샘플 배포 문제 해결
이 가이드에서는 Anthos 샘플 배포를 배포하는 중에 문제가 발생할 경우에 유용할 수 있는 문제 해결 단계를 설명합니다.
샘플을 배포하고 살펴보는 방법에 대한 자세한 내용은 GKE Enterprise 튜토리얼 살펴보기를 참조하세요.
배포 중에 문제가 발생하면 Deployment Manager 뷰에서 관련 오류 정보를 찾을 수 있습니다. 배포 실패가 표시되면 세부정보 보기를 클릭한 후 삼각형 아이콘을 클릭하여 모든 리소스를 보고 실패한 항목을 확인합니다.
기본 요건 확인 오류
Anthos 샘플 배포에는 배포 전에 실행하여 프로젝트가 성공적인 배포 기준을 충족하는지 확인할 수 있는 기본 요건 스크립트가 있습니다. 또한 점프 서버는 이러한 기본 요건 중 일부와 하나라도 충족하지 않을 경우의 배포 실패 원인을 검사합니다. 이러한 기본 요건 확인과 관련된 오류는 해당 prerequisite-check
리소스의 Deployment Manager 뷰에 표시됩니다. 다음 기본 요건은 배포 중에 검사됩니다.
- prerequisite-check-sa-permission
- prerequisite-check-existing-deployment
- prerequisite-check-invalid-project-env
- prerequisite-check-invalid-project-id
- prerequisite-check-org-policy-ip-forwarding
- prerequisite-check-org-policy-os-login
- prerequisite-check-cpu-quota
다음 스크린샷에서는 기본 요건으로 인한 Anthos 샘플 배포 실패 예시를 보여줍니다.
Service Management API가 사용 설정되지 않음(코드 403)
권장 해결 방법: 선택한 프로젝트에 Service Management API를 사용 설정하고 다시 배포해 보세요.
잘못된 프로젝트 환경
Qwiklabs 프로젝트가 감지되었습니다. Anthos 샘플 배포는 Qwiklabs 환경에서 실행되도록 설계되지 않았습니다.
권장 해결 방법: 조직에서 다른 프로젝트 ID로 새 프로젝트를 만드세요.
프로젝트 ID가 올바르지 않습니다.
프로젝트 범위가 도메인으로 지정되면 프로젝트 ID에는 도메인 이름 다음에 콜론(:
)이 포함됩니다. 도메인 범위 프로젝트 ID는 기존 기능입니다.
권장 해결 방법: 도메인 범위가 아닌 새 프로젝트를 만들어 다시 배포해 보세요.
서비스 계정을 만들 수 있는 권한이 없음
권장 해결 방법
resourcemanager.projects.setIamPolicy
권한이 있는지 확인합니다. 일반적으로 프로젝트 소유자나 서비스 계정 관리자에게 이 권한이 있습니다. 이러한 Identity and Access Management(IAM) 역할 중 하나가 없으면 다음 중 하나를 수행합니다.
- 새 프로젝트를 만듭니다(개발자가 자동으로 소유자가 됨).
- 프로젝트 소유자나 서비스 계정 관리자에게 다음 역할 중 하나를 부여하도록 요청합니다.
- 역할/소유자
- roles/iam.serviceAccountAdmin
요청을 충족할 수 있는 할당량이 부족함
권장 해결 방법: 배포하려면 선택한 영역이나 리전에 vCPU 7개, 메모리 24.6GiB, 디스크 공간 310GiB와 선택한 프로젝트에 VPC 1개, 방화벽 규칙 2개, Cloud NAT 1개가 필요합니다. 프로젝트에 배포할 수 있는 리소스 할당량이 충분한지 확인합니다. 할당량을 확인하고 필요한 경우 증가를 요청할 수 있습니다.
프로젝트에서 VPC 피어링을 허용하지 않음
이 오류는 compute.restrictVpcPeering
조직 정책 제약조건이 적용되면 발생합니다. 이 제약조건은 GKE 제어 영역의 VPC 네트워크에 대한 기존 VPC 네트워크 피어링 연결이 없을 때 GKE 비공개 클러스터가 생성되지 않도록 방지합니다.
권장 해결 방법
다음 중 한 가지 방법을 사용합니다.
현재 조직에 새 프로젝트를 만듭니다. 조직 정책 관리자에게 이 프로젝트의 VPC 피어링 생성을 허용하도록
constraints/compute.restrictVpcPeering
정책을 수정해 달라고 요청합니다.다른 조직이나 폴더에서 다른 프로젝트를 사용합니다.
