Cloud Composer 1 est en mode post-maintenance. Google ne publie aucune autre mise à jour de Cloud Composer 1, y compris les nouvelles versions d'Airflow, les corrections de bugs et les mises à jour de sécurité. Nous vous recommandons de planifier la migration vers Cloud Composer 2.

Cette page a été traduite par l'API Cloud Translation.

Résoudre les problèmes de création d'environnement

Cloud Composer 1 | Cloud Composer 2 | Cloud Composer 3

Cette page fournit des informations de dépannage pour les problèmes que vous pouvez rencontrer lors de la création d'environnements Cloud Composer.

Pour obtenir des informations de dépannage liées à la mise à jour et à la mise à niveau des environnements, consultez la page Résoudre les problèmes liés aux mises à jour et aux mises à niveau d'environnement.

Lorsque des environnements Cloud Composer sont créés, la majorité des problèmes surviennent pour les raisons suivantes:

Problèmes d'autorisation du compte de service
Informations de routage, de pare-feu ou DNS incorrectes
Problèmes réseau. Par exemple, configuration VPC non valide, conflits d'adresses IP ou plages d'adresses IP réseau trop étroites.
Problèmes liés aux quotas.
Règles d'administration incompatibles.

Autorisations insuffisantes pour créer un environnement

Si Cloud Composer ne peut pas créer d'environnement car votre compte ne dispose pas des autorisations nécessaires, les messages d'erreur suivants s'affichent :

ERROR: (gcloud.composer.environments.create) PERMISSION_DENIED: The caller
does not have permission

ERROR: (gcloud.composer.environments.create) PERMISSION_DENIED: User not
authorized to act as service account <service-account-name>.
The user must be granted iam.serviceAccounts.actAs permission, included in
Owner, Editor, Service Account User role. See https://cloud.google.com/iam/docs
/understanding-service-accounts for additional details.

Solution: attribuez des rôles à votre compte et au compte de service de votre environnement, comme décrit dans la section Contrôle des accès.

Dans Cloud Composer 2, assurez-vous que le rôle Extension d'agent de service de l'API Cloud Composer v2 est attribué au compte de service Agent de service Cloud Composer (service-PROJECT_NUMBER@cloudcomposer-accounts.iam.gserviceaccount.com).
Assurez-vous que le rôle Éditeur est attribué à l'agent de service des API Google (PROJECT_NUMBER@cloudservices.gserviceaccount.com).
Dans la configuration du VPC partagé, suivez les instructions de configuration du VPC partagé.

Le compte de service de l'environnement ne dispose pas des autorisations nécessaires

Lors de la création d'un environnement Cloud Composer, vous spécifiez un compte de service qui exécute les nœuds de cluster GKE de l'environnement. Si ce compte de service ne dispose pas d'autorisations suffisantes pour l'opération demandée, Cloud Composer affiche l'erreur suivante:

Errors in: [Web server]; Error messages:
  Creation of airflow web server version failed. This may be an intermittent
  issue of the App Engine service. You may retry the operation later.
{"ResourceType":"appengine.v1.version","ResourceErrorCode":"504","ResourceError
Message":"Your deployment has failed to become healthy in the allotted time
and therefore was rolled back. If you believe this was an error, try adjusting
the 'app_start_timeout_sec' setting in the 'readiness_check' section."}

Solution: attribuez des rôles à votre compte et au compte de service de votre environnement, comme décrit dans la section Contrôle des accès.

Avertissements concernant les rôles IAM manquants dans les comptes de service

En cas d'échec de la création d'un environnement, Cloud Composer génère le message d'avertissement suivant en cas d'erreur : The issue may be caused by missing IAM roles in the following Service Accounts ....

Ce message d'avertissement indique les causes possibles de l'erreur. Cloud Composer vérifie les rôles requis sur les comptes de service de votre projet. Si ces rôles sont absents, il génère ce message d'avertissement.

Solution: Vérifiez que les comptes de service mentionnés dans le message d'avertissement disposent des rôles requis. Pour en savoir plus sur les rôles et les autorisations dans Cloud Composer, consultez la page Contrôle des accès.

Dans certains cas, vous pouvez ignorer cet avertissement. Cloud Composer ne vérifie pas les autorisations individuelles attribuées aux rôles. Par exemple, si vous utilisez des rôles IAM personnalisés, il est possible que le compte de service mentionné dans le message d'avertissement dispose déjà de toutes les autorisations requises. Dans ce cas, vous pouvez ignorer cet avertissement.

Règles d'administration incompatibles

Les règles suivantes doivent être configurées de manière appropriée pour que les environnements Cloud Composer puissent être créés avec succès.

Règles d'administration	Cloud Composer 3	Cloud Composer 2	Cloud Composer 1
`compute.disableSerialPortLogging`	Toutes les valeurs sont autorisées	Doit être désactivé	Désactivé pour les versions antérieures à 1.13.0. Sinon, n'importe quelle valeur.
`compute.requireOsLogin`	Toutes les valeurs sont autorisées	Toutes les valeurs sont autorisées	Doit être désactivé
`compute.vmCanIpForward`	Toutes les valeurs sont autorisées	Toutes les valeurs sont autorisées	Doit être autorisée (obligatoire pour les clusters GKE appartenant à Cloud Composer) lorsque le mode VPC natif (utilisation d'une adresse IP d'alias) n'est pas configuré
`compute.vmExternalIpAccess`	Toutes les valeurs sont autorisées	Doit être autorisé pour les environnements d'adresse IP publique	Doit être autorisé pour les environnements d'adresse IP publique
`compute.restrictVpcPeering`	Peuvent être appliquées	Application impossible	Application impossible
`compute.disablePrivateServiceConnectCreationForConsumers`	Toutes les valeurs sont autorisées	Toutes les valeurs sont autorisées	Impossible d'interdire SERVICE_PRODUCERS si Private Service Connect est utilisé
`compute.restrictPrivateServiceConnectProducer`	Lorsqu'elle est active, ajouter l'organisation `google.com` à la liste d'autorisation	Lorsqu'elle est active, ajouter l'organisation `google.com` à la liste d'autorisation	Toutes les valeurs sont autorisées

Pour en savoir plus, consultez les pages Problèmes connus et Contraintes liées aux règles d'administration.

Restriction des services utilisés au sein d'une organisation ou d'un projet

Les administrateurs d'organisation ou de projet peuvent limiter les services Google pouvant être utilisés dans leurs projets à l'aide de la contrainte de règle d'administration gcp.restrictServiceUsage.

Lorsque vous utilisez cette règle d'administration, il est important d'autoriser tous les services requis par Cloud Composer.