Problèmes connus

Cloud Composer 1 | Cloud Composer 2 | Cloud Composer 3

Cette page répertorie les problèmes connus de Cloud Composer. Certains correctifs pour ces problèmes sont en cours de développement et seront disponibles dans les prochaines versions.

Certains problèmes concernent les anciennes versions. Vous pouvez les résoudre en mettant à niveau votre environnement.

Les plages d'adresses non-RFC 1918 sont partiellement compatibles avec les pods et les services.

Cloud Composer dépend de GKE afin de prendre en charge les adresses non-RFC 1918 pour les pods et les services. Actuellement, seule la liste suivante de plages non-RFC 1918 est compatible avec Cloud Composer:

• 100.64.0.0/10
• 192.0.0.0/24
• 192.0.2.0/24
• 192.88.99.0/24
• 198.18.0.0/15
• 198.51.100.0/24
• 203.0.113.0/24
• 240.0.0.0/4

L'interface utilisateur d'Airflow n'affiche pas les journaux des tâches lorsque la sérialisation des DAG est activée dans Composer 1.10.2 et Composer 1.10.3.

L'activation de la sérialisation des DAG dans les environnements utilisant les versions 1.10.2 et 1.10.3 de Composer empêche l'affichage des journaux sur le serveur Web Airflow. Pour résoudre ce problème, passez à la version 1.10.4 (ou ultérieure).

Échec intermittent de tâche lors de la planification dans Cloud Composer

Le problème est visible dans un programmeur Airflow pour l'instance de tâche lors de l'exécution de la tâche. Toutefois, les journaux n'expliquent pas la cause de l'échec d'une tâche, et le nœud de calcul et le programmeur Airflow semblent relativement sains.

Le message d'erreur sur le programmeur Airflow peut ressembler à l'erreur suivante:

Executor reports task instance <TaskInstance: xx.xxxx scheduled__2022-04-21T06:00:00+00:00 [queued]> finished (failed) although the task says its queued. (Info: None) Was the task killed externally?

Il se peut également qu'une erreur semblable à celle ci-dessous s'affiche sur le nœud de calcul Airflow:

Log file is not found: gs://$BUCKET_NAME/logs/$DAG_NAME/$TASK_NAME/2023-01-25T05:01:17.044759+00:00/1.log.
The task might not have been executed or worker executing it might have finished abnormally (e.g. was evicted).

Pour garantir la robustesse contre ces erreurs issues d'un problème récurrent dans Airflow, nous vous recommandons vivement d'implémenter de manière proactive les stratégies de nouvelle tentative appropriées au niveau de la tâche et du DAG. En intégrant ces mesures, le système peut efficacement atténuer l'impact de ces erreurs, améliorant ainsi la fiabilité et la résilience globales du workflow.

GKE Workload Identity n'est pas compatible.

Ce problème ne s'applique qu'aux environnements Cloud Composer 1. Les environnements Cloud Composer 2 utilisent Workload Identity.

Vous ne pouvez pas activer Workload Identity pour les clusters d'environnement Cloud Composer. Par conséquent, il est possible que le résultat WORKLOAD_IDENTITY_DISABLED s'affiche dans Security Command Center.

Les étiquettes d'environnement ajoutées lors d'une mise à jour ne sont pas complètement propagées

Les étiquettes d'environnement mises à jour ne sont pas appliquées aux VM Compute Engine. Pour contourner ce problème, vous pouvez appliquer ces étiquettes manuellement.

Mises à niveau de GKE dans le contexte du problème CVE-2020-14386

Nous cherchons à corriger la faille CVE-2020-14386 pour tous les environnements Cloud Composer. Dans le cadre de ce correctif, tous les clusters GKE existants de Cloud Composer seront mis à jour vers une version plus récente.

Les clients qui décident de corriger la faille immédiatement peuvent mettre à niveau leur cluster GKE Composer en suivant ces instructions, en tenant compte des points suivants:

Étape 1. Si vous exécutez une version de Cloud Composer antérieure à la version 1.7.2, passez à une version plus récente. Si vous utilisez déjà la version 1.7.2 ou une version ultérieure, passez au point suivant.

Étape 2. Mettez à niveau le cluster GKE (maître et nœuds) vers la dernière version de correctif 1.15 contenant le correctif pour cette faille.

Les journaux des tâches Airflow ne sont plus disponibles sur le serveur Web Airflow après la mise à niveau d'Airflow 1.9.0 vers Airflow 1.10.x

Airflow 1.10.x a apporté des modifications incompatibles avec les versions antérieures à la convention d'attribution de noms pour les fichiers journaux. Les informations de zone sont désormais ajoutées aux noms de journaux pour les tâches Airflow.

