常规问题排查

如果您在使用 Pub/Sub 时遇到问题,可查阅以下实用的问题排查步骤。

无法创建主题

验证您是否拥有必要的 权限。 如需创建 Pub/Sub 主题,您需要 对项目具有 Pub/Sub Editor (roles/pubsub.editor) Identity and Access Management 角色。如果您没有此角色,请与您的管理员联系。 如需了解有关主题的更多问题排查信息,请参阅以下页面:

无法创建订阅

检查您是否已执行以下操作:

  • 验证您是否拥有必要的 权限。 如需创建 Pub/Sub 订阅,您需要 对项目具有 Pub/Sub Editor (roles/pubsub.editor) IAM 角色。 如果您没有此角色,请与您的管理员联系。

  • 为订阅指定了名称。

  • 指定了要将订阅附加到的现有主题的名称。

  • 如果创建推送订阅,请在 pushEndpoint 字段中以小写字母指定 https://(而不是 http://HTTPS://)作为接收网址的协议。

如需了解有关订阅的更多问题排查信息,请参阅以下页面:

排查权限问题

Pub/Sub 权限控制哪些用户和服务账号可以对您的 Pub/Sub 资源执行操作。如果权限配置错误,可能会导致权限被拒错误并中断消息流。 审核日志会详细记录所有权限更改,以便您确定这些问题的来源。

如需使用审核日志排查 Pub/Sub 权限问题,请执行以下操作:

  1. 获取查看Logs Explorer 所需的权限。

    如需了解更多信息,请参阅准备工作

  2. 在 Cloud de Confiance 控制台中,前往 Logs Explorer 页面。

    转到 Logs Explorer

  3. 选择现有的 Cloud de Confiance 项目、文件夹或组织。

  4. 以下是可用于查找相关日志的过滤条件列表:

    • resource.type="pubsub_topic" OR resource.type="pubsub_subscription": 在排查可能涉及主题或订阅配置更改 或访问权限控制的任何问题时,请以此查询作为起点。您可以将其与其他过滤条件结合使用,以进一步优化搜索。

    • protoPayload.methodName="google.iam.v1.SetIamPolicy":当您怀疑问题是由权限不正确或缺失引起的时,请使用此查询。它可以帮助您跟踪谁对 IAM 政策进行了更改以及这些更改的内容。这对于排查以下问题非常有用:用户无法发布到主题或订阅,应用被拒绝访问 Pub/Sub 资源,或访问权限控制发生意外更改。

    • protoPayload.status.code=7:当您遇到与权限明确相关的错误时,请使用此查询。这有助于您确定哪些操作失败以及谁在尝试执行这些操作。您可以将此查询与之前的查询结合使用,以确定可能导致权限被拒的特定资源和 IAM 政策更改。

  5. 分析日志以确定事件的时间戳、进行更改的主账号以及所做更改的类型等因素。

  6. 根据从审核日志中收集的信息,您可以采取纠正措施。

排查 Terraform 权限问题

将 Pub/Sub 与 Terraform 搭配使用时,请在 Terraform 代码中明确授予所需的角色。例如,对于发布,您应用的服务帐号需要 roles/pubsub.publisher 角色。如果未在 Terraform 代码中明确定义此角色,则将来的 terraform apply 可能会将其移除。这种情况通常发生在不相关的更新期间,导致可靠的应用突然因 PERMISSION_DENIED 错误而失败。 在代码中明确定义角色可以防止这些意外的回归。

订阅被删除

Pub/Sub 订阅可以通过两种主要方式删除:

  • 具有足够权限的用户或服务帐号有意删除订阅。

  • 订阅会在一段时间(默认情况下为 31 天)无活动后自动删除。如需详细了解订阅 到期政策,请参阅到期期限

如需排查已删除的订阅问题,请执行以下步骤:

