Fehlerbehebung beim Erstellen der Umgebung

Cloud Composer 1 Cloud Composer 2

Diese Seite enthält Informationen zur Fehlerbehebung bei Problemen, die beim Erstellen von Cloud Composer-Umgebungen auftreten können.

Informationen zur Fehlerbehebung im Zusammenhang mit dem Aktualisieren und Upgraden von Umgebungen finden Sie unter Fehlerbehebung bei Umgebungsupdates und -upgrades.

Wenn Cloud Composer-Umgebungen erstellt werden, treten die meisten Probleme aus den folgenden Gründen auf:

  • Probleme mit Dienstkontoberechtigungen

  • Inkorrekte Firewall-, DNS- oder Routinginformationen

  • Netzwerkbezogene Probleme. Beispiel: Ungültige VPC-Konfiguration, IP-Adresskonflikte oder zu enge Netzwerk-IP-Bereiche

  • Kontingentbezogene Probleme

  • Inkompatible Organisationsrichtlinien

Unzureichende Berechtigungen zum Erstellen einer Umgebung

Wenn Cloud Composer keine Umgebung erstellen kann, da Ihr Konto unzureichende Berechtigungen hat, werden die folgenden Fehlermeldungen ausgegeben:

ERROR: (gcloud.composer.environments.create) PERMISSION_DENIED: The caller
does not have permission

oder

ERROR: (gcloud.composer.environments.create) PERMISSION_DENIED: User not
authorized to act as service account <service-account-name>.
The user must be granted iam.serviceAccounts.actAs permission, included in
Owner, Editor, Service Account User role. See https://cloud.google.com/iam/docs
/understanding-service-accounts for additional details.

Lösung: Weisen Sie sowohl Ihrem Konto als auch dem Dienstkonto Ihrer Umgebung Rollen zu, wie unter Zugriffssteuerung beschrieben.

  • Achten Sie in Cloud Composer 2 darauf, dass dem Dienstkonto Cloud Composer-Dienst-Agent (service-PROJECT_NUMBER@cloudcomposer-accounts.iam.gserviceaccount.com) die Rolle Cloud Composer v2 API Service Agent Extension zugewiesen ist.

  • Achten Sie darauf, dass dem Google APIs-Dienst-Agent (PROJECT_NUMBER@cloudservices.gserviceaccount.com) die Rolle Projektbearbeiter zugewiesen ist.

  • Folgen Sie in der Konfiguration der freigegebenen VPC der Anleitung zum Konfigurieren einer freigegebenen VPC.

Das Dienstkonto der Umgebung hat nicht die erforderlichen Berechtigungen

Beim Erstellen einer Cloud Composer-Umgebung geben Sie ein Dienstkonto an, das die GKE-Clusterknoten der Umgebung ausführt. Wenn dieses Dienstkonto nicht die erforderlichen Berechtigungen für den angeforderten Vorgang hat, gibt Cloud Composer den folgenden Fehler aus:

Errors in: [Web server]; Error messages:
  Creation of airflow web server version failed. This may be an intermittent
  issue of the App Engine service. You may retry the operation later.
{"ResourceType":"appengine.v1.version","ResourceErrorCode":"504","ResourceError
Message":"Your deployment has failed to become healthy in the allotted time
and therefore was rolled back. If you believe this was an error, try adjusting
the 'app_start_timeout_sec' setting in the 'readiness_check' section."}

Lösung: Weisen Sie sowohl Ihrem Konto als auch dem Dienstkonto Ihrer Umgebung Rollen zu, wie unter Zugriffssteuerung beschrieben.

Für die Umgebung ausgewähltes VPC-Netzwerk ist nicht vorhanden

Beim Erstellen der Cloud Composer-Umgebung können Sie ein VPC-Netzwerk und ein Subnetz angeben. Wenn Sie kein VPC-Netzwerk angeben, wählt der Cloud Composer-Dienst die VPC default und das Subnetz default für die Region und Zone der Umgebung aus.

Wenn das angegebene VPC-Netzwerk und das angegebene Subnetz nicht vorhanden sind, gibt Cloud Composer den folgenden Fehler aus:

Errors in: [GKE cluster]; Error messages:
        {"ResourceType":"gcp-types/container-v1:projects.locations.clusters","R
        esourceErrorCode":"400","ResourceErrorMessage":{"code":400,"message":"P
        roject \"<your composer project>\" has no network named \"non-existing-
        vpc\".","status":"INVALID_ARGUMENT","statusMessage":"Bad
        Request","requestPath":"https://container.googleapis.com/
        v1/projects/<your composer
        project>/locations/<zone>/clusters","httpMethod":"POST"}}

Lösung:

  • In Cloud Composer 2 können Sie Umgebungen erstellen, in denen Private Service Connect anstelle von VPC-Netzwerken verwendet wird.
  • Prüfen Sie vor dem Erstellen einer Umgebung, ob das VPC-Netzwerk und das Subnetz für die neue Umgebung vorhanden sind.