Airflow 1.9.0 génère et s'attend à trouver des journaux nommés comme ceci : BUCKET/logs/DAG/2020-03-30T10:29:06/1.log Airflow 1.10.x génère et s'attend à trouver des journaux nommés comme ceci : BUCKET/logs/DAG/2020-03-30T10:29:06+00:00/1.log

Par conséquent, si vous passez d'Airflow 1.9.0 à Airflow 1.10.x et que vous souhaitez lire le journal d'une tâche exécutée avec Airflow 1.9.0, le serveur Web Airflow affiche le message d'erreur suivant : Unable to read remote log from BUCKET/logs/DAG/2020-03-30T10:29:06+00:00/1.log

Solution de contournement : Dans le bucket Cloud Storage, renommez les journaux générés par Airflow 1.9.0 selon le format suivant : BUCKET/logs/DAG/2020-03-30T10:29:06+00:00/1.log

Impossible de créer des environnements Cloud Composer lorsque la règle d'administration constraints/compute.disableSerialPortLogging est activée

La création de l'environnement Cloud Composer échoue si constraints/compute.disableSerialPortLogging est appliqué sur le projet cible.

Diagnostic

Pour savoir si vous êtes concerné par ce problème, procédez comme suit :

Accédez au menu GKE dans la console Google Cloud. Accéder au menu de GKE

Sélectionnez ensuite le cluster que vous venez de créer. Recherchez l'erreur suivante :

Not all instances running in IGM after 123.45s.
Expect <number of desired instances in IGM>. Current errors:

Constraint constraints/compute.disableSerialPortLogging violated for
project <target project number>.

Solutions :

1. Désactivez la règle d'administration sur le projet dans lequel l'environnement Cloud Composer sera créé.

   Une règle d'administration peut toujours être désactivée au niveau du projet même si elle est activée au niveau des ressources parentes (organisation ou dossier). Pour en savoir plus, consultez la page Personnaliser les règles pour les contraintes booléennes.

2. Utiliser des filtres d'exclusion

   L'utilisation d'un filtre d'exclusion pour les journaux des ports série permet d'atteindre le même objectif que la désactivation de la règle d'organisation, car Logging comprend des journaux de la console série. Pour en savoir plus, consultez la page Filtres d'exclusion.

Utiliser Deployment Manager pour gérer les ressources Google Cloud protégées par VPC Service Controls

Composer utilise Deployment Manager pour créer des composants d'environnements Cloud Composer.

En décembre 2020, il se peut que vous ayez été informé que vous devrez peut-être effectuer une configuration supplémentaire de VPC Service Controls pour pouvoir gérer les ressources protégées par VPC Service Controls à l'aide de Deployment Manager.

Nous tenons à préciser qu'aucune action n'est requise de votre part si vous utilisez Composer et que vous n'utilisez pas directement Deployment Manager pour gérer les ressources Google Cloud mentionnées dans l'annonce de Deployment Manager.

Impossible de supprimer un environnement après la suppression de son cluster GKE

Si vous supprimez le cluster de votre environnement avant l'environnement lui-même, les tentatives de suppression de votre environnement entraînent l'erreur suivante :

 Got error "" during CP_DEPLOYMENT_DELETING [Rerunning Task. ]

Pour supprimer un environnement lorsque son cluster GKE est déjà supprimé :

1. Ouvrez la page Deployment Manager dans la console Google Cloud.

   Ouvrir la page Deployment Manager

2. Recherchez tous les déploiements marqués avec des libellés :

   • goog-composer-environment:<environment-name>
   • goog-composer-location:<environment-location>.

   Vous devriez voir deux déploiements marqués avec les libellés décrits :

   • Un déploiement nommé <environment-location>-<environment-name-prefix>-<hash>-sd
   • Un déploiement nommé addons-<uuid>

3. Supprimez manuellement les ressources toujours répertoriées dans ces deux déploiements et existant dans le projet (par exemple, les sujets et les abonnements Pub/Sub). Pour ce faire :

   1. Sélectionnez les déploiements.

   2. Cliquez sur Supprimer.

   3. Sélectionnez l'option Supprimer deux déploiements et toutes les ressources créées par ceux-ci, telles que les VM, les équilibreurs de charge et les disques, puis cliquez sur Tout supprimer.

   L'opération de suppression échoue, mais les ressources restantes sont supprimées.

4. Supprimez les déploiements en utilisant l'une des options suivantes :

   • Dans la console Google Cloud, sélectionnez à nouveau les deux déploiements. Cliquez sur Supprimer, puis sélectionnez l'option Supprimer deux déploiements, mais conserver les ressources créées par ceux-ci.

   • Exécutez une commande gcloud pour supprimer les déploiements avec la règle ABANDON :

     gcloud deployment-manager deployments delete addons-<uuid> \
         --delete-policy=ABANDON
     
     gcloud deployment-manager deployments delete <location>-<env-name-prefix>-<hash>-sd \
         --delete-policy=ABANDON
     

5. Supprimez votre environnement Cloud Composer.

Deployment Manager affiche des informations sur une fonctionnalité non compatible

L'avertissement suivant peut s'afficher dans l'onglet Deployment Manager :

The deployment uses actions, which are an unsupported feature. We recommend
that you avoid using actions.

Pour les déploiements de Deployment Manager appartenant à Cloud Composer, vous pouvez ignorer cet avertissement.

