Cloud Composer 1 dalam mode pasca-pemeliharaan. Google tidak merilis update lebih lanjut untuk Cloud Composer 1, termasuk versi baru Airflow, perbaikan bug, dan update keamanan. Sebaiknya rencanakan migrasi ke Cloud Composer 2.

Halaman ini diterjemahkan oleh Cloud Translation API.

Memecahkan masalah pembuatan lingkungan

Cloud Composer 1 | Cloud Composer 2 | Cloud Composer 3

Halaman ini memberikan informasi pemecahan masalah untuk masalah yang mungkin Anda temukan saat membuat lingkungan Cloud Composer.

Untuk informasi pemecahan masalah terkait dengan pembaruan dan peningkatan lingkungan, lihat Memecahkan masalah terkait update dan upgrade lingkungan.

Saat lingkungan Cloud Composer dibuat, sebagian besar masalah terjadi karena alasan berikut:

Masalah izin akun layanan.
Informasi Firewall, DNS, atau perutean salah.
Masalah terkait jaringan. Misalnya, konfigurasi VPC yang tidak valid, alamat IP konflik, atau rentang IP jaringan yang terlalu sempit.
Masalah terkait kuota.
Kebijakan Organisasi tidak kompatibel.

Izin tidak memadai untuk membuat lingkungan

Jika Cloud Composer tidak dapat membuat lingkungan karena akun Anda tidak memiliki izin yang memadai, output akan menampilkan pesan error berikut:

ERROR: (gcloud.composer.environments.create) PERMISSION_DENIED: The caller
does not have permission

atau

ERROR: (gcloud.composer.environments.create) PERMISSION_DENIED: User not
authorized to act as service account <service-account-name>.
The user must be granted iam.serviceAccounts.actAs permission, included in
Owner, Editor, Service Account User role. See https://cloud.google.com/iam/docs
/understanding-service-accounts for additional details.

Solusi: Tetapkan peran ke akun Anda dan akun layanan seperti yang dijelaskan dalam Kontrol akses.

Di Cloud Composer 2, pastikan Agen Layanan Cloud Composer akun layanan (service-PROJECT_NUMBER@cloudcomposer-accounts.iam.gserviceaccount.com) memiliki peran Cloud Composer v2 API Service Agent Extension yang telah ditetapkan.
Pastikan bahwa Agen Layanan Google API (PROJECT_NUMBER@cloudservices.gserviceaccount.com) memiliki peran Editor yang ditetapkan.
Di konfigurasi VPC Bersama, ikuti Mengonfigurasi petunjuk VPC Bersama.

Akun layanan lingkungan tidak memiliki izin yang memadai

Saat membuat lingkungan Cloud Composer, Anda menentukan layanan yang menjalankan node cluster GKE lingkungan. Jika ini akun layanan tidak memiliki izin yang cukup untuk operasi yang diminta, Cloud Composer menampilkan error berikut:

Errors in: [Web server]; Error messages:
  Creation of airflow web server version failed. This may be an intermittent
  issue of the App Engine service. You may retry the operation later.
{"ResourceType":"appengine.v1.version","ResourceErrorCode":"504","ResourceError
Message":"Your deployment has failed to become healthy in the allotted time
and therefore was rolled back. If you believe this was an error, try adjusting
the 'app_start_timeout_sec' setting in the 'readiness_check' section."}

Solusi: Tetapkan peran ke akun Anda dan akun layanan seperti yang dijelaskan dalam Kontrol akses.

Peringatan tentang peran IAM yang tidak ada dalam akun layanan

Saat pembuatan lingkungan gagal, Cloud Composer akan membuat pesan peringatan berikut setelah terjadi error: The issue may be caused by missing IAM roles in the following Service Accounts ....

Pesan peringatan ini menyoroti kemungkinan penyebab error. Cloud Composer memeriksa peran yang diperlukan pada akun layanan di project Anda, dan jika peran ini tidak ada, peringatan ini akan untuk membuat pesan email baru.

Solusi: Pastikan akun layanan yang disebutkan dalam pesan peringatan telah peran yang diperlukan. Untuk informasi selengkapnya tentang peran dan izin di Cloud Composer, lihat Kontrol akses.

Dalam beberapa kasus, Anda dapat mengabaikan peringatan ini. Cloud Composer tidak memeriksa izin akses individual yang ditetapkan ke peran. Misalnya, jika Anda menggunakan peran IAM khusus, mungkin akun layanan yang disebutkan dalam pesan peringatan telah memiliki semua izin yang diperlukan. Di sini , abaikan peringatan ini.

Kebijakan organisasi yang tidak kompatibel

Kebijakan berikut harus dikonfigurasi dengan benar sehingga Lingkungan Cloud Composer dapat berhasil dibuat.

Kebijakan Organisasi	Cloud Composer 3	Cloud Composer 2	Cloud Composer 1
`compute.disableSerialPortLogging`	Nilai apa pun diizinkan	Harus dinonaktifkan	Dinonaktifkan untuk versi yang lebih lama dari 1.13.0; jika tidak, nilai berapa pun
`compute.requireOsLogin`	Nilai apa pun diizinkan	Nilai apa pun diizinkan	Harus dinonaktifkan
`compute.vmCanIpForward`	Nilai apa pun diizinkan	Nilai apa pun diizinkan	Harus diizinkan (diperlukan untuk cluster GKE milik Cloud Composer) saat mode VPC native (menggunakan IP alias) tidak dikonfigurasi
`compute.vmExternalIpAccess`	Nilai apa pun diizinkan	Harus diizinkan untuk lingkungan IP Publik	Harus diizinkan untuk lingkungan IP Publik
`compute.restrictVpcPeering`	Dapat ditegakkan	Tidak dapat diterapkan	Tidak dapat diterapkan
`compute.disablePrivateServiceConnectCreationForConsumers`	Nilai apa pun diizinkan	Tidak dapat melarang SERVICE_PRODUCERS untuk lingkungan IP Pribadi dan Publik. Tidak memengaruhi lingkungan yang sudah ada, mereka dapat beroperasi saat kebijakan ini mengaktifkan pembuatan versi.	Tidak dapat melarang SERVICE_PRODUCERS untuk lingkungan IP Pribadi. Tidak memengaruhi lingkungan yang sudah ada, mereka dapat beroperasi saat kebijakan ini mengaktifkan pembuatan versi.
`compute.restrictPrivateServiceConnectProducer`	Jika aktif, izinkan organisasi `google.com`	Jika aktif, izinkan organisasi `google.com`	Nilai apa pun diizinkan

Untuk informasi selengkapnya, lihat halaman Masalah umum dan Batasan kebijakan organisasi.

Membatasi layanan yang digunakan dalam organisasi atau project

Administrator organisasi atau proyek dapat membatasi layanan Google apa saja yang dapat digunakan dalam proyek mereka dengan menggunakan gcp.restrictServiceUsage batasan kebijakan organisasi.

Saat menggunakan kebijakan organisasi ini, Anda harus mengizinkan semua layanan yang diperlukan oleh Cloud Composer.