  1. 在 Cloud de Confiance 控制台中,前往 Pub/Sub 订阅 页面,并验证订阅是否不再列出。 如需详细了解如何列出订阅, 请参阅列出订阅

  2. 查看审核日志。前往 Logs Explorer 。 使用过滤条件 protoPayload.methodName="google.pubsub.v1.Subscriber.DeleteSubscription" 查找已删除的订阅。检查日志以确定是有人删除了订阅,还是由于无活动而删除了订阅。 InternalExpireInactiveSubscription 表示订阅因无活动而被删除。 如需详细了解如何使用审核日志进行问题排查,请参阅 使用审核日志排查 Pub/Sub 问题

403 (Forbidden) 错误

403 错误通常表示您没有执行操作的正确权限。例如,当您尝试发布到主题或从订阅中拉取时,可能会收到 403 User not authorized 错误。

如果遇到此错误,请执行以下操作:

  • 确保您已在 Cloud de Confiance 控制台中启用 Pub/Sub API。

  • 确保发出请求的主账号对相关 Pub/Sub API 资源具有 所需权限, 尤其是在您使用 Pub/Sub API 进行跨项目通信时。

  • 如果您使用的是 Dataflow,请确保 {PROJECT_NUMBER}@cloudservices.s3ns-system.iam.gserviceaccount.com 和 Compute Engine 服务账号 {PROJECT_NUMBER}-compute@developer.s3ns-system.iam.gserviceaccount.com 对相关 Pub/Sub API 资源都具有所需权限。 如需了解详情,请参阅 Dataflow 安全性和权限

  • 如果您使用的是 App Engine,请检查项目的 权限页面,查看 App Engine 服务账号是否被 列为 Pub/Sub Editor。如果不是,请将您的 App Engine 服务账号添加为 Pub/Sub Editor。通常情况下, App Engine 服务账号的格式为 <project-id>@appspot.s3ns-system.iam.gserviceaccount.com

  • 您可以使用审核日志来排查权限问题

其他常见错误代码

如需查看与 Pub/Sub API 相关的其他常见错误代码 及其说明的列表,请参阅错误代码

连接超时、延迟或网络错误

当 Pub/Sub 客户端应用尝试连接到 Cloud de Confiance by S3NS 服务时,您可能会遇到间歇性或持续性故障。这些问题可能表现为:

  • 发布消息时出现严重延迟,可能会导致应用积压。
  • 超时错误,例如 gRPC DEADLINE_EXCEEDEDcode = DeadlineExceededjava.net.SocketTimeoutException
  • 网络 I/O 故障,例如 UNAVAILABLE: io exceptionConnection refused 错误,尝试访问 pubsub.googleapis.comoauth2.googleapis.com 等服务时出现。

即使您未更改 Pub/Sub 配置或应用代码,也可能会出现这些连接问题。当本地或 VPC 防火墙对 Google API 使用硬编码的 IP 地址许可名单时,这种情况经常发生。Google 服务(包括 Pub/Sub 及其依赖项(如身份验证服务))使用动态 IP 地址范围。如果您的防火墙未考虑新的 IP 地址,则可能会阻止流向新 IP 地址的流量,从而导致连接和身份验证失败。

为确保连接稳定,请避免为 Google 服务使用基于静态 IP 的防火墙规则。请改用以下方法:

  • 将防火墙配置为允许使用 Google 发布的默认网域 IP 范围(而不是硬编码的地址)的流量。如需了解如何获取 这些范围并自动更新防火墙规则,请参阅默认网域的 IP 地址
  • 启用 专用 Google 访问通道,这 允许 VPC 网络中的实例访问 Google API 和服务,而无需遍历公共互联网,从而简化防火墙 管理。

JWT 无效:令牌必须是短期令牌

如果您的应用与 Pub/Sub API 交互时收到类似 Invalid JWT: Token must be a short-lived token (60 minutes) and in a reasonable timeframe 的错误,这通常表示 身份验证凭据的时间存在问题。

此错误发生在验证用于对 API 请求进行身份验证的 JSON Web 令牌 (JWT) 期间。常见原因是运行 Pub/Sub 库的客户端机器与 Google 的身份验证服务器之间存在显著的时间差(时间偏差)。由于 JWT 的有效时间窗口有限,因此时钟差异可能会导致它们被视为已过期或尚未生效。