Avertissements concernant les entrées en double de la tâche "echo" appartenant au DAG "echo-airflow_monitoring"

L'entrée suivante peut s'afficher dans les journaux Airflow :

in _query db.query(q) File "/opt/python3.6/lib/python3.6/site-packages/MySQLdb/
connections.py", line 280, in query _mysql.connection.query(self, query)
_mysql_exceptions.IntegrityError: (1062, "Duplicate entry
'echo-airflow_monitoring-2020-10-20 15:59:40.000000' for key 'PRIMARY'")

Vous pouvez ignorer ces entrées de journal, car cette erreur n'a aucune incidence sur le traitement du DAG et des tâches par Airflow.

Nous nous efforçons d'améliorer le service Cloud Composer pour supprimer ces avertissements des journaux Airflow.

Échec de la création de l'environnement dans les projets avec l'ajout d'API Identity-Aware Proxy au périmètre VPC Service Controls

Dans les projets pour lesquels VPC Service Controls est activé, le compte cloud-airflow-prod@system.gserviceaccount.com nécessite un accès explicite dans votre périmètre de sécurité pour créer des environnements.

Pour créer des environnements, vous pouvez utiliser l'une des solutions suivantes:

• N'ajoutez pas l'API Cloud Identity-Aware Proxy ni l'API Identity-Aware Proxy TCP au périmètre de sécurité.

• Ajoutez le compte de service cloud-airflow-prod@system.gserviceaccount.com en tant que membre de votre périmètre de sécurité en utilisant la configuration suivante dans le fichier de conditions YAML:

   - members:
      - serviceAccount:cloud-airflow-prod@system.gserviceaccount.com
  

La création de l'environnement Cloud Composer 1 échoue lorsque la règle compute.requireOsLogin est activée

Si la règle compute.requireOsLogin est définie sur true dans votre projet, les opérations de création de l'environnement Cloud Composer 1 v1 échouent.

Pour créer des environnements Cloud Composer 1, désactivez cette règle dans votre projet.

Pour en savoir plus sur cette règle d'administration, consultez la page Contraintes liées aux règles d'administration.

La création ou la mise à niveau de l'environnement Cloud Composer échoue lorsque compute.vmExternalIpAccess est désactivé

Les clusters GKE appartenant à Cloud Composer configurés en mode adresse IP publique nécessitent une connectivité externe pour leurs VM. De ce fait, la règle compute.vmExternalIpAccess ne peut pas interdire la création de VM ayant des adresses IP externes. Pour en savoir plus sur cette règle d'administration, consultez la page Contraintes liées aux règles d'administration.

La création de l'environnement Cloud Composer échoue lorsque la règle compute.vmCanIpForward est désactivée

Les environnements Cloud Composer 1 créés en mode non VPC natif (utilisation d'une adresse IP d'alias) nécessitent cette règle pour autoriser la création de VM ayant la fonctionnalité "Transfert IP" activée. Pour en savoir plus sur cette règle d'administration, consultez la page Contraintes liées aux règles d'administration.

La première exécution du DAG pour un fichier de DAG importé comporte plusieurs tâches ayant échoué

Lorsque vous importez un fichier de DAG, il se peut que les premières tâches de la première exécution de DAG associée à ce fichier échouent avec l'erreur Unable to read remote log.... Ce problème est dû au fait que le fichier de DAG est synchronisé entre le bucket de votre environnement, les nœuds de calcul Airflow et les programmeurs Airflow de votre environnement. Ces synchronisations sont effectuées indépendamment. Si le programmeur obtient le fichier de DAG et planifie son exécution par un nœud de calcul alors que ce nœud de calcul ne dispose pas encore du fichier de DAG, l'exécution de la tâche échoue.

Pour contourner ce problème, les environnements Airflow 2 dans Cloud Composer 1.17.0-preview.9 et versions ultérieures sont configurées pour effectuer par défaut deux tentatives pour chaque tâche ayant échoué. Si une tâche échoue, elle est relancée deux fois avec un intervalle de cinq minutes.

Pour utiliser la solution à ce problème dans Airflow 1, remplacez l'option de configuration Airflow core-default_task_retries et définissez-la sur une valeur supérieure ou égale à 2.

La tâche échoue avec "OSError: [Errno 5] Input/output error" dans Airflow 1.10.15 ou des versions antérieures.

Dans certains cas rares, un bug dans les versions Airflow 1 place les tâches dans la file d'attente Redis deux fois.

Parfois, cela peut entraîner une condition de concurrence sur le fichier journal, qui entraîne alors l'échec de la tâche. Les tâches échouent avec une erreur OSError: [Errno 5] Input/output error dans Cloud Logging et Task is in the 'running' state which is not a valid state for execution. dans le journal des tentatives de tâche.

Ce bug est corrigé dans Airflow 2. Si vous rencontrez ce problème dans Airflow 1 dans une tâche de longue durée, augmentez la valeur de l'option de configuration Airflow [celery_broker_transport_options]visibility_timeout (la valeur par défaut correspond à 604800 pour Composer 1.17.0 et à 21600 pour les environnements plus anciens). Pour les tâches de courte durée, envisagez d'ajouter des tentatives supplémentaires aux tâches concernées ou de migrer votre environnement vers Airflow 2.

