Cloud Composer 1 | Cloud Composer 2 | Cloud Composer 3
En esta página, se proporciona información para solucionar problemas que podrían surgir durante la creación de entornos de Cloud Composer.
Para obtener información sobre la solución de problemas relacionados con la actualización de entornos, ver Soluciona problemas de actualizaciones y mejoras de entornos.
Cuando se crean entornos de Cloud Composer, la mayoría de los problemas ocurren debido a los siguientes motivos:
Problemas de permisos de la cuenta de servicio
Firewall, información de enrutamiento o DNS incorrectos
Problemas relacionados con la red Por ejemplo, una configuración de VPC no válida, la dirección IP conflictos o rangos de IP de red demasiado estrechos.
Problemas relacionados con la cuota
Políticas de la organización incompatibles
No tienes permisos suficientes para crear un entorno
Si Cloud Composer no puede crear un entorno porque tu cuenta no tiene los permisos suficientes, se mostrarán los siguientes mensajes de error:
ERROR: (gcloud.composer.environments.create) PERMISSION_DENIED: The caller
does not have permission
o
ERROR: (gcloud.composer.environments.create) PERMISSION_DENIED: User not
authorized to act as service account <service-account-name>.
The user must be granted iam.serviceAccounts.actAs permission, included in
Owner, Editor, Service Account User role. See https://cloud.google.com/iam/docs
/understanding-service-accounts for additional details.
Solución: Asigna roles a tu cuenta y a la cuenta de servicio de tu entorno como se describe en Control de acceso.
En Cloud Composer 2, asegúrate de que el Agente de servicio de Cloud Composer cuenta de servicio (
service-PROJECT_NUMBER@cloudcomposer-accounts.iam.gserviceaccount.com
) tenga asignada la función de extensión de agente de servicio de la API de Cloud Composer v2.Asegúrate de que el agente de servicio de las APIs de Google (
PROJECT_NUMBER@cloudservices.gserviceaccount.com
) tenga asignado el rol de Editor.En la configuración de la VPC compartida, sigue las instrucciones para configurar la VPC compartida.
La cuenta de servicio del entorno no tiene permisos suficientes.
Cuando creas un entorno de Cloud Composer, especificas una cuenta de servicio que ejecuta los nodos del clúster de GKE del entorno. Si esta cuenta de servicio no tiene suficientes permisos para la operación solicitada, Cloud Composer genera el siguiente error:
Errors in: [Web server]; Error messages:
Creation of airflow web server version failed. This may be an intermittent
issue of the App Engine service. You may retry the operation later.
{"ResourceType":"appengine.v1.version","ResourceErrorCode":"504","ResourceError
Message":"Your deployment has failed to become healthy in the allotted time
and therefore was rolled back. If you believe this was an error, try adjusting
the 'app_start_timeout_sec' setting in the 'readiness_check' section."}
Solución: Asigna roles a tu cuenta y a la cuenta de servicio de tu entorno como se describe en Control de acceso.
Advertencias sobre los roles de IAM faltantes en las cuentas de servicio
Cuando la creación de un entorno falla, Cloud Composer genera
siguiente mensaje de advertencia después de un error:
The issue may be caused by missing IAM roles in the following Service Accounts
...
Este mensaje de advertencia destaca las posibles causas del error. Cloud Composer busca roles obligatorios en las cuentas de servicio de tu proyecto y, si no están presentes, genera este mensaje de advertencia.
Solución: Verifica que las cuentas de servicio mencionadas en el mensaje de advertencia tengan los roles necesarios. Para obtener más información sobre los roles y permisos en Cloud Composer, consulta Control de acceso.
En algunos casos, puedes ignorar esta advertencia. Cloud Composer no verificar los permisos individuales asignados a los roles. Por ejemplo, si usas roles de IAM personalizados, es posible que la cuenta de servicio mencionada en el mensaje de advertencia ya tenga todos los permisos necesarios. En este puedes ignorar esta advertencia.
No existe una red de VPC seleccionada para el entorno
Puedes especificar una red de VPC y una subred para Cloud Composer
el entorno de ejecución
cuando lo crees. Si no especificas una red de VPC, la
El servicio de Cloud Composer selecciona la VPC default
y la default
.
subred para la región y la zona del entorno.
Si la red y subred de VPC especificadas no existen, entonces Cloud Composer genera el siguiente error:
Errors in: [GKE cluster]; Error messages:
{"ResourceType":"gcp-types/container-v1:projects.locations.clusters","R
esourceErrorCode":"400","ResourceErrorMessage":{"code":400,"message":"P
roject \"<your composer project>\" has no network named \"non-existing-
vpc\".","status":"INVALID_ARGUMENT","statusMessage":"Bad
Request","requestPath":"https://container.googleapis.com/
v1/projects/<your composer
project>/locations/<zone>/clusters","httpMethod":"POST"}}
Solución:
- En Cloud Composer 2, puedes crear entornos que usen Private Service Connect en lugar de redes de VPC.