如需解决此问题,请同步客户端机器的时钟:

  • 验证机器上的日期、时间和时区是否正确。

  • 使用网络时间协议 (NTP) 服务保持系统时间同步,并验证该服务是否正在运行且配置正确。

使用过多的管理操作

如果您发现占用了过多 管理操作配额, 可能需要重构代码。例如,请参考下面的伪代码。在此示例中,管理操作 (GET) 用于在尝试使用其资源之前检查是否存在订阅。GETCREATE 都是管理员操作:

if !GetSubscription my-sub {
  CreateSubscription my-sub
}
Consume from subscription my-sub

更有效的模式是尝试使用订阅中的消息(假设您可以合理地确定订阅名称)。在这种乐观方式中,您只能在发生错误时获取或创建订阅。请参考下面的示例:

try {
  Consume from subscription my-sub
} catch NotFoundError {
  CreateSubscription my-sub
  Consume from subscription my-sub
}

您可以使用以下代码示例以您选择的语言实现此模式:

Go

以下示例使用 Go Pub/Sub 客户端库的主要版本 (v2)。如果您仍在使用 v1 库,请参阅 迁移到 v2 的指南。 如需查看 v1 代码示例的列表,请参阅 已废弃的代码示例

在尝试此示例之前,请按照 《快速入门:使用客户端库》中的 Go 设置说明进行操作。 如需了解详情,请参阅 Pub/Sub Go API 参考文档

import (
	"context"
	"errors"
	"fmt"
	"io"
	"time"

	"cloud.google.com/go/pubsub/v2"
	"cloud.google.com/go/pubsub/v2/apiv1/pubsubpb"
	"google.golang.org/grpc/codes"
	"google.golang.org/grpc/status"
)

// optimisticSubscribe shows the recommended pattern for optimistically
// assuming a subscription exists prior to receiving messages.
func optimisticSubscribe(w io.Writer, projectID, topic, subscriptionName string) error {
	// projectID := "my-project-id"
	// topic := "projects/my-project-id/topics/my-topic"
	// subscription := "projects/my-project/subscriptions/my-sub"
	ctx := context.Background()
	client, err := pubsub.NewClient(ctx, projectID)
	if err != nil {
		return fmt.Errorf("pubsub.NewClient: %w", err)
	}
	defer client.Close()

	// client.Subscriber can be passed a subscription ID (e.g. "my-sub") or
	// a fully qualified name (e.g. "projects/my-project/subscriptions/my-sub").
	// If a subscription ID is provided, the project ID from the client is used.
	sub := client.Subscriber(subscriptionName)

	// Receive messages for 10 seconds, which simplifies testing.
	// Comment this out in production, since `Receive` should
	// be used as a long running operation.
	ctx, cancel := context.WithTimeout(ctx, 10*time.Second)
	defer cancel()

	// Instead of checking if the subscription exists, optimistically try to
	// receive from the subscription assuming it exists.
	err = sub.Receive(ctx, func(_ context.Context, msg *pubsub.Message) {
		fmt.Fprintf(w, "Got from existing subscription: %q\n", string(msg.Data))
		msg.Ack()
	})
	if err != nil {
		if st, ok := status.FromError(err); ok {
			if st.Code() == codes.NotFound {
				// If the subscription does not exist, then create the subscription.
				subscription, err := client.SubscriptionAdminClient.CreateSubscription(ctx, &pubsubpb.Subscription{
					Name:  subscriptionName,
					Topic: topic,
				})
				if err != nil {
					return err
				}
				fmt.Fprintf(w, "Created subscription: %q\n", subscriptionName)

				// client.Subscriber can be passed a subscription ID (e.g. "my-sub") or
				// a fully qualified name (e.g. "projects/my-project/subscriptions/my-sub").
				// If a subscription ID is provided, the project ID from the client is used.
				sub = client.Subscriber(subscription.GetName())
				err = sub.Receive(ctx, func(ctx context.Context, msg *pubsub.Message) {
					fmt.Fprintf(w, "Got from new subscription: %q\n", string(msg.Data))
					msg.Ack()
				})
				if err != nil && !errors.Is(err, context.Canceled) {
					return err
				}
			}
		}
	}
	return nil
}

