기능 상태 조건 이해

참고: 표준 서비스는 Cloud Service Mesh 버전 1.6.8 이상에서 자동으로 지원됩니다.

이 페이지에서는 Cloud Service Mesh 클러스터 또는 Fleet에서 보고된 조건을 해석하고 조치하는 방법을 설명합니다.

조건을 확인하려면 다음 명령어를 실행합니다.

  gcloud container fleet mesh describe --project FLEET_PROJECT

출력에는 클러스터의 membershipStatesconditions가 포함될 수 있습니다. 예를 들면 다음과 같습니다.

  ...
  membershipStates:
    projects/test-project/locations/us-central1/memberships/my-membership:
      servicemesh:
        conditions:
          - code: <CONDITION_CODE>
            details: ...
            documentationLink: ....
            severity: ...

code 값은 이 페이지에서 자세히 설명됩니다.

NODEPOOL_WORKLOAD_IDENTITY_FEDERATION_REQUIRED

멤버십의 Conditions 필드에 NODEPOOL_WORKLOAD_IDENTITY_FEDERATION_REQUIRED 오류 코드가 표시될 수 있습니다.

    membershipStates:
      projects/test-project/locations/us-central1/memberships/my-membership:
        servicemesh:
          conditions:
          - code: NODEPOOL_WORKLOAD_IDENTITY_FEDERATION_REQUIRED
            details: One or more node pools have workload identity federation disabled.
            documentationLink: https://cloud.google.com/kubernetes-engine/docs/how-to/workload-identity
            severity: ERROR
          controlPlaneManagement:
            details:
            - code: REVISION_FAILED_PRECONDITION
              details: Required in-cluster components are not ready. This will be retried
                within 15 minutes.
            implementation: TRAFFIC_DIRECTOR
            state: FAILED_PRECONDITION

Cloud Service Mesh 설치의 기본 요건이므로 GKE 클러스터의 모든 노드 풀에 워크로드 아이덴티티 제휴가 사용 설정되어 있지 않으면 이 오류가 표시됩니다.

이 오류 메시지를 해결하려면 모든 노드 풀에서 워크로드 아이덴티티 제휴 사용 설정 안내를 따라야 합니다. 사용 설정 여부는 특정 클러스터 케이스에 따라 다를 수 있습니다.

사용 설정 후 오류 메시지가 자동으로 삭제되고 클러스터가 ACTIVE 상태로 돌아갑니다. 문제가 지속되고 추가 지원이 필요하면 지원 받기를 참조하세요.

MESH_IAM_PERMISSION_DENIED

이 오류는 서비스 계정에 Fleet 프로젝트에 액세스하는 데 충분한 권한이 없음을 나타냅니다. 문제 해결 단계를 수행합니다.

  1. 서비스 계정에 Anthos Service Mesh Service Agent 역할이 부여되었는지 확인합니다. IAM 권한을 확인하고 추가하는 방법에 대한 자세한 내용은 버전이 비정상 오류로 보고됨으로 이동하여 같은 단계를 수행합니다.

  2. 문제가 지속되는 동안에 권한이 확인되면 Google 고객 지원팀에 문의하여 도움을 요청하세요.

MESH_IAM_CROSS_PROJECT_PERMISSION_DENIED

이 오류는 Fleet 프로젝트 서비스 계정에 다른 프로젝트(클러스터 프로젝트 또는 네트워크 프로젝트)에 액세스하는 데 충분한 권한이 없음을 나타냅니다.

공유 VPC의 경우 공유 VPC 네트워크 프로젝트에서 모든 Fleet 프로젝트 서비스 계정에 Anthos Service Mesh Service Agent 역할을 부여해야 합니다.

GKE Fleet 프로젝트 및 클러스터 프로젝트 시나리오의 경우 클러스터 프로젝트에서 Fleet 프로젝트 서비스 계정에 Anthos Service Mesh Service Agent 역할을 부여해야 합니다.

다음은 문제 해결 명령어 예시입니다.

  1. 네트워크 프로젝트 또는 클러스터 프로젝트 서비스 계정에서 Fleet 프로젝트 서비스 계정에 Anthos Service Mesh Service Agent 역할을 부여했는지 확인합니다. 그렇지 않은 경우 다음을 실행합니다.

    gcloud projects add-iam-policy-binding NETWORK_OR_CLUSTER_PROJECT_ID  \
    --member "serviceAccount:service-FLEET_PROJECT_NUMBER@gcp-sa-servicemesh.iam.gserviceaccount.com" \
    --role roles/anthosservicemesh.serviceAgent

    또한 이 바인딩을 삭제하는 자동화가 없는지 확인합니다.

  2. 문제가 지속되는 동안에 권한이 확인되면 Google 고객 지원팀에 문의하여 도움을 요청하세요.