Memecahkan masalah kredensial

Dokumen ini memberikan informasi untuk membantu Anda memecahkan masalah otorisasi dan kredensial Ops Agent di instance VM Compute Engine.

Jika Ops Agent melaporkan error akses atau otorisasi, atau jika agen tampaknya berjalan normal, tetapi tidak ada data atau kebijakan pemberitahuan tidak berfungsi seperti yang Anda harapkan, periksa apakah kredensial instance VM Anda sudah benar, termasuk apakah kredensial tersebut menentukan project yang benar:

Memverifikasi kredensial Compute Engine

Gunakan halaman instance VM Compute Engine di konsol Google Cloud untuk memverifikasi bahwa instance VM Compute Engine Anda memiliki kredensial yang memadai untuk Ops Agent. Kredensial biasanya ditambahkan di akun layanan default semua instance VM Compute Engine baru, tetapi Anda dapat mengganti setelan default tersebut saat membuat instance.

Di konsol Google Cloud , buka halaman VM instances:

Buka instance VM

Jika Anda menggunakan kotak penelusuran untuk menemukan halaman ini, pilih hasil yang subjudulnya adalah Compute Engine.

  1. Jika perlu, ubah project saat ini menjadi project yang terkait dengan instance VM Compute Engine Anda. Google Cloud Misalnya, jika Anda diminta untuk Aktifkan penagihan, berarti project saat ini tidak memiliki instance VM Compute Engine.
  2. Di halaman VM Instances, klik nama instance VM Anda. Halaman detail untuk instance VM Anda akan muncul.
  3. Di halaman VM instance details, lihat di bagian heading Cloud API access scopes:
    • Jika Anda melihat "Izinkan akses penuh ke semua Cloud API", berarti Anda memiliki kredensial yang memadai.
    • Jika Anda melihat, di samping Stackdriver Monitoring API, nama yang lebih lama untuk Cloud Monitoring API, bahwa Anda memiliki izin Hanya Tulis atau Penuh, berarti Anda memiliki kredensial yang memadai.
    • Jika tidak, akun layanan default instance Anda tidak memiliki kredensial yang diperlukan oleh agen. Untuk menggunakan agen di instance, Anda harus menambahkan kredensial akun layanan kunci pribadi. Untuk mengetahui petunjuknya, lihat Menambahkan kredensial.

Jika Anda memiliki kredensial default yang benar, lanjutkan ke Menginstal di Linux dan Windows.

Memverifikasi kredensial kunci pribadi

Untuk memverifikasi bahwa kredensial kunci pribadi yang valid diinstal pada instance VM Anda, verifikasi terlebih dahulu bahwa file kredensial ada di lokasi yang diharapkan, lalu verifikasi bahwa informasi dalam file kredensial valid. Kredensial yang sebelumnya valid dapat dicabut menggunakan bagian IAM & Admin > Service accounts di konsol Google Cloud . Jika kredensial yang valid tidak ada, lihat Menambahkan kredensial untuk mengganti kredensial yang ada atau menambahkan kredensial baru.

Apakah kredensial ada?

Untuk melihat apakah kredensial akun layanan kunci pribadi ada di instance Anda, jalankan perintah Linux berikut di instance Anda:

sudo cat $GOOGLE_APPLICATION_CREDENTIALS
sudo cat /etc/google/auth/application_default_credentials.json

Jika salah satu perintah menampilkan file seperti yang ditunjukkan di bawah, berarti instance Anda mungkin memiliki kredensial kunci pribadi yang valid. Jika kedua perintah menampilkan file, maka file yang ditunjukkan oleh GOOGLE_APPLICATION_CREDENTIALS akan digunakan.

{
  "type": "service_account",
  "project_id": "{your-project-id}",
  "private_key_id": "{your-private-key-id}",
  "private_key": "{your-private-key}",
  "client_email": "{your-project-number}-{your-key}@developer.gserviceaccount.com",
  "client_id": "{your-client-id}",
  "auth_uri": "https://accounts.google.com/o/oauth2/auth",
  "token_uri": "https://accounts.google.com/o/oauth2/token",
  "auth_provider_x509_cert_url": "{x509-cert-url}",
  "client_x509_cert_url": "{client-x509-cert-url}"
}

Jika tidak ada file kredensial, lihat Menambahkan kredensial.

Apakah kredensial valid?

