Cloud Composer 1 è in modalità post-manutenzione. Google non rilascia ulteriori aggiornamenti a Cloud Composer 1, incluse nuove versioni di Airflow, correzioni di bug e aggiornamenti della sicurezza. Ti consigliamo di pianificare la migrazione a Cloud Composer 2.

Questa pagina è stata tradotta dall'API Cloud Translation.

Risoluzione dei problemi di creazione dell'ambiente

Cloud Composer 1 | Cloud Composer 2 | Cloud Composer 3

Questa pagina fornisce informazioni sulla risoluzione dei problemi che potresti riscontrare durante la creazione di ambienti Cloud Composer.

Per informazioni sulla risoluzione dei problemi relativi all'aggiornamento e all'upgrade degli ambienti, vedi Risoluzione dei problemi relativi agli upgrade e agli aggiornamenti degli ambienti.

Quando vengono creati gli ambienti Cloud Composer, la maggior parte si verificano per i seguenti motivi:

Problemi relativi all'autorizzazione dell'account di servizio.
Informazioni errate su firewall, DNS o routing.
Problemi relativi alla rete. Ad esempio: configurazione VPC non valida, indirizzo IP conflitti o intervalli IP di rete troppo ristretti.
Problemi relativi alla quota.
Criteri dell'organizzazione non compatibili.

Autorizzazioni insufficienti per creare un ambiente

Se Cloud Composer non può creare un ambiente perché il tuo account non dispone di autorizzazioni sufficienti, viene visualizzato il seguente messaggio di errore:

ERROR: (gcloud.composer.environments.create) PERMISSION_DENIED: The caller
does not have permission

ERROR: (gcloud.composer.environments.create) PERMISSION_DENIED: User not
authorized to act as service account <service-account-name>.
The user must be granted iam.serviceAccounts.actAs permission, included in
Owner, Editor, Service Account User role. See https://cloud.google.com/iam/docs
/understanding-service-accounts for additional details.

Soluzione: assegna i ruoli sia al tuo account sia all'account di servizio del tuo ambiente come descritto in Controllo dell'accesso.

In Cloud Composer 2, assicurati che all'account di servizio Agente di servizio Cloud Composer (service-PROJECT_NUMBER@cloudcomposer-accounts.iam.gserviceaccount.com) sia stato assegnato il ruolo Estensione agente di servizio API Cloud Composer v2.
Assicurati che l'agente di servizio API di Google (PROJECT_NUMBER@cloudservices.gserviceaccount.com) A cui è assegnato il ruolo Editor.
Nella configurazione del VPC condiviso, segui Configurare le istruzioni per il VPC condiviso.

L'account di servizio dell'ambiente non dispone di autorizzazioni sufficienti

Quando crei un ambiente Cloud Composer, specifichi un servizio che esegue i nodi del cluster GKE dell'ambiente. Se questo l'account di servizio non dispone di autorizzazioni sufficienti per l'operazione richiesta Cloud Composer restituisce il seguente errore:

Errors in: [Web server]; Error messages:
  Creation of airflow web server version failed. This may be an intermittent
  issue of the App Engine service. You may retry the operation later.
{"ResourceType":"appengine.v1.version","ResourceErrorCode":"504","ResourceError
Message":"Your deployment has failed to become healthy in the allotted time
and therefore was rolled back. If you believe this was an error, try adjusting
the 'app_start_timeout_sec' setting in the 'readiness_check' section."}

Soluzione: assegna i ruoli sia al tuo account sia all'account di servizio del tuo ambiente come descritto in Controllo dell'accesso.

Avvisi sui ruoli IAM mancanti negli account di servizio

Quando la creazione di un ambiente non riesce, Cloud Composer genera il seguente messaggio di avviso dopo che si è verificato un errore:The issue may be caused by missing IAM roles in the following Service Accounts ....

Questo messaggio di avviso evidenzia le possibili cause dell'errore. Cloud Composer controlla la presenza dei ruoli richiesti negli account di servizio del progetto e, se questi ruoli non sono presenti, genera questo messaggio di avviso.

Soluzione: verifica che gli account di servizio menzionati nel messaggio di avviso abbiano i ruoli richiesti. Per saperne di più su ruoli e autorizzazioni in Cloud Composer, consulta Controllo dell'accesso.

In alcuni casi, puoi ignorare questo avviso. Cloud Composer controllare le singole autorizzazioni assegnate ai ruoli. Ad esempio, se utilizzi ruoli IAM personalizzati, è possibile che l'account di servizio menzionato nel messaggio di avviso, dispone già di tutte le autorizzazioni richieste. In questo puoi ignorare questo avviso.

Criteri dell'organizzazione incompatibili

I seguenti criteri devono essere configurati correttamente in modo che Impossibile creare gli ambienti Cloud Composer.

Organization Policy	Cloud Composer 3	Cloud Composer 2	Cloud Composer 1
`compute.disableSerialPortLogging`	È consentito qualsiasi valore	Deve essere disattivato	Disabilitata per le versioni precedenti alla 1.13.0; altrimenti qualsiasi valore
`compute.requireOsLogin`	È consentito qualsiasi valore	È consentito qualsiasi valore	Deve essere disattivato
`compute.vmCanIpForward`	È consentito qualsiasi valore	È consentito qualsiasi valore	Deve essere consentito (obbligatorio per i cluster GKE di proprietà di Cloud Composer) quando la modalità VPC nativa (con IP alias) non è configurata
`compute.vmExternalIpAccess`	È consentito qualsiasi valore	Deve essere consentito per gli ambienti IP pubblici	Deve essere consentito per gli ambienti IP pubblico
`compute.restrictVpcPeering`	Possono essere applicati	Impossibile applicare in modo forzato	Non può essere applicato
`compute.disablePrivateServiceConnectCreationForConsumers`	È consentito qualsiasi valore	Non è possibile non consentire SERVICE_PRODUCERS per gli ambienti IP privati e pubblici. Non influisce sugli ambienti esistenti, possono funzionare quando questo criterio viene in un bucket in cui è abilitato il controllo delle versioni.	Impossibile consentire SERVICE_PRODUCERS per gli ambienti IP privati. Non influisce sugli ambienti esistenti, possono funzionare quando questo criterio viene in un bucket in cui è abilitato il controllo delle versioni.
`compute.restrictPrivateServiceConnectProducer`	Se attiva, aggiungi l'organizzazione `google.com` alla lista consentita	Se attiva, aggiungi l'organizzazione `google.com` alla lista consentita	È consentito qualsiasi valore

Per ulteriori informazioni, consulta la pagina Problemi noti e la sezione Limiti delle norme dell'organizzazione.

Limitazione dei servizi utilizzati all'interno dell'organizzazione o del progetto

Gli amministratori dell'organizzazione o del progetto possono limitare i servizi Google utilizzati nei propri progetti gcp.restrictServiceUsage un vincolo del criterio dell'organizzazione.

Quando utilizzi questo criterio dell'organizzazione, è importante consentire tutti i servizi richiesti da Cloud Composer.