Java

在尝试此示例之前,请按照《快速入门:使用客户端库》中的 Java 设置说明进行操作。 如需了解详情,请参阅 Pub/Sub Java API 参考文档


import com.google.api.gax.rpc.NotFoundException;
import com.google.cloud.pubsub.v1.AckReplyConsumer;
import com.google.cloud.pubsub.v1.MessageReceiver;
import com.google.cloud.pubsub.v1.Subscriber;
import com.google.cloud.pubsub.v1.SubscriptionAdminClient;
import com.google.common.util.concurrent.MoreExecutors;
import com.google.pubsub.v1.ProjectSubscriptionName;
import com.google.pubsub.v1.PubsubMessage;
import com.google.pubsub.v1.PushConfig;
import com.google.pubsub.v1.Subscription;
import com.google.pubsub.v1.TopicName;
import java.io.IOException;
import java.util.concurrent.TimeUnit;
import java.util.concurrent.TimeoutException;

public class OptimisticSubscribeExample {
  public static void main(String... args) throws Exception {
    // TODO(developer): Replace these variables before running the sample.
    String projectId = "your-project-id";
    String subscriptionId = "your-subscription-id";
    String topicId = "your-topic-id";

    optimisticSubscribeExample(projectId, subscriptionId, topicId);
  }

  public static void optimisticSubscribeExample(
      String projectId, String subscriptionId, String topicId) throws IOException {
    ProjectSubscriptionName subscriptionName =
        ProjectSubscriptionName.of(projectId, subscriptionId);

    // Instantiate an asynchronous message receiver.
    MessageReceiver receiver =
        (PubsubMessage message, AckReplyConsumer consumer) -> {
          // Handle incoming message, then ack the received message.
          System.out.println("Id: " + message.getMessageId());
          System.out.println("Data: " + message.getData().toStringUtf8());
          consumer.ack();
        };

    Subscriber subscriber = null;
    try {
      subscriber = Subscriber.newBuilder(subscriptionName, receiver).build();

      // Listen for resource NOT_FOUND errors and rebuild the  subscriber and restart subscribing
      // when the current subscriber encounters these errors.
      subscriber.addListener(
          new Subscriber.Listener() {
            public void failed(Subscriber.State from, Throwable failure) {
              System.out.println(failure.getStackTrace());
              if (failure instanceof NotFoundException) {
                try (SubscriptionAdminClient subscriptionAdminClient =
                    SubscriptionAdminClient.create()) {
                  TopicName topicName = TopicName.of(projectId, topicId);
                  // Create a pull subscription with default acknowledgement deadline of 10 seconds.
                  // The client library will automatically extend acknowledgement deadlines.
                  Subscription subscription =
                      subscriptionAdminClient.createSubscription(
                          subscriptionName, topicName, PushConfig.getDefaultInstance(), 10);
                  System.out.println("Created pull subscription: " + subscription.getName());
                  optimisticSubscribeExample(projectId, subscriptionId, topicId);
                } catch (IOException err) {
                  System.out.println("Failed to create pull subscription: " + err.getMessage());
                }
              }
            }
          },
          MoreExecutors.directExecutor());

      subscriber.startAsync().awaitRunning();
      System.out.printf("Listening for messages on %s:\n", subscriptionName.toString());
      subscriber.awaitTerminated(30, TimeUnit.SECONDS);
    } catch (IllegalStateException e) {
      // Prevent an exception from being thrown if it is the expected NotFoundException
      if (!(subscriber.failureCause() instanceof NotFoundException)) {
        throw e;
      }
    } catch (TimeoutException e) {
      subscriber.stopAsync();
    }
  }
}

