Cloud Composer 1 | Cloud Composer 2 | Cloud Composer 3
Questa pagina fornisce informazioni sulla risoluzione dei problemi che potresti riscontrare durante la creazione di ambienti Cloud Composer.
Per informazioni sulla risoluzione dei problemi relativi all'aggiornamento e all'upgrade degli ambienti, consulta Risoluzione dei problemi relativi agli aggiornamenti e agli upgrade degli ambienti.
Quando vengono creati ambienti Cloud Composer, la maggior parte dei problemi si verifica per i seguenti motivi:
Problemi relativi all'autorizzazione dell'account di servizio.
Informazioni su firewall, DNS o routing errati.
Problemi relativi alla rete. come ad esempio configurazione VPC non valida, conflitti di indirizzi IP o intervalli IP di rete
Problemi relativi alle quote.
Criteri dell'organizzazione incompatibili.
Autorizzazioni insufficienti per creare un ambiente
Se Cloud Composer non riesce a creare un ambiente perché l'account non ha autorizzazioni sufficienti, genera i seguenti messaggi di errore:
ERROR: (gcloud.composer.environments.create) PERMISSION_DENIED: The caller
does not have permission
o
ERROR: (gcloud.composer.environments.create) PERMISSION_DENIED: User not
authorized to act as service account <service-account-name>.
The user must be granted iam.serviceAccounts.actAs permission, included in
Owner, Editor, Service Account User role. See https://cloud.google.com/iam/docs
/understanding-service-accounts for additional details.
Soluzione: assegna i ruoli sia al tuo account sia all'account di servizio del tuo ambiente come descritto in Controllo dell'accesso.
In Cloud Composer 2, assicurati che all'account di servizio dell'agente di servizio Cloud Composer (
service-PROJECT_NUMBER@cloudcomposer-accounts.iam.gserviceaccount.com
) sia assegnato il ruolo Estensione agente di servizio API Cloud Composer v2.Assicurati che all'agente di servizio API di Google (
PROJECT_NUMBER@cloudservices.gserviceaccount.com
) sia assegnato il ruolo Editor.Nella configurazione del VPC condiviso, consulta le istruzioni per configurare il VPC condiviso.
L'account di servizio dell'ambiente non dispone di autorizzazioni sufficienti
Quando crei un ambiente Cloud Composer, specifichi un account di servizio che esegue i nodi del cluster GKE dell'ambiente. Se questo account di servizio non dispone di autorizzazioni sufficienti per l'operazione richiesta, Cloud Composer restituisce il seguente errore:
Errors in: [Web server]; Error messages:
Creation of airflow web server version failed. This may be an intermittent
issue of the App Engine service. You may retry the operation later.
{"ResourceType":"appengine.v1.version","ResourceErrorCode":"504","ResourceError
Message":"Your deployment has failed to become healthy in the allotted time
and therefore was rolled back. If you believe this was an error, try adjusting
the 'app_start_timeout_sec' setting in the 'readiness_check' section."}
Soluzione: assegna i ruoli sia al tuo account sia all'account di servizio del tuo ambiente come descritto in Controllo dell'accesso.
Avvisi sui ruoli IAM mancanti negli account di servizio
Quando la creazione di un ambiente non va a buon fine, Cloud Composer genera il seguente messaggio di avviso dopo che si è verificato un errore:
The issue may be caused by missing IAM roles in the following Service Accounts
...
.
Questo messaggio di avviso mette in evidenza le possibili cause dell'errore. Cloud Composer verifica la presenza di ruoli richiesti negli account di servizio del progetto e, se tali ruoli non sono presenti, genera questo messaggio di avviso.
Soluzione: verifica che gli account di servizio menzionati nel messaggio di avviso abbiano i ruoli richiesti. Per ulteriori informazioni su ruoli e autorizzazioni in Cloud Composer, vedi Controllo dell'accesso.
In alcuni casi, puoi ignorare questo avviso. Cloud Composer non controlla le singole autorizzazioni assegnate ai ruoli. Ad esempio, se utilizzi ruoli IAM personalizzati, è possibile che l'account di servizio menzionato nel messaggio di avviso disponga già di tutte le autorizzazioni richieste. In questo caso, puoi ignorare questo avviso.
Criteri dell'organizzazione incompatibili
I seguenti criteri devono essere configurati in modo appropriato per poter creare gli ambienti Cloud Composer.
Organization Policy | Cloud Composer 3 | Cloud Composer 2 | Cloud Composer 1 |
---|---|---|---|
compute.disableSerialPortLogging |
È consentito qualsiasi valore | Deve essere disattivato | Disabilitato per le versioni precedenti alla 1.13.0; in caso contrario qualsiasi valore |
compute.requireOsLogin |
È consentito qualsiasi valore | È consentito qualsiasi valore | Deve essere disattivato |
compute.vmCanIpForward |
È consentito qualsiasi valore | È consentito qualsiasi valore | Deve essere consentito (obbligatorio per i cluster GKE di proprietà di Cloud Composer) quando la modalità VPC nativa (mediante IP alias) non è configurata |
compute.vmExternalIpAccess |
È consentito qualsiasi valore | Deve essere consentito per gli ambienti IP pubblici | Deve essere consentito per gli ambienti IP pubblici |
compute.restrictVpcPeering |
Possono essere applicati | Impossibile applicare in modo forzato | Impossibile applicare in modo forzato |
compute.disablePrivateServiceConnectCreationForConsumers |
È consentito qualsiasi valore | È consentito qualsiasi valore | Impossibile consentire SERVICE_PRODUCERS se viene utilizzato Private Service Connect |
compute.restrictPrivateServiceConnectProducer |
Se l'opzione è attiva, consenti l'organizzazione google.com nella lista consentita |
Se l'opzione è attiva, consenti l'organizzazione google.com nella lista consentita |
È consentito qualsiasi valore |
Per ulteriori informazioni, consulta la pagina Problemi noti e i vincoli dei criteri dell'organizzazione.
Limitazione dei servizi utilizzati all'interno dell'organizzazione o del progetto
Gli amministratori dell'organizzazione o del progetto possono limitare i servizi Google che possono essere utilizzati nei propri progetti utilizzando il vincolo del criterio dell'organizzazione gcp.restrictServiceUsage
.
Quando si utilizza questo criterio dell'organizzazione, è importante consentire tutti i servizi richiesti da Cloud Composer.
Passaggi successivi
- Creazione di ambienti
- Risoluzione dei problemi relativi agli upgrade e agli aggiornamenti degli ambienti
- Controllo dell'accesso