Cloud Composer 1 befindet sich im Modus nach der Wartung. Google veröffentlicht keine weiteren Updates für Cloud Composer 1, einschließlich neuer Versionen von Airflow, Fehlerkorrekturen und Sicherheitsupdates. Wir empfehlen die Migration zu Cloud Composer 2.

Diese Seite wurde von der Cloud Translation API übersetzt.

Fehlerbehebung beim Erstellen der Umgebung

Cloud Composer 1 | Cloud Composer 2 | Cloud Composer 3

Diese Seite enthält Informationen zur Fehlerbehebung bei Problemen, die beim Erstellen von Cloud Composer-Umgebungen auftreten können.

Informationen zur Fehlerbehebung im Zusammenhang mit dem Aktualisieren und Upgraden von Umgebungen finden Sie unter Fehlerbehebung bei Umgebungsupdates und -upgrades.

Wenn Cloud Composer-Umgebungen erstellt werden, treten die meisten Probleme aus den folgenden Gründen auf:

Probleme mit Dienstkontoberechtigungen
Falsche Firewall-, DNS- oder Routinginformationen.
Netzwerkbezogene Probleme. Beispiel: Ungültige VPC-Konfiguration, IP-Adresskonflikte oder zu enge Netzwerk-IP-Bereiche.
Kontingentbezogene Probleme
Inkompatible Organisationsrichtlinien

Unzureichende Berechtigungen zum Erstellen einer Umgebung

Wenn Cloud Composer keine Umgebung erstellen kann, da Ihr Konto unzureichende Berechtigungen hat, werden die folgenden Fehlermeldungen ausgegeben:

ERROR: (gcloud.composer.environments.create) PERMISSION_DENIED: The caller
does not have permission

oder

ERROR: (gcloud.composer.environments.create) PERMISSION_DENIED: User not
authorized to act as service account <service-account-name>.
The user must be granted iam.serviceAccounts.actAs permission, included in
Owner, Editor, Service Account User role. See https://cloud.google.com/iam/docs
/understanding-service-accounts for additional details.

Lösung: Weisen Sie Ihrem Konto und dem Dienstkonto Ihrer Umgebung Rollen zu, wie unter Zugriffssteuerung beschrieben.

Achten Sie in Cloud Composer 2 darauf, dass dem Dienstkonto Cloud Composer-Dienst-Agent (service-PROJECT_NUMBER@cloudcomposer-accounts.iam.gserviceaccount.com) die Rolle Dienst-Agent-Erweiterung für die Cloud Composer v2 API zugewiesen ist.
Dem Google APIs-Dienst-Agent (PROJECT_NUMBER@cloudservices.gserviceaccount.com) muss die Rolle Bearbeiter zugewiesen sein.
Gehen Sie in der Konfiguration der freigegebene VPC wie folgt vor: Anleitung zur Konfiguration von freigegebenen VPCs

Das Dienstkonto der Umgebung hat nicht die erforderlichen Berechtigungen

Beim Erstellen einer Cloud Composer-Umgebung geben Sie einen Dienst an Konto, das die GKE-Clusterknoten der Umgebung ausführt. Wenn dieses Dienstkonto nicht genügend Berechtigungen für den angeforderten Vorgang hat, gibt Cloud Composer den folgenden Fehler aus:

Errors in: [Web server]; Error messages:
  Creation of airflow web server version failed. This may be an intermittent
  issue of the App Engine service. You may retry the operation later.
{"ResourceType":"appengine.v1.version","ResourceErrorCode":"504","ResourceError
Message":"Your deployment has failed to become healthy in the allotted time
and therefore was rolled back. If you believe this was an error, try adjusting
the 'app_start_timeout_sec' setting in the 'readiness_check' section."}

Lösung: Weisen Sie Ihrem Konto und dem Dienstkonto Ihrer Umgebung Rollen zu, wie unter Zugriffssteuerung beschrieben.

