Bedingungen für den Feature-Status
Hinweis: Kanonische Dienste werden in Cloud Service Mesh Version 1.6.8 und höher automatisch unterstützt.
Auf dieser Seite wird beschrieben, wie Sie Bedingungen interpretieren und Maßnahmen ergreifen, die für Ihren Cloud Service Mesh-Cluster oder Ihre -Flotte gemeldet wurden.
Führen Sie diesen Befehl aus, um nach Bedingungen zu suchen:
gcloud container fleet mesh describe --project FLEET_PROJECT
Die Ausgabe kann conditions in membershipStates für einen Cluster enthalten, z. B.:
...
membershipStates:
projects/test-project/locations/us-central1/memberships/my-membership:
servicemesh:
conditions:
- code: <CONDITION_CODE>
details: ...
documentationLink: ....
severity: ...
Die Werte von code werden auf dieser Seite ausführlicher beschrieben.
NODEPOOL_WORKLOAD_IDENTITY_FEDERATION_REQUIRED
Möglicherweise wird der Fehlercode NODEPOOL_WORKLOAD_IDENTITY_FEDERATION_REQUIRED im Feld Conditions deiner Mitgliedschaft angezeigt:
membershipStates:
projects/test-project/locations/us-central1/memberships/my-membership:
servicemesh:
conditions:
- code: NODEPOOL_WORKLOAD_IDENTITY_FEDERATION_REQUIRED
details: One or more node pools have workload identity federation disabled.
documentationLink: https://cloud.google.com/kubernetes-engine/docs/how-to/workload-identity
severity: ERROR
controlPlaneManagement:
details:
- code: REVISION_FAILED_PRECONDITION
details: Required in-cluster components are not ready. This will be retried
within 15 minutes.
implementation: TRAFFIC_DIRECTOR
state: FAILED_PRECONDITION
Dieser Fehler wird angezeigt, wenn die Workload Identity Federation nicht für alle Knotenpools des GKE-Cluster aktiviert ist. Dies ist eine Voraussetzung für die Installation von Cloud Service Mesh.
Um diese Fehlermeldung zu beheben, müssen Sie die Anleitung zum Aktivieren der Workload Identity-Föderation auf allen Knotenpools befolgen. Die Aktivierung kann je nach Clusterfall variieren.
Nach der Aktivierung sollte die Fehlermeldung automatisch entfernt werden und der Cluster sollte wieder den Status ACTIVE haben. Wenn das Problem weiterhin besteht und Sie weitere Unterstützung benötigen, lesen Sie den Hilfeartikel Support erhalten.
MESH_IAM_PERMISSION_DENIED
Dieser Fehler gibt an, dass das Dienstkonto nicht genügend Berechtigungen für den Zugriff auf Ihr Flottenprojekt hat. Führen Sie die folgenden Schritte zur Fehlerbehebung aus:
Prüfen Sie, ob Ihrem Dienstkonto die Rolle
Anthos Service Mesh Service Agentzugewiesen wurde. Weitere Informationen zum Prüfen und Hinzufügen der IAM-Berechtigung finden Sie unter Revision(en) werden als fehlerhaft gemeldet. Führen Sie dort dieselben Schritte aus.Wenn die Berechtigung bestätigt wurde und das Problem weiterhin besteht, wenden Sie sich bitte an den Google-Kundensupport.
MESH_IAM_CROSS_PROJECT_PERMISSION_DENIED
Dieser Fehler gibt an, dass das Dienstkonto des Flottenprojekts nicht genügend Berechtigungen für den Zugriff auf ein anderes Projekt (das Clusterprojekt oder das Netzwerkprojekt) hat.
Weisen Sie bei einer freigegebenen VPC allen Flottenprojekten die Rolle Anthos Service Mesh Service Agent für das Dienstkonto im Netzwerkprojekt der freigegebene VPC zu.
Weisen Sie dem Dienstkonto des Flottenprojekts in den Szenarien für GKE-Flottenprojekte und Clusterprojekte die Rolle Anthos Service Mesh Service Agent im Clusterprojekt zu.
Beispiel für einen Befehl zur Fehlerbehebung:
Prüfen Sie, ob dem Dienstkonto des Flottenprojekts die Rolle
Anthos Service Mesh Service Agentvom Dienstkonto des Netzwerkprojekts oder des Clusterprojekts gewährt wurde. Falls nicht, führen Sie Folgendes aus:gcloud projects add-iam-policy-binding NETWORK_OR_CLUSTER_PROJECT_ID \ --member "serviceAccount:service-FLEET_PROJECT_NUMBER@gcp-sa-servicemesh.iam.gserviceaccount.com" \ --role roles/anthosservicemesh.serviceAgentAußerdem sollten Sie prüfen, ob es Automatisierungen gibt, die diese Bindung entfernen würden.
Wenn die Berechtigung bestätigt wurde und das Problem weiterhin besteht, wenden Sie sich bitte an den Google-Kundensupport.