프로젝트에서 클릭하여 배포 이미지를 허용하지 않음
이 오류는 compute.trustedImagesProjects 조직 정책 제약조건이 적용되면 발생합니다. Anthos 샘플 배포는 Anthos 설정과 애플리케이션 배포에 필요한 태스크를 자동화하는 데 사용되는 이미지로 Compute Engine 인스턴스를 만듭니다.
권장 해결 방법
다음 중 한 가지 방법을 사용합니다.
현재 조직에 새 프로젝트를 만듭니다. 조직 정책 관리자에게
projects/click-to-deploy-images
가 포함되도록 이 프로젝트의constraints/compute.trustedImageProjects
정책을 수정해 달라고 요청합니다.다른 조직이나 폴더에서 다른 프로젝트를 사용합니다.
프로젝트에서 IP 전달을 허용하지 않음
이 오류는 compute.vmCanIpForward 조직 정책 제약조건이 적용되면 발생합니다. IP 전달은 샘플 애플리케이션의 일부로 사용됩니다.
권장 해결 방법
다음 중 한 가지 방법을 사용합니다.
현재 조직에 새 프로젝트를 만듭니다. 조직 정책 관리자에게 VM IP 전달을 허용하도록 이 프로젝트의
constraints/compute.vmCanIpForward
정책을 수정해 달라고 요청합니다.다른 조직이나 폴더에서 다른 프로젝트를 사용합니다.
프로젝트에 OS 로그인이 필요함
이 오류는 compute.requireOsLogin 조직 정책 제약조건이 적용되면 발생합니다. 현재 Google Kubernetes Engine(GKE)에서는 OS 로그인이 지원되지 않습니다.
권장 해결 방법
다음 중 한 가지 방법을 사용합니다.
현재 조직에 새 프로젝트를 만듭니다. 조직 정책 관리자에게 OS 로그인이 필요 없도록 이 프로젝트의
constraints/compute.requireOsLogin
정책을 수정해 달라고 요청합니다.다른 조직이나 폴더에서 다른 프로젝트를 사용합니다.
GKE 클러스터 배포 실패
GKE 클러스터는 다양한 이유로 배포하지 못할 수 없습니다.
권장 해결 방법
다음 중 한 가지 방법을 사용합니다.
오류가 처음 발생하면 한 번 더 배포해 봅니다.
(권장사항) 프로젝트를 삭제하고 새 프로젝트로 다시 시작합니다.
배포 삭제의 안내를 따라 배포를 삭제합니다. 삭제하지 않고 동일한 프로젝트에 다시 배포하지 마세요.
오류가 지속되면 지원팀에 문의하거나 설문조사에 의견을 남기세요.
GKE Enterprise 구성요소 배포 실패
프로세스 중 Deployment Manager가 다음 단계 중 하나라도 실패할 수 있습니다.
- cluster-registration-with-hub
- anthos-service-mesh-setup
- anthos-config-management-setup
- application-deployment
권장 해결 방법
다음 중 한 가지 방법을 사용합니다.
오류가 처음 발생하면 한 번 더 배포해 봅니다.
(권장사항) 프로젝트를 삭제하고 새 프로젝트로 다시 시작합니다.
배포 삭제의 안내를 따라 배포를 삭제합니다. 삭제하지 않고 동일한 프로젝트에 다시 배포하지 마세요.
오류가 지속되면 지원팀에 문의하거나 설문조사에 의견을 남기세요.
Anthos 샘플 배포의 기존 배포
새 배포를 시도하기 전에 Anthos 샘플 배포의 이전 배포를 삭제해야 합니다. 배포 삭제의 안내를 따라 배포를 삭제합니다. 삭제하지 않고 동일한 프로젝트에 다시 배포하지 마세요.
Anthos 샘플 배포 서비스 계정 권한
Anthos 샘플 배포 서비스 계정에는 여러 IAM 역할이 필요합니다. 배포는 이후 기본 요건 확인 및 설치 단계의 상태를 보고하기 위해 먼저 roles/runtimeconfig.admin
의 권한이 있는지 확인합니다.
다음은 Anthos 샘플 배포 서비스 계정에 필요한 전체 역할 목록입니다.
- roles/cloudtrace.agent
- roles/container.admin
- roles/deploymentmanager.editor
- roles/gkehub.admin
- roles/iam.serviceAccountAdmin
- roles/iam.workloadIdentityUser
- roles/logging.configWriter
- roles/logging.logWriter
- roles/meshconfig.admin
- roles/meshtelemetry.reporter
- roles/monitoring.metricWriter
- roles/resourcemanager.projectIamAdmin
- roles/runtimeconfig.admin
- roles/serviceusage.serviceUsageAdmin
- roles/source.admin
- roles/viewer
Anthos 샘플 배포 서비스 계정을 삭제하고 동일한 이름으로 다시 만들면 예기치 않은 동작이 발생할 수 있습니다.