- Antes de crear un entorno, asegúrate de que la red de VPC y la subred de tu entorno nuevo existan.
Configuración de red incorrecta
La creación de entornos de Cloud Composer requiere una configuración de red o DNS adecuada. Sigue estas instrucciones para configurar la conectividad a las APIs y los servicios de Google:
Si configuras entornos de Cloud Composer en un modo de VPC compartida, también sigue las instrucciones de la VPC compartida.
Un entorno de Cloud Composer usa una subred para los rangos de IP y los nodos del clúster para Pods y Services. Para garantizar la comunicación con estos y otros rangos de IP, sigue estas instrucciones para configurar reglas de firewall:
También puedes buscar entradas de registro en GCE Networking
y
Subnetwork
de categorías de configuración en Cloud Logging para ver si hay alguna
informados durante la creación del entorno:
Cloud Logging
Problemas de cuotas encontrados cuando se crean entornos en redes a gran escala
Cuando creas entornos de Cloud Composer en redes a gran escala, puedes encontrar las siguientes limitaciones de cuota:
- Se alcanza la cantidad máxima de intercambios de tráfico de VPC por red de VPC.
- Se alcanza la cantidad máxima de rangos de IP de subred principales y secundarios.
- Se alcanza la cantidad máxima de reglas de reenvío en el grupo de intercambio de tráfico para el balanceo de cargas TCP/UDP interno.
Solución:
- En Cloud Composer 2, puedes crear entornos que usar Private Service Connect en lugar de VPC redes.
- En Cloud Composer 1, aplica el enfoque recomendado para Cloud Composer en redes a gran escala.
Políticas de la organización incompatibles
Las siguientes políticas deben configurarse de forma correcta para que los entornos de Cloud Composer se puedan crear correctamente.
Política de la organización | Cloud Composer 3 | Cloud Composer 2 | Cloud Composer 1 |
---|---|---|---|
compute.disableSerialPortLogging |
(se permite cualquier valor) | Debe inhabilitarse | Inhabilitado para las versiones anteriores a la 1.13.0; de lo contrario, cualquier valor |
compute.requireOsLogin |
(se permite cualquier valor) | (se permite cualquier valor) | Debe inhabilitarse |
compute.vmCanIpForward |
(se permite cualquier valor) | (se permite cualquier valor) | Se debe permitir (obligatorio para los clústeres de GKE de Cloud Composer) cuando el modo nativo de la VPC (con alias de IP) no está configurado |
compute.vmExternalIpAccess |
(se permite cualquier valor) | Se debe permitir en entornos de IP públicas | Se debe permitir en entornos de IP públicas |
compute.restrictVpcPeering |
Se puede aplicar de manera forzosa | No se puede aplicar | No se puede aplicar |
compute.disablePrivateServiceConnectCreationForConsumers |
(se permite cualquier valor) | No se puede inhabilitar SERVICE_PRODUCERS en entornos de IP públicas y privadas. No afecta los entornos existentes; pueden funcionar cuando esta política habilitado. | No se puede inhabilitar SERVICE_PRODUCERS para los entornos de IP privada. No afecta los entornos existentes; pueden funcionar cuando esta política habilitado. |
compute.restrictPrivateServiceConnectProducer |
Cuando esté activa, agrega a la lista de entidades permitidas la organización google.com . |
Cuando esté activa, agrega a la lista de entidades permitidas la organización google.com . |
(se permite cualquier valor) |
Para obtener más información, consulta la página Problemas conocidos y las restricciones de las políticas de la organización.
Restringe los servicios que se usan en la organización o el proyecto
Los administradores de organizaciones o proyectos pueden restringir los servicios de Google que se pueden
utilizadas en sus proyectos con la
gcp.restrictServiceUsage
restricción de la política de la organización.
Cuando usas esta política de la organización, es importante Permitir todos los servicios que requiere Cloud Composer.
Mensaje de error 400: No se pudo implementar el servidor web de Airflow.
Este error puede deberse a un error en la creación del clúster de GKE del entorno IP privado debido a la superposición de rangos de IP.
Solución: Verifica los registros de cualquier falla en el clúster del entorno y resuelve el problema según el mensaje de error de GKE.
Cloud Build no puede compilar imágenes de entorno
Se aplica a Cloud Composer 2 y Cloud Composer 1.
Si la cuenta de servicio de Cloud Build (PROJECT_NUMBER@cloudbuild.gserviceaccount.com
) no tiene el rol de Cuenta de servicio de Cloud Build (roles/cloudbuild.builds.builder
) en tu proyecto, es posible que los intentos de crear o actualizar un entorno fallen con errores relacionados con los permisos.
Por ejemplo, es posible que veas el mensaje denied: Permission "artifactregistry.repositories.uploadArtifacts" denied
seguido de ERROR: failed to push because we ran out of retries
en los registros de Cloud Build.
Para resolver este problema, asegúrate de que la cuenta de servicio de Cloud Build tenga Roles de cuenta de servicio de Cloud Build.