Les opérateurs Dataproc/Dataflow échouent avec une erreur Negsignal.SIGSEGV

Il s'agit d'un problème intermittent de la bibliothèque grcpio, lorsqu'elle est utilisée à partir d'un nœud de calcul Celery. Ce problème affecte Airflow 1.10.14 et versions ultérieures.

La solution consiste à modifier la stratégie d'interrogation grpcio en ajoutant la variable d'environnement suivante à votre environnement : GRPC_POLL_STRATEGY=epoll1. Cette solution est déjà appliquée dans Cloud Composer 1.17.1 et versions ultérieures.

Annonces concernant la suppression de la compatibilité avec les API bêta obsolètes dans les versions de GKE

Cloud Composer gère les clusters GKE sous-jacents appartenant à Cloud Composer. À moins que vous n'utilisiez explicitement ces API dans vos DAG et votre code, vous pouvez ignorer les annonces concernant les abandons d'API GKE. Cloud Composer se charge de toutes les migrations, si nécessaire.

Mises à niveau de GKE dans le contexte du problème de sécurité CVE-2021-25741

Tous les clusters GKE de Cloud Composer existants seront automatiquement mis à niveau vers les versions les plus récentes de GKE. Cela corrigera les problèmes décrits dans la norme CVE-2021-25741.

Si vous souhaitez corriger cette faille immédiatement, mettez à niveau le cluster GKE de votre environnement en suivant les instructions de mise à niveau d'un cluster.

• Si vous disposez d'un environnement Cloud Composer 1 et de la version GKE 1.18.x ou antérieure, passez à la version 1.18.20-gke.4501.

• Si vous disposez d'un environnement Cloud Composer 1 et de la version 1.19.x de GKE, passez à la version 1.19.14-gke.301.

• Si vous disposez d'un environnement Cloud Composer 2 et de la version 1.21.x de GKE, passez à la version 1.21.4-gke.301.

Cloud Composer ne devrait pas être affecté par la faille Apache Log4j 2 (CVE-2021-44228)

En réponse à la faille d'Apache Log4j 2 (CVE-2021-44228), Cloud Composer a mené une enquête détaillée et nous pensons que Cloud Composer n'est pas vulnérable à cette attaque.

Cloud Composer 2: les nœuds de calcul ou les programmeurs Airflow peuvent rencontrer des problèmes lors de l'accès aux buckets Cloud Storage

Dans certaines situations sporadiques, dans les environnements Cloud Composer 2 lorsque le nœud de calcul ou le programmeur Airflow redémarre, il peut rencontrer des dysfonctionnements et rencontrer des problèmes lors de l'accès au contenu du bucket Cloud Storage.

Dans une telle situation, des erreurs commençant par Transport endpoint is not connected peuvent s'afficher dans les journaux Airflow.

Par exemple, le journal d'erreurs d'un nœud de calcul Airflow peut se présenter comme suit:

[Errno 107] Transport endpoint is not connected: '/home/airflow/gcs/logs/airflow_monitoring/echo/2022-01-11T22:50:48+00:00'

Solution :

• Passer à Cloud Composer 2.0.26 ou une version plus récente

L'interface utilisateur d'Airflow peut parfois ne pas recharger un plug-in une fois qu'il a été modifié.

Si un plug-in se compose de nombreux fichiers qui importent d'autres modules, il est possible que l'interface utilisateur Airflow ne puisse pas reconnaître le fait qu'un plug-in doit être chargé à nouveau. Dans ce cas, il est nécessaire de déclencher un redémarrage du serveur Web Airflow. Pour ce faire, vous pouvez ajouter une variable d'environnement, ou installer ou désinstaller des dépendances PYPI. Vous pouvez également redémarrer le serveur Web Airflow.

Problèmes intermittents lors de la communication avec la base de données de métadonnées Airflow

Ce problème connu ne s'applique qu'à Cloud Composer 1.

Certains environnements Cloud Composer 1 (1.16.3 ou antérieurs) créés avant le 12 août 2021 peuvent rencontrer des problèmes temporaires liés à la communication avec les bases de données de métadonnées Airflow.

Si vous rencontrez ce problème, le message d'erreur suivant s'affiche dans les journaux des tâches Airflow:

"Can't connect to MySQL server on 'airflow-sqlproxy-service.default.svc.cluster.local' (104)"

L'équipe Cloud Composer s'efforce de résoudre ce problème. En attendant, si vous pensez être fortement impacté par ce problème, vous pouvez procéder comme suit pour l'éliminer:

1. Dans la console Google Cloud, accédez à la page Configuration de l'environnement des environnements Cloud Composer concernés.
2. Cliquez sur le lien Afficher les détails du cluster pour accéder au cluster GKE sous-jacent de l'environnement.
3. Accédez à l'onglet Nœuds, puis cliquez sur le pool default-pool visible dans la section Pools de nœuds.
4. Cliquez sur Modifier en haut de la page.
5. Modifiez le type d'image sur Container-Optimized OS avec containerd et enregistrez la configuration comme indiqué ci-dessous.
6. Une fois la modification envoyée, votre pool de nœuds default-pool sera reconfiguré pour utiliser containerd comme environnement d'exécution de conteneur. Certaines de vos tâches Airflow peuvent échouer pendant la reconfiguration du pool de nœuds. Si ces tâches ont de nouvelles tentatives configurées, elles seront réexécutées par Airflow une fois l'opération sur le pool de nœuds terminée.

