Cloud Composer 1 | Cloud Composer 2 | Cloud Composer 3
이 페이지에서는 Cloud Composer 환경을 만들 때 발생할 수 있는 문제에 대한 문제 해결 정보를 제공합니다.
환경 업데이트 및 업그레이드와 관련된 문제 해결 정보는 환경 업데이트 및 업그레이드 문제 해결을 참조하세요.
Cloud Composer 환경이 생성될 때 대부분의 문제는 다음과 같은 이유로 발생합니다.
서비스 계정 권한 문제
잘못된 방화벽, DNS 또는 라우팅 정보
네트워크 관련 문제. 예를 들어 VPC 구성이 잘못되었거나, IP 주소가 충돌하거나, 네트워크 IP 범위가 너무 좁습니다.
할당량 관련 문제
호환되지 않는 조직 정책
환경 생성 권한 부족
계정에 권한이 부족하여 Cloud Composer가 환경을 만들 수 없으면 다음 오류 메시지가 출력됩니다.
ERROR: (gcloud.composer.environments.create) PERMISSION_DENIED: The caller
does not have permission
또는
ERROR: (gcloud.composer.environments.create) PERMISSION_DENIED: User not
authorized to act as service account <service-account-name>.
The user must be granted iam.serviceAccounts.actAs permission, included in
Owner, Editor, Service Account User role. See https://cloud.google.com/iam/docs
/understanding-service-accounts for additional details.
해결책: 액세스 제어에 설명된 대로 사용자 계정과 사용자 환경의 서비스 계정 모두에 역할을 할당합니다.
Cloud Composer 2의 경우 Cloud Composer 서비스 에이전트 서비스 계정(
service-PROJECT_NUMBER@cloudcomposer-accounts.iam.gserviceaccount.com)에 Cloud Composer v2 API 서비스 에이전트 확장 역할이 할당되었는지 확인합니다.Google API 서비스 에이전트(
PROJECT_NUMBER@cloudservices.gserviceaccount.com)에 편집자 역할이 할당되었는지 확인합니다.공유 VPC 구성의 경우 공유 VPC 안내 구성을 참조하세요.
환경의 서비스 계정에 권한이 충분하지 않음
Cloud Composer 환경을 만들 때 환경의 GKE 클러스터 노드를 실행하는 서비스 계정을 지정합니다. 이 서비스 계정에 요청된 작업에 대해 충분한 권한이 없으면 Cloud Composer가 다음 오류를 출력합니다.
Errors in: [Web server]; Error messages:
Creation of airflow web server version failed. This may be an intermittent
issue of the App Engine service. You may retry the operation later.
{"ResourceType":"appengine.v1.version","ResourceErrorCode":"504","ResourceError
Message":"Your deployment has failed to become healthy in the allotted time
and therefore was rolled back. If you believe this was an error, try adjusting
the 'app_start_timeout_sec' setting in the 'readiness_check' section."}
해결책: 액세스 제어에 설명된 대로 사용자 계정과 사용자 환경의 서비스 계정 모두에 역할을 할당합니다.
서비스 계정에 IAM 역할 누락에 대한 경고
환경 생성에 실패하면 Cloud Composer는 오류가 발생한 후 경고 메시지(The issue may be caused by missing IAM roles in the following Service Accounts
...)를 생성합니다.
이 경고 메시지는 가능한 오류 원인을 강조표시합니다. Cloud Composer는 프로젝트의 서비스 계정에 필요한 역할을 확인하고 이러한 역할이 없으면 이 경고 메시지를 생성합니다.
해결 방법: 경고 메시지에 언급된 서비스 계정에 필요한 역할이 있는지 확인합니다. Cloud Composer의 역할과 권한에 대한 자세한 내용은 액세스 제어를 참조하세요.
경우에 따라 이 경고를 무시할 수 있습니다. Cloud Composer는 역할에 할당된 개별 권한을 확인하지 않습니다. 예를 들어 커스텀 IAM 역할을 사용하는 경우 경고 메시지에 언급된 서비스 계정에 이미 모든 필수 권한이 있을 수 있습니다. 이 경우에는 이 경고를 무시해도 됩니다.
호환되지 않는 조직 정책
Cloud Composer 환경을 성공적으로 만들 수 있도록 다음 정책을 올바르게 구성해야 합니다.
| 조직 정책 | Cloud Composer 3 | Cloud Composer 2 | Cloud Composer 1 |
|---|---|---|---|
compute.disableSerialPortLogging |
모든 값이 허용됨 | 사용 중지해야 함 | 1.13.0 이전 버전에서 사용 중지됨, 그 외의 경우 모든 값 |
compute.requireOsLogin |
모든 값이 허용됨 | 모든 값이 허용됨 | 사용 중지해야 함 |
compute.vmCanIpForward |
모든 값이 허용됨 | 모든 값이 허용됨 | VPC 기반 모드(별칭 IP 사용)가 구성되지 않은 경우 허용되어야 함(Cloud Composer 소유 GKE 클러스터에 필요) |
compute.vmExternalIpAccess |
모든 값이 허용됨 | 공개 IP 환경에서 허용되어야 함 | 공개 IP 환경에서 허용되어야 함 |
compute.restrictVpcPeering |
적용할 수 있음 | 적용할 수 없음 | 적용할 수 없음 |
compute.disablePrivateServiceConnectCreationForConsumers |
모든 값이 허용됨 | 비공개 및 공개 IP 환경에는 SERVICE_PRODUCERS를 허용 안 할 수 없음. 기존 환경에는 영향을 미치지 않으며, 이 정책이 사용 설정되면 작동할 수 있음. | 비공개 IP 환경에 대해 SERVICE_PRODUCERS를 허용 안 할 수 없음. 기존 환경에는 영향을 미치지 않으며, 이 정책이 사용 설정되면 작동할 수 있음. |
compute.restrictPrivateServiceConnectProducer |
활성화된 경우 google.com 조직을 허용 목록 추가 |
활성화된 경우 google.com 조직을 허용 목록 추가 |
모든 값이 허용됨 |
자세한 내용은 알려진 문제 페이지 및 조직 정책 제약조건을 참조하세요.
조직 또는 프로젝트 내에서 사용되는 서비스 제한
조직 또는 프로젝트 관리자는 gcp.restrictServiceUsage 조직 정책 제약조건을 사용하여 프로젝트에서 사용할 수 있는 Google 서비스를 제한할 수 있습니다.
이 조직 정책을 사용하는 경우 Cloud Composer에 필요한 모든 서비스를 허용하는 것이 중요합니다.