排解 Airflow 網路伺服器問題

Cloud Composer 3 | Cloud Composer 2 | Cloud Composer 1

本頁面提供 Airflow 常見網頁伺服器問題的疑難排解步驟和資訊。

Airflow 網路伺服器是 Airflow 元件，可提供 Airflow DAG 和工作任務的使用者介面。本頁說明疑難排解步驟，針對您環境的 Airflow 網路伺服器存取問題，或 Airflow 記錄中顯示的網路伺服器相關警告。

啟用網路存取權控管功能後，無法存取 Airflow UI

症狀：設定網路伺服器存取控管後，無法存取 Airflow UI。通常，在這種情況下顯示的錯誤代碼為 403。

問題相關資訊：Cloud Composer 支援網路伺服器網路存取權控管，可讓您指定允許連線至網路伺服器的 IP 範圍。

存取 Airflow UI 時發生問題通常會導致 403 錯誤。如要確認錯誤是否與網路伺服器網路存取權控管相關，請按照下列步驟操作：

1. 在環境清單中，按一下環境名稱。「環境詳細資料」頁面隨即開啟。
2. 前往「環境設定」分頁。
3. 檢查「網路伺服器存取控管」項目是否設為「所有 IP 位址都有存取權 (預設)」。
4. 如果設定的值與「所有 IP 位址皆可存取 (預設)」不同，系統就會啟用網路存取權控管，並將 Airflow UI 的顯示範圍限制在所提供的 IPv4 和 IPv6 位址範圍內。在這種情況下，問題可能與網路伺服器網路存取權控管有關。

在大多數情況下，問題的原因是您指定的預期 IP 與實際用於連線至 Airflow UI 的 IP 不相符。如要排解問題，請按照下列步驟操作：

1. 在環境清單中，按一下環境名稱。「環境詳細資料」頁面隨即開啟。

2. 前往「環境設定」分頁。

3. 找出「網路伺服器存取控管機制」項目，然後按一下「編輯」。

4. 在「Web server network access control」(網路伺服器網路存取控制) 對話方塊中，選取「Allow access from all IP addresses」(允許所有 IP 位址傳出的存取要求)。

5. 多次存取 Airflow UI，並確認該介面運作正常，沒有任何問題：

   • 如果沒有遇到問題，請繼續下一個步驟。

   • 如果此時發生問題，表示問題可能與 IAM 權限設定有關。如要進一步瞭解 Cloud Composer 的 IAM 權限，請參閱「存取權控管」。

6. 在「網路伺服器網路存取權控管」對話方塊中，選取「只允許來自特定 IP 位址的存取要求」。

7. 新增 0.0.0.0/0 IP 範圍，然後多次存取 Airflow UI，並確認是否正常運作：

   • 如果沒有遇到問題，表示您連線的 IP 為 IPv4 位址。

   • 如果此時發生問題，表示您連線的 IP 為 IPv6 位址。

8. 刪除 0.0.0.0/0 IP 範圍，並新增 ::/0 IP 範圍。

   • 如果沒有發生問題，表示您連線的 IP 為 IPv6 位址。

   • 如果此時發生問題，表示您連線的 IP 為 IPv4 位址。

9. 您現在已判斷解析的位址是 IPv4 或 IPv6。

10. 視地址類型而定，將 ::/0 或 0.0.0.0/0 範圍縮小到更明確的範圍，以便在存取權停止運作時驗證最廣泛的範圍：

    • 您可以從寬廣的子網路遮罩 (例如 192.0.2.0/8) 開始，其中包含您假設為 IP 位址的位址。

    • 如要判斷自己的 IP 位址，您可以使用第三方服務，該服務會在您造訪其網頁時提供外部 IP 位址。您可以使用「what is my IP address」(我的 IP 位址為何) 搜尋查詢，找到這類服務。

設定頁面未顯示設定值

為避免使用者存取可能含有機密資訊的資料，部分 Airflow 設定參數會隱藏在設定頁面中。例如，系統不會顯示存取 Airflow 資料庫的憑證。

如要顯示隱藏的欄位，請覆寫下列 Airflow 設定選項。建議您在取得必要值後，將變更還原。

區段	鍵	值	附註
webserver	expose_config	True	預設值為 non-sensitive-only。設為 False 可隱藏所有設定參數。

DAG 導致 Airflow 網路伺服器當機或傳回「502 gateway timeout」錯誤

網路伺服器錯誤有幾個可能成因。在 Cloud Logging 中查看 airflow-webserver 記錄，找出 502 gateway timeout 錯誤的原因。

高負載運算

本節僅適用於 Cloud Composer 1。

您可以自訂工作站和排程器節點的機器類型，以提高 CPU 和記憶體容量，但網路伺服器不同，其使用的是固定機器類型，如果剖析時進行的運算作業耗用過多資源，可能會導致 DAG 剖析失敗。

請注意，網路伺服器有 2 個 vCPU 和 2 GB 的記憶體。core-dagbag_import_timeout 的預設值為 30 秒。這個逾時值會定義 Airflow 在 /dags 資料夾中載入 Python 模組的時間長度上限。

權限錯誤

本節僅適用於 Cloud Composer 1。

執行網路伺服器與執行工作站和排程器的伺服器帳戶並不相同。因此，工作站和排程器或許能夠存取網路伺服器無法存取的使用者代管資源。

建議您避免在剖析 DAG 的期間存取非公開資源。有時您不得不存取非公開資源，在這種情況下，您必須為網路伺服器的服務帳戶授予相關權限。服務帳戶名稱衍生自網路伺服器網域。舉例來說，如果網域是 example-tp.appspot.com，則服務帳戶為 example-tp@appspot.gserviceaccount.com。

DAG 錯誤

本節僅適用於 Cloud Composer 1。

網路伺服器是在 App Engine 上執行，並與環境的 GKE 叢集隔開。網路伺服器會剖析 DAG 定義檔，如果 DAG 中有錯誤，就可能發生 502 gateway timeout。如果有問題的 DAG 不會中斷 GKE 中執行的任何程序，Airflow 就能在沒有可用網路伺服器的情況下正常運作。在這種情況下，您可以使用 gcloud composer environments run 從環境中擷取詳細資料，並在網路伺服器無法使用時做為解決方法。

在其他情況下，您可以在 GKE 中剖析 DAG，並留意是否有 DAG 擲回嚴重 Python 例外狀況或逾時 (超出預設的 30 秒)。如要進行疑難排解，請連線至 Airflow 工作站容器中的遠端殼層並進行測試，檢查是否有語法錯誤。詳情請參閱測試 DAG 一文。

後續步驟

• 存取 Airflow UI
• 存取權控管