Le cluster de l'environnement comporte des charges de travail à l'état "Non programmable"

Ce problème connu ne s'applique qu'à Cloud Composer 2.

Dans Cloud Composer 2, après la création d'un environnement, plusieurs charges de travail dans le cluster de l'environnement restent à l'état "Non programmable".

Lorsqu'un environnement effectue un scaling à la hausse, de nouveaux pods de nœuds de calcul sont créés et Kubernetes tente de les exécuter. Si aucune ressource disponible n'est disponible pour les exécuter, les pods de nœuds de calcul sont marqués comme non programmables.

Dans ce cas, l'autoscaler de cluster ajoute des nœuds, ce qui prend quelques minutes. Tant que cette opération n'est pas terminée, les pods restent à l'état "Non programmable" et n'exécutent aucune tâche.

Les charges de travail DaemonSet non programmables nommées composer-gcsfuse et composer-fluentd qui ne peuvent pas démarrer sur des nœuds en l'absence de composants Airflow n'affectent pas votre environnement.

Si le problème persiste pendant une longue période (plus d'une heure), vous pouvez consulter les journaux de l'autoscaler de cluster. Vous pouvez les trouver dans la visionneuse de journaux avec le filtre suivant:

resource.type="k8s_cluster"
logName="projects/<project-name>/logs/container.googleapis.com%2Fcluster-autoscaler-visibility"
resource.labels.cluster_name="<cluster-name>"

Il contient des informations sur les décisions prises par l'autoscaler de cluster: développez n'importe quel élément noDecisionStatus pour afficher la raison pour laquelle le scaling à la hausse ou à la baisse du cluster ne peut pas être effectué.

Erreur 504 lors de l'accès à l'interface utilisateur d'Airflow

L'erreur 504 Gateway Timeout peut s'afficher lorsque vous accédez à l'interface utilisateur d'Airflow. Cette erreur peut avoir plusieurs causes:

• Problème de communication temporaire. Dans ce cas, essayez d'accéder ultérieurement à l'interface utilisateur d'Airflow. Vous pouvez également redémarrer le serveur Web Airflow.
• (Cloud Composer 2 uniquement) Problème de connectivité. Si l'interface utilisateur d'Airflow est définitivement indisponible et que des erreurs d'expiration de délai ou 504 sont générées, assurez-vous que votre environnement peut accéder à *.composer.cloud.google.com. Si vous utilisez l'accès privé à Google et envoyez du trafic via des adresses IP virtuelles private.googleapis.com ou VPC Service Controls et que vous envoyez du trafic sur des adresses IP virtuelles restricted.googleapis.com, assurez-vous que Cloud DNS est également configuré pour les noms de domaine *.composer.cloud.google.com.
• Le serveur Web Airflow ne répond pas. Si l'erreur 504 persiste, mais que vous pouvez toujours accéder à l'interface utilisateur d'Airflow à certains moments, il est possible que le serveur Web Airflow ne réponde pas, car il est surchargé. Essayez d'augmenter l'échelle et les paramètres de performances du serveur Web.

Erreur 502 lors de l'accès à l'interface utilisateur d'Airflow

L'erreur 502 Internal server exception indique que l'interface utilisateur d'Airflow ne peut pas répondre aux requêtes entrantes. Cette erreur peut avoir plusieurs causes:

• Problème de communication temporaire. Essayez d'accéder à l'interface utilisateur d'Airflow ultérieurement.

• Échec du démarrage du serveur Web. Pour commencer, le serveur Web exige la synchronisation des fichiers de configuration. Recherchez dans les journaux du serveur Web les entrées de journal semblables à GCS sync exited with 1: gsutil -m cp gs://<bucket-name>/airflow.cfg /home/airflow/gcs/airflow.cfg.tmp ou GCS sync exited with 1: gsutil -m cp gs://<bucket-name>/env_var.json.cfg /home/airflow/gcs/env_var.json.tmp. Si ces erreurs s'affichent, vérifiez si les fichiers mentionnés dans les messages d'erreur sont toujours présents dans le bucket de l'environnement.

  En cas de suppression accidentelle (parce qu'une règle de conservation a été configurée, par exemple), vous pouvez les restaurer:

  1. Définissez une nouvelle variable d'environnement dans votre environnement. Vous pouvez utiliser n'importe quel nom et valeur de variable.

  2. Remplacer une option de configuration Airflow. Vous pouvez utiliser une option de configuration Airflow qui n'existe pas.

