Como resolver problemas da criação de ambientes

Cloud Composer 1 | Cloud Composer 2

Nesta página, você encontrará informações para solucionar problemas que podem ser encontrados durante a criação de ambientes do Cloud Composer.

Para informações sobre solução de problemas relacionadas à atualização e atualização de ambientes, consulte Solução de problemas de atualizações e upgrades do ambiente.

Quando os ambientes do Cloud Composer são criados, a maioria dos problemas acontece pelos seguintes motivos:

  • Problemas de permissão da conta de serviço

  • Informações de firewall, DNS ou roteamento incorretos

  • Problemas relacionados à rede. Por exemplo, configuração de VPC inválida, conflitos de endereço IP ou intervalos de IP de rede que sejam muito estreitos

  • Problemas relacionados a cotas

  • Políticas organizacionais incompatíveis

Permissões insuficientes para criar um ambiente

Se o Cloud Composer não criar um ambiente porque sua conta não tem permissões suficientes, as seguintes mensagens de erro serão exibidas:

ERROR: (gcloud.composer.environments.create) PERMISSION_DENIED: The caller
does not have permission

ou

ERROR: (gcloud.composer.environments.create) PERMISSION_DENIED: User not
authorized to act as service account <service-account-name>.
The user must be granted iam.serviceAccounts.actAs permission, included in
Owner, Editor, Service Account User role. See https://cloud.google.com/iam/docs
/understanding-service-accounts for additional details.

Solução: atribua papéis à sua conta e à conta de serviço do ambiente, conforme descrito em Controle de acesso.

  • No Cloud Composer 2, verifique se a conta de serviço do agente de serviços do Cloud Composer (service-PROJECT_NUMBER@cloudcomposer-accounts.iam.gserviceaccount.com) tem o papel Extensão de agente de serviço da API Cloud Composer v2.

  • Verifique se o agente de serviço de APIs do Google (PROJECT_NUMBER@cloudservices.gserviceaccount.com) tem o papel Editor do projeto atribuído.

  • Na configuração da VPC compartilhada, siga as instruções para configuração da VPC compartilhada.

A conta de serviço do ambiente não tem permissões suficientes

Ao criar um ambiente do Cloud Composer, você especifica uma conta de serviço que executa os nós do cluster do GKE do ambiente. Se essa conta de serviço não tiver permissões suficientes para a operação solicitada, o Cloud Composer gerará o seguinte erro:

Errors in: [Web server]; Error messages:
  Creation of airflow web server version failed. This may be an intermittent
  issue of the App Engine service. You may retry the operation later.
{"ResourceType":"appengine.v1.version","ResourceErrorCode":"504","ResourceError
Message":"Your deployment has failed to become healthy in the allotted time
and therefore was rolled back. If you believe this was an error, try adjusting
the 'app_start_timeout_sec' setting in the 'readiness_check' section."}

Solução: atribua papéis à sua conta e à conta de serviço do ambiente, conforme descrito em Controle de acesso.

Não existe uma rede VPC selecionada para o ambiente

É possível especificar uma rede VPC e uma sub-rede para o ambiente do Cloud Composer ao criá-la. Se uma rede VPC não for especificada, o serviço Cloud Composer selecionará a VPC default e a sub-rede default para a região e a zona do ambiente.

Se a rede VPC e a sub-rede especificadas não existirem, o Cloud Composer gerará o seguinte erro:

Errors in: [GKE cluster]; Error messages:
        {"ResourceType":"gcp-types/container-v1:projects.locations.clusters","R
        esourceErrorCode":"400","ResourceErrorMessage":{"code":400,"message":"P
        roject \"<your composer project>\" has no network named \"non-existing-
        vpc\".","status":"INVALID_ARGUMENT","statusMessage":"Bad
        Request","requestPath":"https://container.googleapis.com/
        v1/projects/<your composer
        project>/locations/<zone>/clusters","httpMethod":"POST"}}

Solução:

  • No Cloud Composer 2, é possível criar ambientes que usam o Private Service Connect em vez de redes VPC.
  • Antes de criar um ambiente, verifique se a rede VPC e a sub-rede do novo ambiente existem.

Configuração incorreta da rede

.

As criações do ambiente do Cloud Composer exigem uma configuração adequada de rede ou DNS. Siga estas instruções:

Se você configurar ambientes do Cloud Composer em um modo de VPC compartilhada, siga também estas instruções de VPC compartilhada.

O ambiente do Cloud Composer usa uma sub-rede para nós de cluster e intervalos de IP para pods e serviços. Para garantir a comunicação bidirecional entre esses intervalos de IP:

  • Permitir tráfego de entrada e saída entre os intervalos de IP de nós do GKE e de todas as portas.
  • Permite o tráfego de entrada e saída entre o intervalo de IP do nó do GKE e o intervalo de IP dos pods, todas as portas.
  • Permite o tráfego de entrada e saída entre o intervalo de IP de nós do GKE e o intervalo de IP de serviços em todas as portas.
  • Permite o tráfego de entrada e saída entre pods do GKE e intervalos de IP de serviços, todas as portas.
  • Permitir a entrada e a saída do intervalo de IP do nó do GKE para o intervalo de IP do plano de controle do GKE, todas as portas.

Também é possível verificar se há entradas de registro em categorias de configuração selecionadas de GCE Networking e Subnetwork em Atividades do GCP para ver se há erros informados durante a criação do ambiente.

Problemas de cotas encontrados ao criar ambientes em redes de grande escala

Ao criar ambientes do Cloud Composer em redes de grande escala, você pode encontrar as seguintes limitações de cotas:

  • O número máximo de peerings de VPC por rede VPC é atingido.
  • O número máximo de intervalos de IP de sub-redes primárias e secundárias foi atingido.
  • O número máximo de regras de encaminhamento no grupo de peering para balanceamento de carga TCP/UDP interno é atingido.

Solução:

Políticas organizacionais incompatíveis

As políticas a seguir precisam ser configuradas corretamente para que os ambientes do Cloud Composer possam ser criados.

Política da organização Cloud Composer 1 Cloud Composer 2
compute.disableSerialPortLogging Desativado para versões anteriores à 1.13.0. qualquer valor É permitido qualquer valor
compute.requireOsLogin Precisa ser desativado Precisa ser desativado
compute.vmCanIpForward É necessário permitir (obrigatório para clusters do GKE do Cloud Composer) quando o modo nativo da VPC (usando o IP do alias) não está configurado. É permitido qualquer valor
compute.vmExternalIpAccess Precisa ser permitido em ambientes de IP público Precisa ser permitido em ambientes de IP público
compute.restrictVpcPeering Não pode ser aplicada Não pode ser aplicada
compute.disablePrivateServiceConnectCreationForConsumers É permitido qualquer valor Não é possível bloquear "SERVICE_PRODUCERS" se o Private Service Connect é utilizado

Para mais informações, consulte a página Problemas conhecidos e Restrições da política da organização.

Mensagens de erro 400: falha ao implantar o servidor da Web do Airflow.

Esse erro pode ser causado por uma falha na criação de um cluster do GKE de um ambiente de IP privado porque há sobreposição de intervalos de IP.

Solução: verifique os registros em busca de falhas no cluster do ambiente e resolva o problema com base na mensagem de erro do GKE.

A seguir