Bedingungen für den Feature-Status

Hinweis: Kanonische Dienste werden in Cloud Service Mesh Version 1.6.8 und höher automatisch unterstützt.

Auf dieser Seite wird beschrieben, wie Sie Bedingungen interpretieren und Maßnahmen ergreifen, die für Ihren Cloud Service Mesh-Cluster oder Ihre -Flotte gemeldet wurden.

Führen Sie diesen Befehl aus, um nach Bedingungen zu suchen:

  gcloud container fleet mesh describe --project FLEET_PROJECT

Die Ausgabe kann conditions in membershipStates für einen Cluster enthalten, z. B.:

  ...
  membershipStates:
    projects/test-project/locations/us-central1/memberships/my-membership:
      servicemesh:
        conditions:
          - code: <CONDITION_CODE>
            details: ...
            documentationLink: ....
            severity: ...

Die Werte von code werden auf dieser Seite ausführlicher beschrieben.

NODEPOOL_WORKLOAD_IDENTITY_FEDERATION_REQUIRED

Möglicherweise wird der Fehlercode NODEPOOL_WORKLOAD_IDENTITY_FEDERATION_REQUIRED im Feld Conditions deiner Mitgliedschaft angezeigt:

    membershipStates:
      projects/test-project/locations/us-central1/memberships/my-membership:
        servicemesh:
          conditions:
          - code: NODEPOOL_WORKLOAD_IDENTITY_FEDERATION_REQUIRED
            details: One or more node pools have workload identity federation disabled.
            documentationLink: https://cloud.google.com/kubernetes-engine/docs/how-to/workload-identity
            severity: ERROR
          controlPlaneManagement:
            details:
            - code: REVISION_FAILED_PRECONDITION
              details: Required in-cluster components are not ready. This will be retried
                within 15 minutes.
            implementation: TRAFFIC_DIRECTOR
            state: FAILED_PRECONDITION

Dieser Fehler wird angezeigt, wenn die Workload Identity Federation nicht für alle Knotenpools des GKE-Cluster aktiviert ist. Dies ist eine Voraussetzung für die Installation von Cloud Service Mesh.

Um diese Fehlermeldung zu beheben, müssen Sie die Anleitung zum Aktivieren der Workload Identity-Föderation auf allen Knotenpools befolgen. Die Aktivierung kann je nach Clusterfall variieren.

Nach der Aktivierung sollte die Fehlermeldung automatisch entfernt werden und der Cluster sollte wieder den Status ACTIVE haben. Wenn das Problem weiterhin besteht und Sie weitere Unterstützung benötigen, lesen Sie den Hilfeartikel Support erhalten.

MESH_IAM_PERMISSION_DENIED

Dieser Fehler gibt an, dass das Dienstkonto nicht genügend Berechtigungen für den Zugriff auf Ihr Flottenprojekt hat. Führen Sie die folgenden Schritte zur Fehlerbehebung aus:

  1. Prüfen Sie, ob Ihrem Dienstkonto die Rolle Anthos Service Mesh Service Agent zugewiesen wurde. Weitere Informationen zum Prüfen und Hinzufügen der IAM-Berechtigung finden Sie unter Revision(en) werden als fehlerhaft gemeldet. Führen Sie dort dieselben Schritte aus.

  2. Wenn die Berechtigung bestätigt wurde und das Problem weiterhin besteht, wenden Sie sich bitte an den Google-Kundensupport.

MESH_IAM_CROSS_PROJECT_PERMISSION_DENIED

Dieser Fehler gibt an, dass das Dienstkonto des Flottenprojekts nicht genügend Berechtigungen für den Zugriff auf ein anderes Projekt (das Clusterprojekt oder das Netzwerkprojekt) hat.

Weisen Sie bei einer freigegebenen VPC allen Flottenprojekten die Rolle Anthos Service Mesh Service Agent für das Dienstkonto im Netzwerkprojekt der freigegebene VPC zu.

Weisen Sie dem Dienstkonto des Flottenprojekts in den Szenarien für GKE-Flottenprojekte und Clusterprojekte die Rolle Anthos Service Mesh Service Agent im Clusterprojekt zu.

Beispiel für einen Befehl zur Fehlerbehebung:

  1. Prüfen Sie, ob dem Dienstkonto Ihres Netzwerkprojekts oder Clusterprojekts die Rolle Anthos Service Mesh Service Agent für das Dienstkonto des Flottenprojekts zugewiesen ist. Falls nicht, führen Sie Folgendes aus:

    gcloud projects add-iam-policy-binding NETWORK_OR_CLUSTER_PROJECT_ID  \
        --member "serviceAccount:service-FLEET_PROJECT_NUMBER@gcp-sa-servicemesh.iam.gserviceaccount.com" \
        --role roles/anthosservicemesh.serviceAgent
    

    Außerdem sollten Sie prüfen, ob es keine Automatisierung gibt, die diese Bindung entfernen würde.

  2. Wenn die Berechtigung bestätigt wurde und das Problem weiterhin besteht, wenden Sie sich bitte an den Google-Kundensupport.

CONFIG_VALIDATION_ERROR

Dieser Fehler gibt an, dass eine bestimmte Mesh-Konfiguration, die auf eine oder mehrere Mitgliedschaften in der Flotte angewendet wurde, nicht angewendet werden kann. In den Fehlerdetails wird beschrieben, wie der Nutzer das Problem am besten beheben kann.

  membershipStates:
    projects/test-project/locations/us-central1/memberships/my-membership:
      servicemesh:
        conditions:
        - code: CONFIG_VALIDATION_ERROR
          details: 'Unsupported ProxyConfig fields: [proxyconfig.statNameLength]'
          severity: ERROR
        controlPlaneManagement:

Bei Konfigurationsvalidierungsfehlern für eine bestimmte Konfiguration ist eine Nutzeraktion erforderlich. Fehler im Zusammenhang mit der Verwendung nicht unterstützter API-Felder können beispielsweise am besten behoben werden, indem die entsprechende Konfiguration aus der Mesh API entfernt wird.

Rufen Sie in der Cloud Console „Kubernetes Engine“ > „Secrets und ConfigMaps“ > „istio-asm-managed“ auf (der Name der ConfigMap hängt davon ab, welchen Release-Kanal Sie verwenden, z. B. „istio-asm-managed-stable“ oder „istio-asm-managed-rapid“). Wählen Sie dann den Tab „YAML“ aus.

meshConfig.configSources wird beispielsweise nicht mehr unterstützt:

apiVersion: v1
data:
  mesh: |
    enablePrometheusMerge: true
    trustDomain: "foobar.svc.id.goog"
    trustDomainAliases:
      - cluster.local

    configSources:
      - address: k8s://
      - address: fs:///var/lib/istio/config/data