraints/compute.trustedImageProjects
ポリシーを編集することを組織のポリシー管理者に依頼する。異なる組織またはフォルダで別のプロジェクトを使用する。
プロジェクトで IP 転送が許可されていません
このエラーは、compute.vmCanIpForward 組織ポリシー制約が適用されている場合に発生します。IP 転送は、サンプル アプリケーションの一部として使用されます。
推奨される修正
次のいずれかを行います。
現在の組織で新しいプロジェクトを作成する。VM の IP 転送を許可するようにこのプロジェクトの
constraints/compute.vmCanIpForward
ポリシーを編集することを組織のポリシー管理者に依頼する。異なる組織またはフォルダで別のプロジェクトを使用する。
プロジェクトで OS Login を要求されます
このエラーは、compute.requireOsLogin 組織ポリシー制約が適用されている場合に発生します。現在、Google Kubernetes Engine(GKE)で OS Login はサポートされていません。
推奨される修正
次のいずれかを行います。
現在の組織で新しいプロジェクトを作成する。OS Login を要求しないようにこのプロジェクトの
constraints/compute.requireOsLogin
ポリシーを編集することを組織のポリシー管理者に依頼する。異なる組織またはフォルダで別のプロジェクトを使用する。
GKE クラスタのデプロイに失敗します
GKE クラスタはさまざまな理由でデプロイに失敗する場合があります。
推奨される修正
次のいずれかを行います。
最初にエラーが発生した場合は、もう一度デプロイを試します。
(推奨)プロジェクトを削除し、新しいプロジェクトでもう一度開始します。
デプロイの削除の手順に沿ってデプロイを削除します。クリーンアップせずに同じプロジェクトで再度デプロイを試行しないでください。
エラーが解決しない場合は、サポートチームに問い合わせるか、アンケートにフィードバックを記載してください。
GKE Enterprise コンポーネントのデプロイに失敗します
このプロセス中に、Deployment Manager は次のいずれかのステップで失敗する場合があります。
- cluster-registration-with-hub
- anthos-service-mesh-setup
- anthos-config-management-setup
- application-deployment
推奨される修正
次のいずれかを行います。
最初にエラーが発生した場合は、もう一度デプロイを試します。
(推奨)プロジェクトを削除し、新しいプロジェクトでもう一度開始します。
デプロイの削除の手順に沿ってデプロイを削除します。クリーンアップせずに同じプロジェクトで再度デプロイを試行しないでください。
エラーが解決しない場合は、サポートチームに問い合わせるか、アンケートにフィードバックを記載してください。
Anthos サンプル デプロイの既存のデプロイ
新しいデプロイを試す前に、Anthos サンプル デプロイの以前のデプロイを削除する必要があります。デプロイの削除の手順に沿ってデプロイを削除します。クリーンアップせずに同じプロジェクトで再度デプロイを試行しないでください。
Anthos サンプル デプロイのサービス アカウント権限
Anthos サンプル デプロイのサービス アカウントには、いくつかの IAM ロールが必要です。デプロイはまず、後続の前提条件の確認とインストール手順のステータスを報告するために、roles/runtimeconfig.admin
の権限が付与されているかどうかを検証します。
以下は、Anthos サンプル デプロイのサービス アカウントに必要なロールの完全なリストです。
- roles/cloudtrace.agent
- roles/container.admin
- roles/deploymentmanager.editor
- roles/gkehub.admin
- roles/iam.serviceAccountAdmin
- roles/iam.workloadIdentityUser
- roles/logging.configWriter
- roles/logging.logWriter
- roles/meshconfig.admin
- roles/meshtelemetry.reporter
- roles/monitoring.metricWriter
- roles/resourcemanager.projectIamAdmin
- roles/runtimeconfig.admin
- roles/serviceusage.serviceUsageAdmin
- roles/source.admin
- roles/viewer
Anthos のサンプル デプロイ サービス アカウントが削除され、同じ名前で再作成された場合、予期しない動作が発生する可能性があります。