Dalam file kredensial, kolom project_id adalah project Google Cloud Anda, client_email mengidentifikasi akun layanan dalam project, dan private_key_id mengidentifikasi kunci pribadi dalam akun layanan. Cocokkan informasi ini dengan yang ditampilkan di bagian IAM & Admin > Service accounts di konsolGoogle Cloud .

File kredensial tidak valid jika salah satu hal berikut berlaku:

  • Anda memeriksa instance VM Compute Engine, tetapi Google Cloud project dalam file kredensial bukan project yang berisi instance Anda.
  • Akun layanan yang tercantum tidak ada. Foto mungkin telah dihapus.
  • Akun layanan yang tercantum tidak memiliki peran yang tepat. Akun tersebut harus memiliki setidaknya roles/monitoring.metricWriter (Monitoring Metric Writer) untuk pengumpulan metrik dan roles/logging.logWriter (Logs Writer) untuk menulis log.
  • Kunci pribadi tidak ada. Izin mungkin telah dicabut.

Jika akun layanan tidak bermasalah, tetapi kunci pribadinya telah dicabut, Anda dapat membuat kunci pribadi baru dan menyalinnya ke instance Anda. Jika tidak, Anda harus membuat akun layanan baru seperti yang dijelaskan di bagian berikut, Menambahkan kredensial.

Membuat kredensial baru

Jika kredensial tidak valid, lakukan langkah-langkah berikut:

  1. Untuk setiap project terhubung yang berisi instance yang perlu diberi otorisasi dengan kunci pribadi — Instance Compute Engine yang dibuat tanpa menyertakan cakupan akses https://www.googleapis.com/auth/monitoring.write — Buat akun layanan dan buat kunci pribadi, jika belum ada. Ikuti langkah-langkah di bawah ini:

    1. Di konsol Google Cloud , buka halaman  Setelan:

      Buka Setelan

      Jika Anda menggunakan kotak penelusuran untuk menemukan halaman ini, pilih hasil yang subjudulnya adalah Monitoring.

    2. Pilih tab Cakupan Netric.
    3. Identifikasi project yang berisi resource Compute Engine yang dipermasalahkan dan buka konsol Google Cloud .
    4. Buka halaman IAM Service Accounts di konsol Google Cloud , pilih project Google Cloud Anda, buat akun layanan baru, lalu buat kunci pribadi baru untuk akun layanan tersebut.

      Untuk melakukan langkah-langkah ini, lakukan salah satu hal berikut:

      • Buka halaman IAM Service Accounts, pilih project Google Cloud Anda, lalu ikuti langkah-langkah di Membuat akun layanan:

        Buka Akun Layanan IAM

      • Klik tombol berikut, lalu pilih project Google Cloud :

        Membuat akun layanan dan mendownload kunci

        Tombol sebelumnya mengotomatiskan proses pembuatan dan mendownload kunci ke sistem lokal Anda untuk akun layanan khusus agen. Jika perlu, proses juga membuat akun layanan yang diperlukan dan memastikan bahwa akun layanan tersebut memiliki izin yang benar. Akun layanan khusus agen memiliki nama yang mirip dengan stackdriver-1234@PROJECT_ID.iam.gserviceaccount.com. Anda akan diberi tahu tentang penyelesaian tindakan ini dengan dialog yang mirip dengan berikut ini:

        Banner yang memberi tahu pengguna bahwa akun layanan dan kunci telah dibuat.

  2. Ganti kunci pribadi pada instance yang sesuai dengan akun layanan yang dimaksud.

    • Di Linux, ganti kunci pribadi yang ada di /etc/google/auth/application_default_credentials.json.
    • Di Windows, ganti kunci pribadi yang ada di C:\ProgramData\Google\Auth\application_default_credentials.json. Untuk mengetahui informasi selengkapnya, lihat Menyalin kunci pribadi ke instance Anda.

  3. Memulai ulang agen

    • Di Linux, jalankan sudo service stackdriver-agent restart
    • Di Windows, buka konsol pengelolaan layanan dan mulai ulang layanan Cloud Monitoring.

Jika Anda memiliki beberapa project yang memerlukan kunci pribadi baru, ulangi prosedur ini untuk setiap project.

Untuk memverifikasi bahwa kunci pribadi sudah benar, lihat Apakah kredensial ada?. Secara khusus:

  • Baca file JSON kunci pribadi di instance, misalnya (di Linux): sudo cat /etc/google/auth/application_default_credentials.json
  • Pastikan nilai kolom project_id cocok dengan nilai project yang dipantau yang baru saja Anda buatkan kredensialnya.