Warnungen zu fehlenden IAM-Rollen in Dienstkonten

Wenn das Erstellen einer Umgebung fehlschlägt, generiert Cloud Composer nach einem Fehler die folgende Warnmeldung:The issue may be caused by missing IAM roles in the following Service Accounts ....

In dieser Warnmeldung werden mögliche Fehlerursachen hervorgehoben. Cloud Composer prüft die Dienstkonten in Ihrem Projekt auf erforderliche Rollen. Wenn diese Rollen nicht vorhanden sind, wird diese Warnmeldung generiert.

Lösung: Prüfen Sie, ob die in der Warnmeldung erwähnten Dienstkonten die erforderlichen Rollen. Weitere Informationen zu Rollen und Berechtigungen finden Sie in Informationen zu Cloud Composer finden Sie unter Zugriffssteuerung.

In einigen Fällen können Sie diese Warnung ignorieren. Cloud Composer funktioniert nicht einzelne Berechtigungen prüfen, die Rollen zugewiesen sind. Wenn Sie beispielsweise IAM-Rollen festgelegt ist, ist es möglich, dass das Dienstkonto der in der Warnmeldung erwähnt wird, bereits alle erforderlichen Berechtigungen hat. In diesem Fall können Sie diese Warnung ignorieren.

Inkompatible Organisationsrichtlinien

Die folgenden Richtlinien müssen entsprechend konfiguriert werden, damit Cloud Composer-Umgebungen erfolgreich erstellt werden können.

Unternehmensrichtlinien	Cloud Composer 3	Cloud Composer 2	Cloud Composer 1
`compute.disableSerialPortLogging`	(Jeder Wert ist zulässig)	Muss deaktiviert sein	Für Versionen vor 1.13.0 deaktiviert. Andernfalls jeder beliebige Wert.
`compute.requireOsLogin`	(Jeder Wert ist zulässig)	(Jeder Wert ist zulässig)	Muss deaktiviert sein
`compute.vmCanIpForward`	(Jeder Wert ist zulässig)	(Jeder Wert ist zulässig)	Muss zugelassen werden (erforderlich für Cloud Composer-eigene GKE-Cluster), wenn der VPC-native Modus (unter Verwendung von Alias-IP-Adresse) nicht konfiguriert ist
`compute.vmExternalIpAccess`	(Jeder Wert ist zulässig)	Muss für öffentliche IP-Umgebungen zugelassen werden	Muss für öffentliche IP-Umgebungen zugelassen werden
`compute.restrictVpcPeering`	Kann erzwungen werden	Kann nicht erzwungen werden	Kann nicht erzwungen werden
`compute.disablePrivateServiceConnectCreationForConsumers`	(Jeder Wert ist zulässig)	SERVICE_PRODUCERS kann nicht für Umgebungen mit privaten und öffentlichen IP-Adressen deaktiviert werden. Hat keine Auswirkungen auf vorhandene Umgebungen, die auch bei aktivierter Richtlinie funktionieren.	SERVICE_PRODUCERS kann für private IP-Umgebungen nicht blockiert werden. Dies hat keine Auswirkungen auf vorhandene Umgebungen. Sie können ausgeführt werden, wenn diese Richtlinie konfiguriert ist. aktiviert.
`compute.restrictPrivateServiceConnectProducer`	Wenn aktiv, setzen Sie die Organisation „`google.com`“ auf die Zulassungsliste	Fügen Sie die Organisation `google.com` der Zulassungsliste hinzu, wenn sie aktiv ist.	(Jeder Wert ist zulässig)

Weitere Informationen finden Sie auf der Seite Bekannte Probleme und Einschränkungen für Organisationsrichtlinien.

Dienste einschränken, die innerhalb einer Organisation oder eines Projekts verwendet werden

Organisations- oder Projektadministratoren können einschränken, welche Google-Dienste verfügbar sind die in ihren Projekten eingesetzt werden, gcp.restrictServiceUsage Einschränkung der Organisationsrichtlinie.

Bei der Verwendung dieser Organisationsrichtlinie ist es wichtig, alle für Cloud Composer erforderlichen Dienste zulassen.