Comprendre les conditions d'état des éléments géographiques
Remarque:Les services canoniques sont automatiquement pris en charge dans les versions 1.6.8 et ultérieures de Cloud Service Mesh.
Cette page explique comment interpréter et prendre des mesures en fonction des conditions signalées sur votre cluster ou parc Cloud Service Mesh.
Pour vérifier les conditions, exécutez la commande suivante:
gcloud container fleet mesh describe --project FLEET_PROJECT
La sortie peut inclure conditions dans membershipStates pour un cluster, par exemple:
...
membershipStates:
projects/test-project/locations/us-central1/memberships/my-membership:
servicemesh:
conditions:
- code: <CONDITION_CODE>
details: ...
documentationLink: ....
severity: ...
Les valeurs de code sont décrites plus en détail sur cette page.
NODEPOOL_WORKLOAD_IDENTITY_FEDERATION_REQUIRED
Le code d'erreur NODEPOOL_WORKLOAD_IDENTITY_FEDERATION_REQUIRED peut s'afficher dans le champ Conditions de votre abonnement:
membershipStates:
projects/test-project/locations/us-central1/memberships/my-membership:
servicemesh:
conditions:
- code: NODEPOOL_WORKLOAD_IDENTITY_FEDERATION_REQUIRED
details: One or more node pools have workload identity federation disabled.
documentationLink: https://cloud.google.com/kubernetes-engine/docs/how-to/workload-identity
severity: ERROR
controlPlaneManagement:
details:
- code: REVISION_FAILED_PRECONDITION
details: Required in-cluster components are not ready. This will be retried
within 15 minutes.
implementation: TRAFFIC_DIRECTOR
state: FAILED_PRECONDITION
Cette erreur s'affiche si la fédération d'identité de charge de travail n'est pas activée sur tous les pools de nœuds du cluster GKE, car il s'agit d'une condition préalable à l'installation de Cloud Service Mesh.
Pour résoudre ce message d'erreur, vous devez suivre les instructions pour activer la fédération d'identité de charge de travail sur tous les pools de nœuds. Notez que l'activation peut varier en fonction de votre cas de cluster spécifique.
Une fois l'activation effectuée, le message d'erreur devrait être automatiquement supprimé et votre cluster devrait revenir à l'état ACTIVE. Si le problème persiste et que vous avez besoin d'aide supplémentaire, consultez la page Obtenir de l'aide.
MESH_IAM_PERMISSION_DENIED
Cette erreur indique que le compte de service ne dispose pas d'autorisations suffisantes pour accéder à votre projet de parc. Suivez la procédure de dépannage:
Vérifiez si votre compte de service a reçu le rôle
Anthos Service Mesh Service Agent. Pour savoir comment vérifier et ajouter une autorisation IAM, consultez Erreur de révision(s) signalée(s) comme étant non opérationnelle(s) et suivez les mêmes étapes.Si l'autorisation est validée, mais que le problème persiste, contactez l'assistance client Google pour obtenir de l'aide.
MESH_IAM_CROSS_PROJECT_PERMISSION_DENIED
Cette erreur indique que le compte de service du projet de parc ne dispose pas d'autorisations suffisantes pour accéder à un autre projet (le projet de cluster ou le projet de réseau).
Pour le VPC partagé, assurez-vous d'attribuer le rôle Anthos Service Mesh Service Agent à tous les comptes de service de projets de parc dans le projet de réseau VPC partagé.
Pour les scénarios de projet de parc GKE et de projet de cluster, veillez à attribuer le rôle Anthos Service Mesh Service Agent au compte de service du projet de parc dans le projet de cluster.
Exemple de commande de dépannage:
Vérifiez si le compte de service de votre projet de réseau ou de cluster a attribué le rôle
Anthos Service Mesh Service Agentau compte de service du projet de parc. Sinon, exécutez la commande suivante:gcloud projects add-iam-policy-binding NETWORK_OR_CLUSTER_PROJECT_ID \ --member "serviceAccount:service-FLEET_PROJECT_NUMBER@gcp-sa-servicemesh.iam.gserviceaccount.com" \ --role roles/anthosservicemesh.serviceAgentVérifiez également qu'aucune automatisation ne supprime cette liaison.
Si l'autorisation est validée, mais que le problème persiste, contactez l'assistance client Google pour obtenir de l'aide.