次の手順とログは、Anthos Service Mesh の VM のサポートに関する問題のトラブルシューティングに役立ちます。
VM をデバッグする
VM インスタンスが動作中でも、メッシュから到達できないことがわかった場合は、VM インスタンスで次の手順を実行します。
エージェントを確認する
Envoy プロキシの正常性を確認します。
curl localhost:15000/ready -v
envoy エラーログを確認する
less /var/log/envoy/envoy.err.log
service-proxy-agent
エラーの確認をします。journalctl -u service-proxy-agent
そのインスタンスの Google Cloud のオペレーション スイート ログまたは
/var/log/syslog
の VM のいずれかでsyslog
を確認します。
プロキシの正常性を確認する
プロキシの構成をデバッグするには、VM で次のコマンドを実行します。
curl localhost:15000/config_dump > config.out
そのファイルをコピーして、次のコマンドを実行します。
istioctl proxy-config [cluster|route|listener] --file config.out
無効なトークンエラー
envoy エラーログに次のようなエラーが表示される場合があります。
E0217 17:59:17.206995798 2411 oauth2_credentials.cc:152] Call to http server ended with error 500 [{
"error": "invalid_target",
"error_description": "federated token response does not have access token. {\"error\":\"invalid_grant\",\"error_description\":\"JWT expired.\"}",
"error_uri": ""
}].
その場合は、VM の /var/run/secrets/tokens/istio-token
のトークンが期限切れであるかどうかを確認し、exp
(エポック秒)の値が経過していないことを確認します。
cat /var/run/secrets/tokens/istio-token | cut -d '.' -f2 | base64 -d | python -m json.tool
{
...
"azp": "...",
"email": "example-service-account@developer.gserviceaccount.com",
"email_verified": true,
"exp": 1613995395,
"google": {
"compute_engine": {
"instance_creation_timestamp": 1613775765,
"instance_id": "5678",
"instance_name": "vm-instance-03-0mqh",
"project_id": "...",
"project_number": 1234,
"zone": "us-central1-c"
}
},
"iat": ...,
"iss": "https://accounts.google.com",
"sub": "..."
}
クラスタをデバッグする
クラスタの問題をトラブルシューティングするには、次の操作を行います。
自動登録が機能していることを確認する
istiod
が自動生成するWorkloadEntry
を確認します。kubectl get workloadentry -n WORKLOAD_NAMESPACE
さらに、Kubernetes オブジェクト ブラウザが存在することも確認できます。
存在しない場合は、
istiod
ログでエラーを確認します。このログは Google Cloud のオペレーション スイートで取得可能です。または、直接取得することもできます。kubectl -n istio-system get pods -l app=istiod
予想される出力は次のようになります。
NAME READY STATUS RESTARTS AGE istiod-asm-190-1-7f6699cfb-5mzxw 1/1 Running 0 5d13h istiod-asm-190-1-7f6699cfb-pgvpf 1/1 Running 0 5d13h
Pod の環境変数を設定し、それを使用してログをエクスポートします。
export ISTIO_POD=istiod-asm-190-1-7f6699cfb-5mzxw kubectl logs -n istio-system {ISTIO_POD} | grep -i 'auto-register\|WorkloadEntry
接続プロキシを確認する
proxy-status
コマンドを使用すると、VM 用のプロキシを含むすべての接続プロキシを一覧表示できます。
istioctl proxy-status
出力には、次のような接続プロキシが表示されます。
NAME CDS LDS EDS RDS ISTIOD VERSION
details-v1-5f449bdbb9-bhl8d.default SYNCED SYNCED SYNCED SYNCED istiod-asm-190-1-7f6699cfb-5mzxw 1.9.0-asm.1
httpbin-779c54bf49-647vd.default SYNCED SYNCED SYNCED SYNCED istiod-asm-190-1-7f6699cfb-pgvpf 1.9.0-asm.1
istio-eastwestgateway-5b6d4ddd9d-5rzx2.istio-system SYNCED SYNCED SYNCED NOT SENT istiod-asm-190-1-7f6699cfb-pgvpf 1.9.0-asm.1
istio-ingressgateway-66b6ddd7cb-ctb6b.istio-system SYNCED SYNCED SYNCED SYNCED istiod-asm-190-1-7f6699cfb-pgvpf 1.9.0-asm.1
istio-ingressgateway-66b6ddd7cb-vk4bb.istio-system SYNCED SYNCED SYNCED SYNCED istiod-asm-190-1-7f6699cfb-5mzxw 1.9.0-asm.1
vm-instance-03-39b3.496270428946 SYNCED SYNCED SYNCED SYNCED istiod-asm-190-1-7f6699cfb-pgvpf 1.9.0
vm-instance-03-nh5k.496270428946 SYNCED SYNCED SYNCED SYNCED istiod-asm-190-1-7f6699cfb-pgvpf 1.9.0
vm-instance-03-s4nl.496270428946 SYNCED SYNCED SYNCED SYNCED istiod-asm-190-1-7f6699cfb-5mzxw 1.9.0
コマンド オプションの詳細については、istioctl proxy-config をご覧ください。
Istio VM のトラブルシューティング ガイド
その他のトラブルシューティング手順については、仮想マシンのデバッグをご覧ください。