L'interface utilisateur d'Airflow 2.2.3 ou version antérieure est vulnérable à la CVE-2021-45229

Comme indiqué dans CVE-2021-45229, l'écran "Trigger DAG with config" (Déclencher le DAG avec configuration) était sujet aux attaques XSS via l'argument de requête origin.

Recommandation: Passez à la dernière version de Cloud Composer compatible avec Airflow 2.2.5.

Les nœuds de calcul nécessitent plus de mémoire que dans les versions précédentes d'Airflow

Problèmes constatés:

• Dans votre environnement Cloud Composer 2, toutes les charges de travail de cluster de nœuds de calcul Airflow de l'environnement sont à l'état CrashLoopBackOff et n'exécutent pas de tâches. Vous pouvez également voir des avertissements OOMKilling générés si vous êtes concerné par ce problème.

• Ce problème peut empêcher les mises à niveau de l'environnement.

Cause:

• Si vous utilisez une valeur personnalisée pour l'option de configuration Airflow [celery]worker_concurrency et des paramètres de mémoire personnalisés pour les nœuds de calcul Airflow, vous pouvez rencontrer ce problème lorsque la consommation de ressources approche de la limite.
• Dans Airflow 2.6.3 avec Python 3.11, les besoins en mémoire des nœuds de calcul Airflow sont 10 % plus élevés que ceux des versions antérieures.
• Les exigences en termes de mémoire des nœuds de calcul Airflow dans Airflow 2.3 et versions ultérieures sont 30 % plus élevées que dans Airflow 2.2 ou Airflow 2.1.

Solutions :

• Supprimez le forçage pour worker_concurrency afin que Cloud Composer calcule cette valeur automatiquement.
• Si vous utilisez une valeur personnalisée pour worker_concurrency, définissez-la sur une valeur inférieure. Vous pouvez utiliser la valeur calculée automatiquement comme point de départ.
• Vous pouvez également augmenter la quantité de mémoire disponible pour les nœuds de calcul Airflow.
• Si vous ne pouvez pas mettre à niveau votre environnement vers une version ultérieure en raison de ce problème, appliquez l'une des solutions proposées avant la mise à niveau.

Déclenchement de DAG via des réseaux privés à l'aide de Cloud Functions

Le déclenchement de DAG avec Cloud Functions via des réseaux privés à l'aide d'un connecteur VPC n'est pas possible dans Cloud Composer.

Recommandation: Utilisez Cloud Functions pour publier des messages sur Pub/Sub. Ces événements peuvent déclencher les capteurs Pub/Sub pour déclencher des DAG Airflow ou mettre en œuvre une approche basée sur des opérateurs différables.

Problème lié aux commandes gcloud composer dans la version 410.0.0

Dans la version 410.0.0 de gcloud, les commandes Cloud Composer suivantes:

• gcloud composer environments run
• gcloud composer environments list-packages

renvoient un code d'erreur différent de zéro et affichent ce message d'erreur:

  (ERROR: gcloud crashed (TypeError): 'NoneType' object is not callable)

Ce comportement s'ajoute au résultat standard généré par les commandes gcloud et n'a aucune incidence sur leurs fonctionnalités.

Si ce problème n'affecte pas vos opérations, vous pouvez continuer à utiliser la version 410.0.0 et ignorer le message d'erreur incorrect. Si vous devez utiliser la version 410.0.0 et que vous utilisez la commande gcloud de manière programmatique, veuillez implémenter une logique supplémentaire pour ignorer les codes d'erreur non nuls et les informations sur la trace de la pile d'erreurs dans le résultat. Vous pouvez également consulter la section "Solution" pour découvrir d'autres solutions.

Solution

• Évitez de passer à la version 410.0.0. Utilisez la version 409.0.0 ou une version antérieure.
• Si vous avez déjà effectué une mise à niveau, veuillez revenir à une version antérieure (409.0.0, par exemple). Pour en savoir plus, consultez Utiliser des archives avec versions gérées.

Dossiers vides dans Scheduler et Workers

Cloud Composer ne supprime pas activement les dossiers vides des nœuds de calcul et des programmeurs Airflow. Ces entités peuvent être créées à la suite du processus de synchronisation du bucket d'environnement, lorsque ces dossiers existaient dans le bucket et ont finalement été supprimés.

Recommandation: Ajustez vos DAG afin qu'ils soient prêts à ignorer ces dossiers vides.

Ces entités sont à terme supprimées des espaces de stockage locaux des programmeurs et des nœuds de calcul Airflow lors du redémarrage de ces composants (par exemple, à la suite d'opérations de scaling à la baisse ou de maintenance dans le cluster Cloud Composer).

Compatibilité avec Kerberos

Cloud Composer n'est pas encore compatible avec la configuration Kerberos Airflow.

Compatibilité des classes de calcul dans Cloud Composer 2

Cloud Composer 2 n'est compatible qu'avec la classe de calcul à usage général. Cela signifie qu'il n'est pas possible d'exécuter des pods qui demandent d'autres classes de calcul (telles que Balanced ou Scale-Out).

La classe à usage général permet d'exécuter des pods nécessitant jusqu'à 110 Go de mémoire et jusqu'à 30 processeurs (comme décrit dans la section Requêtes maximales de classe de calcul).

