Solución de problemas de creación de entornos

Cloud Composer 1 | Cloud Composer 2

En esta página, se proporciona información para solucionar problemas que podrían surgir durante la creación de entornos de Cloud Composer.

Para obtener información sobre la solución de problemas relacionados con la actualización de los entornos, consulta Solución de problemas de actualizaciones y entornos de actualización.

Cuando se crean entornos de Cloud Composer, la mayoría de los problemas ocurren debido a los siguientes motivos:

  • Problemas de permisos de la cuenta de servicio

  • Firewall, información de enrutamiento o DNS incorrecto

  • Problemas relacionados con la red Por ejemplo, configuración de VPC no válida, conflictos de direcciones IP o rangos de IP de red que son demasiado reducidos

  • Problemas relacionados con la cuota

  • Políticas de la organización incompatibles

No tienes permisos suficientes para crear un entorno

Si Cloud Composer no puede crear un entorno porque tu cuenta no tiene los permisos suficientes, se mostrarán los siguientes mensajes de error:

ERROR: (gcloud.composer.environments.create) PERMISSION_DENIED: The caller
does not have permission

o

ERROR: (gcloud.composer.environments.create) PERMISSION_DENIED: User not
authorized to act as service account <service-account-name>.
The user must be granted iam.serviceAccounts.actAs permission, included in
Owner, Editor, Service Account User role. See https://cloud.google.com/iam/docs
/understanding-service-accounts for additional details.

Solución: Asigna funciones a tu cuenta y a la cuenta de servicio de tu entorno como se describe en Control de acceso.

  • En Cloud Composer 2, asegúrate de que la cuenta de servicio del agente del servicio de Cloud Composer (service-PROJECT_NUMBER@cloudcomposer-accounts.iam.gserviceaccount.com) tenga asignada la función Extensión de agente de servicio de la API de Cloud Composer.

  • Asegúrate de que la función Agente de servicio de las API de Google (PROJECT_NUMBER@cloudservices.gserviceaccount.com) tenga asignada la función de Editor de proyecto.

  • En la configuración de VPC compartida, sigue las instrucciones de la VPC compartida.

La cuenta de servicio del entorno no tiene permisos suficientes.

Cuando creas un entorno de Cloud Composer, debes especificar una cuenta de servicio que ejecute los nodos del clúster de GKE del entorno. Si esta cuenta de servicio no tiene suficientes permisos para la operación solicitada, Cloud Composer muestra el siguiente error:

Errors in: [Web server]; Error messages:
  Creation of airflow web server version failed. This may be an intermittent
  issue of the App Engine service. You may retry the operation later.
{"ResourceType":"appengine.v1.version","ResourceErrorCode":"504","ResourceError
Message":"Your deployment has failed to become healthy in the allotted time
and therefore was rolled back. If you believe this was an error, try adjusting
the 'app_start_timeout_sec' setting in the 'readiness_check' section."}

Solución: Asigna funciones a tu cuenta y a la cuenta de servicio de tu entorno como se describe en Control de acceso.

No existe una red de VPC seleccionada para el entorno

Puedes especificar una red de VPC y una subred para crear tu entorno de Cloud Composer cuando la crees. Si no especificas una red de VPC, el servicio de Cloud Composer selecciona la VPC default y la subred default para la región y zona del entorno.

Si la red de VPC y la subred especificadas no existen, Cloud Composer muestra el siguiente error:

Errors in: [GKE cluster]; Error messages:
        {"ResourceType":"gcp-types/container-v1:projects.locations.clusters","R
        esourceErrorCode":"400","ResourceErrorMessage":{"code":400,"message":"P
        roject \"<your composer project>\" has no network named \"non-existing-
        vpc\".","status":"INVALID_ARGUMENT","statusMessage":"Bad
        Request","requestPath":"https://container.googleapis.com/
        v1/projects/<your composer
        project>/locations/<zone>/clusters","httpMethod":"POST"}}

Solución:

  • En Cloud Composer 2, puedes crear entornos que usen Private Service Connect en lugar de redes de VPC.
  • Antes de crear un entorno, asegúrate de que existan la red de VPC y la subred para el entorno nuevo.

La configuración de red es incorrecta

Las creaciones de entorno de Cloud Composer requieren una configuración de DNS o de red adecuada. Sigue estas instrucciones:

Si configuras entornos de Cloud Composer en un modo de VPC compartida, sigue también estas instrucciones de VPC compartida.

El entorno de Cloud Composer usa una subred para los rangos de IP y los nodos del clúster de los Pods y objetos Service. Para garantizar la comunicación bidireccional entre estos rangos de IP, haz lo siguiente:

  • Permitir el tráfico de entrada y salida entre el rango de IP del nodo de GKE y el rango de IP del nodo de GKE, todos los puertos.
  • Permitir el tráfico de entrada y salida entre el rango de IP del nodo de GKE y el rango de IP de los Pods, todos los puertos
  • Permitir el tráfico de entrada y salida entre el rango de IP del nodo de GKE y el rango de IP de los servicios, todos los puertos.
  • Permitir el tráfico de entrada y salida entre los rangos de IP de los Pods de GKE y los servicios, todos los puertos.
  • Permitir la entrada y la salida del rango de IP del nodo de GKE al rango de IP del plano de control de GKE, todos los puertos.

También puedes verificar si hay entradas de registro en las categorías de configuración GCE Networking y Subnetwork seleccionadas en Actividades de GCP para ver si se informaron errores durante la creación del entorno.

Problemas de cuotas encontrados cuando se crean entornos en redes a gran escala

Cuando creas entornos de Cloud Composer en redes a gran escala, puedes encontrar las siguientes limitaciones de cuota:

  • Se alcanza la cantidad máxima de intercambios de tráfico de VPC por red de VPC.
  • Se alcanza la cantidad máxima de rangos de IP de subred principales y secundarios.
  • Se alcanza la cantidad máxima de reglas de reenvío en el grupo de intercambio de tráfico para el balanceo de cargas TCP/UDP interno.

Solución:

Políticas de la organización incompatibles

Las siguientes políticas deben configurarse de forma correcta para que los entornos de Cloud Composer se puedan crear correctamente.

Política organizacional Cloud Composer 1 Cloud Composer 2
compute.disableSerialPortLogging Inhabilitado para las versiones anteriores a la 1.13.0; de lo contrario, cualquier valor (se permite cualquier valor)
compute.requireOsLogin Debe inhabilitarse Debe inhabilitarse
compute.vmCanIpForward Se debe permitir (obligatorio para los clústeres de GKE de Cloud Composer) cuando el modo nativo de la VPC (con alias de IP) no está configurado (se permite cualquier valor)
compute.vmExternalIpAccess Se debe permitir en entornos de IP públicas Se debe permitir en entornos de IP públicas
compute.restrictVpcPeering No se puede aplicar de manera forzosa No se puede aplicar de manera forzosa
compute.disablePrivateServiceConnectCreationForConsumers (se permite cualquier valor) No se puede inhabilitar &service_PRODUCERS si se usa Private Service Connect

Para obtener más información, consulta la página de Problemas conocidos y las restricciones de las políticas de la organización.

Mensaje de error 400: No se pudo implementar el servidor web de Airflow.

Este error puede deberse a un error en la creación del clúster de GKE del entorno IP privado debido a la superposición de rangos de IP.

Solución: Verifica los registros de cualquier falla en el clúster del entorno y resuelve el problema según el mensaje de error de GKE.

¿Qué sigue?