Cloud Composer の既知の問題

このページには、Cloud Composer の既知の問題が記載されています。これらの問題に対する修正のいくつかは現在対応中であり、今後のバージョンで実装されます。古いバージョンに影響するいくつかの問題は、環境のアップグレードによって解決できます。

RFC 1918 以外のアドレス範囲は Pod とサービスで部分的にサポートされています

Cloud Composer は、Pod とサービスの RFC 1918 以外のアドレスのサポートの提供を GKE に依存しています。現在、Cloud Composer では、次にあげる RFC 1918 以外の範囲のみがサポートされています。

  • 100.64.0.0/10
  • 192.0.0.0/24
  • 192.0.2.0/24
  • 192.88.99.0/24
  • 198.18.0.0/15
  • 198.51.100.0/24
  • 203.0.113.0/24
  • 240.0.0.0/4

Composer 1.10.2 と Composer 1.10.3 で DAG のシリアル化がオンの場合、Airflow UI はタスクログを表示しません。

Composer のバージョン 1.10.2 と 1.10.3 を使用する環境で DAG のシリアル化を有効にすると、Airflow ウェブサーバーにログが表示されなくなります。この問題を解決するには、バージョン 1.10.4 以降にアップグレードしてください。

GKE Workload Identity はサポートされていません

Cloud Composer GKE クラスタに対して Workload Identity を有効にはできません。その結果、Security Command Center に WORKLOAD_IDENTITY_DISABLED が表示されることがあります。

GKE Pod セキュリティ ポリシーはサポートされていません

Cloud Composer GKE クラスタに対して GKE Pod セキュリティ ポリシーを有効にはできません。その結果、Security Command Center に POD_SECURITY_POLICY_DISABLED が表示されることがあります。

更新中に追加された環境ラベルが Cloud Composer の依存関係に完全に反映されていない

更新されたラベルは、Cloud Storage バケット、Pub/Sub トピック、Compute Engine VM には適用されません。回避策として、これらのラベルは前述のリソースに手動で適用できます。

CVE-2020-14386 の問題に関連した GKE のアップグレード

Google は、すべての Cloud Composer 環境の脆弱性に対応するべく取り組んでいます。修正の一環として、既存の Cloud Composer の GKE クラスタはすべて新しいバージョンに更新されます。

この脆弱性に直ちに対処することを決定したお客様は、次の点を考慮しながら、これらの手順に従って Composer GKE クラスタをアップグレードできます。

手順 1. 1.7.2 より前のバージョンの Cloud Composer を実行している場合は、Cloud Composer の新しいバージョンにアップグレードしてください。バージョン 1.7.2 以降を使用している場合は、次の手順に進んでください。

手順 2. この脆弱性の修正を含む最新の 1.15 パッチ バージョンに GKE クラスタ(マスターとノード)をアップグレードします。

IAM ページに移動