Cloud Service Mesh e Traffic Director sono ora Cloud Service Mesh. Per saperne di più, consulta la panoramica di Cloud Service Mesh.

Questa pagina è stata tradotta dall'API Cloud Translation.

Informazioni sulle condizioni dello stato della funzionalità

Nota: i servizi canonici sono supportati automaticamente in Cloud Service Mesh versione 1.6.8 e successive.

Questa pagina descrive come interpretare e intervenire in base alle condizioni segnalate nel cluster o nel parco risorse Cloud Service Mesh.

Per verificare la presenza di condizioni, esegui questo comando:

  gcloud container fleet mesh describe --project FLEET_PROJECT

L'output può includere conditions in membershipStates per un cluster, ad esempio:

  ...
  membershipStates:
    projects/test-project/locations/us-central1/memberships/my-membership:
      servicemesh:
        conditions:
          - code: <CONDITION_CODE>
            details: ...
            documentationLink: ....
            severity: ...

I valori di code sono descritti in modo più dettagliato in questa pagina.

NODEPOOL_WORKLOAD_IDENTITY_FEDERATION_REQUIRED

Potresti visualizzare il codice di errore NODEPOOL_WORKLOAD_IDENTITY_FEDERATION_REQUIRED nel campo Conditions del tuo abbonamento:

    membershipStates:
      projects/test-project/locations/us-central1/memberships/my-membership:
        servicemesh:
          conditions:
          - code: NODEPOOL_WORKLOAD_IDENTITY_FEDERATION_REQUIRED
            details: One or more node pools have workload identity federation disabled.
            documentationLink: https://cloud.google.com/kubernetes-engine/docs/how-to/workload-identity
            severity: ERROR
          controlPlaneManagement:
            details:
            - code: REVISION_FAILED_PRECONDITION
              details: Required in-cluster components are not ready. This will be retried
                within 15 minutes.
            implementation: TRAFFIC_DIRECTOR
            state: FAILED_PRECONDITION

Questo errore viene visualizzato se nel cluster GKE non è abilitata la federazione Workload Identity su tutti i pool di nodi del cluster, poiché questo è un prerequisito per l'installazione di Cloud Service Mesh.

Per risolvere questo messaggio di errore, devi seguire le istruzioni per abilitare la federazione di Workload Identity su tutti i pool di nodi. Tieni presente che l'attivazione può variare a seconda della richiesta specifica del cluster.

Dopo l'attivazione, il messaggio di errore dovrebbe essere rimosso automaticamente e il tuo cluster dovrebbe tornare allo stato ACTIVE. Se il problema persiste e hai bisogno di ulteriore assistenza, consulta la sezione Ricevere assistenza.

MESH_IAM_PERMISSION_DENIED

Questo errore indica che l'account di servizio non dispone delle autorizzazioni sufficienti per accedere al progetto del tuo parco veicoli. Segui i passaggi per la risoluzione dei problemi:

Verifica se al tuo account di servizio è stato concesso il ruolo Anthos Service Mesh Service Agent. Per informazioni dettagliate su come verificare e aggiungere l'autorizzazione IAM, vai a Revisioni segnalate come errori non validi e segui gli stessi passaggi.
Se l'autorizzazione è stata verificata e il problema persiste, contatta l'Assistenza clienti Google per ulteriore assistenza.

MESH_IAM_CROSS_PROJECT_PERMISSION_DENIED

Questo errore indica che l'account di servizio del progetto del parco risorse non dispone di autorizzazioni sufficienti per accedere a un altro progetto (il progetto del cluster o il progetto di rete).

Per VPC condiviso, assicurati di concedere a tutti gli account di servizio dei progetti di parchi il ruolo Anthos Service Mesh Service Agent nel progetto di rete VPC condiviso.

Per gli scenari del progetto del parco risorse e del progetto cluster GKE, assicurati di concedere all'account di servizio del progetto del parco risorse il ruolo Anthos Service Mesh Service Agent nel progetto cluster.

Comando di risoluzione dei problemi di esempio:

Verifica se l'account di servizio del progetto di rete o del progetto del cluster ha concesso il ruolo Anthos Service Mesh Service Agent all'account di servizio del progetto del parco risorse. In caso contrario, esegui:
```
gcloud projects add-iam-policy-binding NETWORK_OR_CLUSTER_PROJECT_ID  \
    --member "serviceAccount:service-FLEET_PROJECT_NUMBER@gcp-sa-servicemesh.iam.gserviceaccount.com" \
    --role roles/anthosservicemesh.serviceAgent
```
Inoltre, verifica di non avere automazioni che rimuovano questa associazione.
Se l'autorizzazione è stata verificata e il problema persiste, contatta l'Assistenza clienti Google per ulteriore assistenza.

CONFIG_VALIDATION_ERROR

Questo errore indica che non è possibile applicare correttamente alcune configurazioni relative al mesh applicate a uno o più abbonamenti nel parco risorse. I dettagli dell'errore descrivono il modo migliore in cui l'utente può risolvere il problema.

  membershipStates:
    projects/test-project/locations/us-central1/memberships/my-membership:
      servicemesh:
        conditions:
        - code: CONFIG_VALIDATION_ERROR
          details: 'Unsupported ProxyConfig fields: [proxyconfig.statNameLength]'
          severity: ERROR
        controlPlaneManagement:

Gli errori di convalida della configurazione per una configurazione specifica richiedono un'azione dell'utente. Ad esempio, gli errori relativi all'utilizzo di campi API non supportati sono meglio risolti rimuovendo la configurazione in questione dall'API Mesh.

Nella console Cloud, vai a Kubernetes Engine > Secrets e ConfigMap > istio-asm-managed (il nome del ConfigMap dipende dal canale di rilascio in uso, ad esempio istio-asm-managed-stable o istio-asm-managed-rapid) e seleziona la scheda YAML.

Ad esempio, meshConfig.configSources non è più supportato:

apiVersion: v1
data:
  mesh: |
    enablePrometheusMerge: true
    trustDomain: "foobar.svc.id.goog"
    trustDomainAliases:
      - cluster.local

    configSources:
      - address: k8s://
      - address: fs:///var/lib/istio/config/data