Falsche Netzwerkkonfiguration

Zum Erstellen von Cloud Composer-Umgebungen ist eine geeignete Netzwerk- oder DNS-Konfiguration erforderlich. Folge dazu einfach diesen Schritten:

Wenn Sie Cloud Composer-Umgebungen in einem Modus für freigegebene VPC konfigurieren, folgen Sie auch dieser Anleitung für freigegebene VPC.

Die Cloud Composer-Umgebung verwendet ein Subnetz für Clusterknoten und IP-Bereiche für Pods und Dienste. So sichern Sie die bidirektionale Kommunikation zwischen diesen IP-Bereichen:

  • Eingehenden und ausgehenden Traffic zwischen dem IP-Bereich des GKE-Knotens und dem IP-Bereich des GKE-Knotens zulassen, alle Ports.
  • Eingehenden und ausgehenden Traffic zwischen dem IP-Bereich des GKE-Knotens und dem IP-Bereich des Pods (alle Ports) zulassen.
  • Eingehenden und ausgehenden Traffic zwischen dem IP-Bereich des GKE-Knotens und dem IP-Bereich der Dienste zulassen (alle Ports).
  • Eingehenden und ausgehenden Traffic zwischen GKE-Pods und IP-Bereichen von Diensten zulassen.
  • Eingehenden und ausgehenden Traffic vom IP-Bereich des GKE-Knotens zum IP-Bereich der GKE-Steuerungsebene, alle Ports.

Sie können auch in den GCP-Aktivitäten nach Logeinträgen der ausgewählten Konfigurationskategorien GCE Networking und Subnetwork suchen, um festzustellen, ob beim Erstellen der Umgebung Fehler aufgetreten sind.

Kontingentprobleme beim Erstellen von Umgebungen in großen Netzwerken aufgetaucht

Beim Erstellen von Cloud Composer-Umgebungen in großen Netzwerken können die folgenden Kontingentbeschränkungen auftreten:

  • Die maximale Anzahl von VPC-Peerings pro einzelnes VPC-Netzwerk ist erreicht.
  • Die maximale Anzahl von primären und sekundären Subnetz-IP-Bereichen wurde erreicht.
  • Die maximale Anzahl von Weiterleitungsregeln in der Peering-Gruppe für das interne TCP/UDP-Load-Balancing wurde erreicht.

Lösung:

Inkompatible Organisationsrichtlinien

Die folgenden Richtlinien müssen entsprechend konfiguriert werden, damit Cloud Composer-Umgebungen erfolgreich erstellt werden können.

Organisationsrichtlinie Cloud Composer 1 Cloud Composer 2
compute.disableSerialPortLogging Für Versionen vor 1.13.0 deaktiviert. Andernfalls jeder beliebige Wert. (Jeder Wert ist zulässig)
compute.requireOsLogin Muss deaktiviert sein Muss deaktiviert sein
compute.vmCanIpForward Muss zugelassen werden (erforderlich für Cloud Composer-eigene GKE-Cluster), wenn der VPC-native Modus (unter Verwendung von Alias-IP-Adresse) nicht konfiguriert ist (Jeder Wert ist zulässig)
compute.vmExternalIpAccess Muss für öffentliche IP-Umgebungen zugelassen werden Muss für öffentliche IP-Umgebungen zugelassen werden
compute.restrictVpcPeering Nicht erzwungen Nicht erzwungen
compute.disablePrivateServiceConnectCreationForConsumers (Jeder Wert ist zulässig) „SERVICE_PRODUCERS“ kann nicht verhindert werden, wenn Private Service Connect verwendet wird

Weitere Informationen finden Sie auf der Seite Bekannte Probleme und unter Einschränkungen für Organisationsrichtlinien.

400 Fehlermeldungen: Der Airflow-Webserver konnte nicht bereitgestellt werden.

Dieser Fehler kann dadurch verursacht werden, dass der GKE-Cluster einer privaten IP-Umgebung aufgrund sich überschneidender IP-Bereiche nicht erstellt wurde.

Lösung: Prüfen Sie die Logs auf Fehler im Cluster Ihrer Umgebung und beheben Sie das Problem basierend auf der GKE-Fehlermeldung.

Weitere Informationen