Node.js

在尝试此示例之前,请按照《快速入门:使用客户端库》中的 Node.js 设置说明进行操作。如需了解详情,请参阅 Pub/Sub Node.js API 参考文档

/**
 * TODO(developer): Uncomment these variables before running the sample.
 */
// const subscriptionNameOrId = 'YOUR_SUBSCRIPTION_NAME_OR_ID';
// const topicNameOrId = 'YOUR_TOPIC_NAME_OR_ID';
// const timeout = 60;

// Imports the Google Cloud client library
const {PubSub} = require('@google-cloud/pubsub');

// Creates a client; cache this for further use
const pubSubClient = new PubSub();

function optimisticSubscribe(subscriptionNameOrId, topicNameOrId, timeout) {
  // Try using an existing subscription
  let subscription = pubSubClient.subscription(subscriptionNameOrId);

  // Create an event handler to handle messages
  let messageCount = 0;
  const messageHandler = message => {
    console.log(`Received message ${message.id}:`);
    console.log(`\tData: ${message.data}`);
    console.log(`\tAttributes: ${message.attributes}`);
    messageCount += 1;

    // "Ack" (acknowledge receipt of) the message
    message.ack();
  };

  // Set an error handler so that we're notified if the subscription doesn't
  // already exist.
  subscription.on('error', async e => {
    // Resource Not Found
    if (e.code === 5) {
      console.log('Subscription not found, creating it');
      await pubSubClient.createSubscription(
        topicNameOrId,
        subscriptionNameOrId,
      );

      // Refresh our subscriber object and re-attach the message handler.
      subscription = pubSubClient.subscription(subscriptionNameOrId);
      subscription.on('message', messageHandler);
    }
  });

  // Listen for new messages until timeout is hit; this will attempt to
  // open the actual subscriber streams. If it fails, the error handler
  // above will be called.
  subscription.on('message', messageHandler);

  // Wait a while for the subscription to run. (Part of the sample only.)
  setTimeout(() => {
    subscription.removeListener('message', messageHandler);
    console.log(`${messageCount} message(s) received.`);
  }, timeout * 1000);
}

Node.ts

在尝试此示例之前,请按照 《快速入门:使用客户端库》中的 Node.js 设置说明进行操作。 如需了解详情,请参阅 Pub/Sub Node.js API 参考文档

/**
 * TODO(developer): Uncomment these variables before running the sample.
 */
// const subscriptionNameOrId = 'YOUR_SUBSCRIPTION_NAME_OR_ID';
// const topicNameOrId = 'YOUR_TOPIC_NAME_OR_ID';
// const timeout = 60;

// Imports the Google Cloud client library
import {PubSub, Message, StatusError} from '@google-cloud/pubsub';

// Creates a client; cache this for further use
const pubSubClient = new PubSub();

function optimisticSubscribe(
  subscriptionNameOrId: string,
  topicNameOrId: string,
  timeout: number,
) {
  // Try using an existing subscription
  let subscription = pubSubClient.subscription(subscriptionNameOrId);

  // Create an event handler to handle messages
  let messageCount = 0;
  const messageHandler = (message: Message) => {
    console.log(`Received message ${message.id}:`);
    console.log(`\tData: ${message.data}`);
    console.log(`\tAttributes: ${message.attributes}`);
    messageCount += 1;

    // "Ack" (acknowledge receipt of) the message
    message.ack();
  };

  // Set an error handler so that we're notified if the subscription doesn't
  // already exist.
  subscription.on('error', async (e: StatusError) => {
    // Resource Not Found
    if (e.code === 5) {
      console.log('Subscription not found, creating it');
      await pubSubClient.createSubscription(
        topicNameOrId,
        subscriptionNameOrId,
      );

      // Refresh our subscriber object and re-attach the message handler.
      subscription = pubSubClient.subscription(subscriptionNameOrId);
      subscription.on('message', messageHandler);
    }
  });

  // Listen for new messages until timeout is hit; this will attempt to
  // open the actual subscriber streams. If it fails, the error handler
  // above will be called.
  subscription.on('message', messageHandler);

  // Wait a while for the subscription to run. (Part of the sample only.)
  setTimeout(() => {
    subscription.removeListener('message', messageHandler);
    console.log(`${messageCount} message(s) received.`);
  }, timeout * 1000);
}