Si vous souhaitez utiliser une architecture ARM ou si vous avez besoin de davantage de processeurs et de mémoire, vous devez utiliser une classe de calcul différente, qui n'est pas compatible avec les clusters Cloud Composer 2.

Recommandation: Utilisez GKEStartPodOperator pour exécuter des pods Kubernetes sur un autre cluster compatible avec la classe de calcul sélectionnée. Si vous exécutez des pods personnalisés nécessitant une classe de calcul différente, ils doivent également s'exécuter sur un cluster autre que Cloud Composer 2.

Compatibilité avec les opérateurs Google Campaign Manager 360

Les opérateurs Google Campaign Manager dans les versions de Cloud Composer antérieures à la version 2.1.13 sont basés sur l'API Campaign Manager 360 v3.5, qui est obsolète et dont sa date d'arrêt est le 1er mai 2023.

Si vous utilisez des opérateurs Google Campaign Manager, mettez à niveau votre environnement vers Cloud Composer version 2.1.13 ou ultérieure.

Compatibilité avec les opérateurs Google Display & Video 360

Les opérateurs Google Display & Video 360 dans les versions de Cloud Composer antérieures à la version 2.1.13 sont basés sur l'API Display & Video 360 version 1.1, qui est obsolète et dont sa date d'arrêt est le 27 avril 2023.

Si vous utilisez des opérateurs Google Display & Video 360, mettez à niveau votre environnement vers Cloud Composer version 2.1.13 ou ultérieure. En outre, vous devrez peut-être modifier vos DAG, car certains opérateurs Google Display & Video 360 sont obsolètes et ont été remplacés par de nouveaux.

• GoogleDisplayVideo360CreateReportOperator est désormais obsolète. Utilisez plutôt GoogleDisplayVideo360CreateQueryOperator. Cet opérateur renvoie query_id au lieu de report_id.
• GoogleDisplayVideo360RunReportOperator est désormais obsolète. Utilisez plutôt GoogleDisplayVideo360RunQueryOperator. Cet opérateur renvoie query_id et report_id au lieu de report_id uniquement, et nécessite le paramètre query_id au lieu de report_id.
• Pour vérifier si un rapport est prêt, utilisez le nouveau capteur GoogleDisplayVideo360RunQuerySensor qui utilise les paramètres query_id et report_id. Le capteur GoogleDisplayVideo360ReportSensor obsolète ne nécessitait que report_id.
• GoogleDisplayVideo360DownloadReportV2Operator nécessite désormais les paramètres query_id et report_id.
• Dans GoogleDisplayVideo360DeleteReportOperator, aucune modification ne peut affecter vos DAG.

Restrictions liées au nom de la plage secondaire

CVE-2023-29247 (la page d'informations de l'instance de tâche dans l'interface utilisateur est vulnérable à un XSS stocké)

L'interface utilisateur d'Airflow des versions 2.0.x à 2.5.x d'Airflow est vulnérable à CVE-2023-29247.

Si vous utilisez une version de Cloud Composer antérieure à la version 2.4.2 et que vous pensez que votre environnement peut être vulnérable à cette faille, veuillez lire la description suivante et les solutions possibles.

Dans Cloud Composer, l'accès à l'interface utilisateur Airflow est protégé par IAM et le contrôle des accès à l'interface utilisateur Airflow.

Cela signifie que pour exploiter la faille de l'interface utilisateur d'Airflow, les pirates informatiques doivent d'abord accéder à votre projet avec les autorisations et rôles IAM nécessaires.

Solution :

• Vérifiez les autorisations et les rôles IAM de votre projet, y compris les rôles Cloud Composer attribués à des utilisateurs individuels. Assurez-vous que seuls les utilisateurs approuvés peuvent accéder à l'interface utilisateur d'Airflow.

• Vérifiez les rôles attribués aux utilisateurs via le mécanisme de contrôle des accès à l'interface utilisateur Airflow (il s'agit d'un mécanisme distinct qui fournit un accès plus précis à l'interface utilisateur d'Airflow). Assurez-vous que seuls les utilisateurs approuvés peuvent accéder à l'interface utilisateur Airflow et que tous les nouveaux utilisateurs sont enregistrés avec un rôle approprié.

• Envisagez un renforcement supplémentaire avec VPC Service Controls.

Le DAG de surveillance Airflow de l'environnement Cloud Composer 2 n'est pas recréé

Le DAG de surveillance Airflow n'est pas automatiquement recréé s'il est supprimé par l'utilisateur ou déplacé du bucket dans les environnements Composer avec composer-2.1.4-airflow-2.4.3.

Solution :

• Ce problème a été résolu dans les versions ultérieures, telles que composer-2.4.2-airflow-2.5.3. L'approche suggérée consiste à mettre à niveau votre environnement vers une version plus récente.
• Une solution alternative ou temporaire à une mise à niveau de l'environnement consiste à copier le DAG airflow_monitoring à partir d'un autre environnement avec la même version.

