« Tüm yayınlar

Vertex AI ve WIF kurulumunda karşılaşılan altı gizli hata

AWS EC2 üzerinde Gemini/Vertex AI ve Workload Identity Federation kurarken çıkan altı farklı hata ve bunların nasıl teşhis edildiği anlatılıyor.

Bu yazı, AWS EC2 üzerinde keyless bir Vertex AI (Gemini) kurulumunu Workload Identity Federation ile canlıya alırken art arda çıkan altı farklı hatayı, karşılaşılma sırasıyla anlatıyor. Sorunların çoğu ilk bakışta aynı 401 Unauthorized hatasının varyasyonu gibi göründüğü için, bunların aslında bağımsız altı ayrı problem olduğunu fark etmek işin en zor kısmı olmuş. Örnekler arasında PM2 dosya adı yazım hatası yüzünden ortam değişkenlerinin sessizce yüklenmemesi, Google'ın hiç kullanmadığı bir HTML hata sayfasının aslında AWS'in EC2 Instance Metadata Service'inden (IMDS) geldiğinin anlaşılması ve AWS ile GCP'nin aynı link-local metadata adresini paylaşmasından kaynaklanan kafa karıştırıcı çakışma yer alıyor.

Diğer bulgular arasında IMDSv2'nin gerektirdiği ek oturum token adımının WIF credential_source yapılandırmasında eksik olması, projedeki gerçek servis hesabı adının dokümantasyondan farklılaşması ve WIF yapılandırmasında impersonation deseninin hiç kullanılmadığının fark edilmesi var. Yazar her hatada curl testleri, pm2 env ve gcloud iam service-accounts list gibi somut komutlarla kaynağı izole etmiş.

Mühendisler için asıl değer, hata mesajının şeklinin beklenen servisle uyuşmadığında (örneğin Google'ın asla döndürmeyeceği çıplak bir XHTML sayfası) bunun başka bir altyapı katmanına işaret ettiğini fark etmek. Bulut sağlayıcılar arası ortak kurallar (link-local metadata adresi gibi) hata ayıklamayı yanıltıcı hale getirebiliyor ve IMDSv2, servis hesabı impersonation gibi güvenlik özellikleri doğru yapılandırılmazsa sessizce başarısız oluyor.