Python

在尝试此示例之前,请按照《快速入门:使用客户端库》中的 Python 设置说明进行操作。 如需了解详情,请参阅 Pub/Sub Python API 参考文档

from google.api_core.exceptions import NotFound
from google.cloud import pubsub_v1
from concurrent.futures import TimeoutError

# TODO(developer)
# project_id = "your-project-id"
# subscription_id = "your-subscription-id"
# Number of seconds the subscriber should listen for messages
# timeout = 5.0
# topic_id = "your-topic-id"

# Create a subscriber client.
subscriber = pubsub_v1.SubscriberClient()

# The `subscription_path` method creates a fully qualified identifier
# in the form `projects/{project_id}/subscriptions/{subscription_id}`
subscription_path = subscriber.subscription_path(project_id, subscription_id)

# Define callback to be called when a message is received.
def callback(message: pubsub_v1.subscriber.message.Message) -> None:
    # Ack message after processing it.
    message.ack()

# Wrap subscriber in a 'with' block to automatically call close() when done.
with subscriber:
    try:
        # Optimistically subscribe to messages on the subscription.
        streaming_pull_future = subscriber.subscribe(
            subscription_path, callback=callback
        )
        streaming_pull_future.result(timeout=timeout)
    except TimeoutError:
        print("Successfully subscribed until the timeout passed.")
        streaming_pull_future.cancel()  # Trigger the shutdown.
        streaming_pull_future.result()  # Block until the shutdown is complete.
    except NotFound:
        print(f"Subscription {subscription_path} not found, creating it.")

        try:
            # If the subscription does not exist, then create it.
            publisher = pubsub_v1.PublisherClient()
            topic_path = publisher.topic_path(project_id, topic_id)
            subscription = subscriber.create_subscription(
                request={"name": subscription_path, "topic": topic_path}
            )

            if subscription:
                print(f"Subscription {subscription.name} created")
            else:
                raise ValueError("Subscription creation failed.")

            # Subscribe on the created subscription.
            try:
                streaming_pull_future = subscriber.subscribe(
                    subscription.name, callback=callback
                )
                streaming_pull_future.result(timeout=timeout)
            except TimeoutError:
                streaming_pull_future.cancel()  # Trigger the shutdown.
                streaming_pull_future.result()  # Block until the shutdown is complete.
        except Exception as e:
            print(
                f"Exception occurred when creating subscription and subscribing to it: {e}"
            )
    except Exception as e:
        print(f"Exception occurred when attempting optimistic subscribe: {e}")

C++

在尝试此示例之前,请按照《快速入门:使用客户端库》中的 C++ 设置说明进行操作。如需了解详情,请参阅 Pub/Sub C++ API 参考文档

auto process_response = [](gc::StatusOr<pubsub::PullResponse> response) {
  if (response) {
    std::cout << "Received message " << response->message << "\n";
    std::move(response->handler).ack();
    return gc::Status();
  }
  if (response.status().code() == gc::StatusCode::kUnavailable &&
      response.status().message() == "no messages returned") {
    std::cout << "No messages returned from Pull()\n";
    return gc::Status();
  }
  return response.status();
};

// Instead of checking if the subscription exists, optimistically try to
// consume from the subscription.
auto status = process_response(subscriber.Pull());
if (status.ok()) return;
if (status.code() != gc::StatusCode::kNotFound) throw std::move(status);

// Since the subscription does not exist, create the subscription.
pubsub_admin::SubscriptionAdminClient subscription_admin_client(
    pubsub_admin::MakeSubscriptionAdminConnection());
google::pubsub::v1::Subscription request;
request.set_name(
    pubsub::Subscription(project_id, subscription_id).FullName());
request.set_topic(
    pubsub::Topic(project_id, std::move(topic_id)).FullName());
auto sub = subscription_admin_client.CreateSubscription(request);
if (!sub) throw std::move(sub).status();

// Consume from the new subscription.
status = process_response(subscriber.Pull());
if (!status.ok()) throw std::move(status);