Les opérations de mise à niveau peuvent échouer si Sentry est activé

L'opération de mise à niveau d'un environnement Cloud Composer peut échouer si vous avez configuré Sentry dans votre environnement et défini le paramètre [sentry]sentry_on sur true.

Solution :

• Désactivez Sentry dans votre environnement, effectuez la mise à niveau et reconfigurez Sentry.

Il est impossible de réduire l'espace de stockage Cloud SQL

Cloud Composer utilise Cloud SQL pour exécuter la base de données Airflow. Au fil du temps, l'espace de stockage sur disque de l'instance Cloud SQL peut augmenter, car le disque est ajusté pour s'adapter aux données stockées par les opérations Cloud SQL lorsque la base de données Airflow augmente.

Il n'est pas possible de réduire la taille du disque Cloud SQL.

Pour contourner ce problème, si vous souhaitez utiliser la plus petite taille de disque Cloud SQL, vous pouvez recréer des environnements Cloud Composer avec des instantanés.

La métrique d'utilisation du disque de la base de données ne diminue pas après la suppression des enregistrements de Cloud SQL

Les bases de données relationnelles, telles que Postgres ou MySQL, ne suppriment pas physiquement les lignes lorsqu'elles sont supprimées ou mises à jour. Au lieu de cela, il les marque comme "tuples inactifs" pour maintenir la cohérence des données et éviter de bloquer les transactions simultanées.

MySQL et Postgres implémentent tous deux des mécanismes de récupération d'espace après la suppression d'enregistrements.

Bien qu'il soit possible de forcer la base de données à récupérer de l'espace disque inutilisé, il s'agit d'une opération gourmande en ressources qui verrouille également la base de données, ce qui rend Cloud Composer indisponible. Par conséquent, il est recommandé de s'appuyer sur les mécanismes de création pour récupérer l'espace inutilisé.

Accès bloqué : erreur d'autorisation

Si ce problème affecte un utilisateur, la boîte de dialogue Accès bloqué: Erreur d'autorisation contient le message Error 400: admin_policy_enforced.

Si l'option Commandes des API > Applications tierces non configurées > Ne pas autoriser les utilisateurs à accéder aux applications tierces est activée dans Google Workspace et que l'application Apache Airflow dans Cloud Composer n'est pas explicitement autorisée, les utilisateurs ne peuvent pas accéder à l'interface utilisateur d'Airflow, sauf s'ils autorisent explicitement l'application.

Pour autoriser l'accès, suivez la procédure décrite dans Autoriser l'accès à l'interface utilisateur d'Airflow dans Google Workspace.

Les instances de tâche qui ont réussi sont marquées comme ayant échoué.

Dans certains cas et dans de rares cas, les instances de tâches Airflow ayant réussi peuvent être marquées comme FAILED.

Si cela se produit, il a généralement été déclenché par une mise à jour ou une mise à niveau de l'environnement, ou par la maintenance de GKE.

Remarque:Le problème lui-même n'indique pas de problème dans l'environnement et ne provoque pas d'échecs réels de l'exécution des tâches.

Le problème est résolu dans Cloud Composer version 2.6.5 ou ultérieure.

Les composants Airflow rencontrent des problèmes de communication avec d'autres parties de la configuration de Cloud Composer

Dans de très rares cas, la lenteur de communication avec le serveur de métadonnées Compute Engine peut empêcher les composants Airflow de fonctionner de manière optimale. Par exemple, le programmeur Airflow peut être redémarré, les tâches Airflow devront peut-être être relancées ou leur temps de démarrage peut être plus long.

Symptômes :

Les erreurs suivantes apparaissent dans les journaux des composants Airflow (par exemple, les programmeurs, les nœuds de calcul ou le serveur Web Airflow):

Authentication failed using Compute Engine authentication due to unavailable metadata server

Compute Engine Metadata server unavailable on attempt 1 of 3. Reason: timed out
...
Compute Engine Metadata server unavailable on attempt 2 of 3. Reason: timed out
...
Compute Engine Metadata server unavailable on attempt 3 of 3. Reason: timed out

Solution :

Définissez la variable d'environnement suivante: GCE_METADATA_TIMEOUT=30.

Le dossier /data n'est pas disponible sur le serveur Web Airflow

Dans Cloud Composer 2, le serveur Web Airflow est destiné à être un composant principalement en lecture seule. Cloud Composer ne synchronise pas le dossier data/ avec ce composant.

Dans certains cas, vous souhaiterez peut-être partager des fichiers communs entre tous les composants Airflow, y compris le serveur Web Airflow.

Solution :

• Encapsulez les fichiers à partager avec le serveur Web dans un module PYPI et installez-le en tant que package PYPI standard. Une fois le module PYPI installé dans l'environnement, les fichiers sont ajoutés aux images des composants Airflow et sont à leur disposition.

• Ajoutez des fichiers au dossier plugins/. Ce dossier est synchronisé avec le serveur Web Airflow.

Étapes suivantes

• Résoudre les problèmes de création d'environnement
• Découvrez comment résoudre les problèmes liés aux DAG.
• Résoudre les problèmes liés à Airflow Scheduler