Cloud Composer 的已知问题

此页面列出了 Cloud Composer 的已知问题。这些问题的部分修复正在进行中,我们将在将来的版本中提供。某些问题会影响旧版本,可以通过升级环境来解决。

Pod 和服务部分支持非 RFC 1918 地址范围

Cloud Composer 依赖 GKE 为 Pod 和服务提供对非 RFC 1918 地址的支持。目前,Cloud Composer 仅支持以下非 RFC 1918 范围列表:

  • 100.64.0.0/10
  • 192.0.0.0/24
  • 192.0.2.0/24
  • 192.88.99.0/24
  • 198.18.0.0/15
  • 198.51.100.0/24
  • 203.0.113.0/24
  • 240.0.0.0/4

在 Composer 1.10.2 和 Composer 1.10.3 中启用 DAG 序列化时,Airflow 界面不显示任务日志

在使用 Composer 版本 1.10.2 和 1.10.3 的环境中启用 DAG 序列化时,可防止日志显示在 Airflow 网络服务器上。要解决此问题,请升级到版本 1.10.4(或更高版本)。

不支持 GKE Workload Identity

您无法为 Cloud Composer GKE 集群开启 Workload Identity。因此,您可能会在 Security Command Center 看到 WORKLOAD_IDENTITY_DISABLED 发现结果。

不支持 GKE Pod 安全政策

您无法为 Cloud Composer GKE 集群开启 GKE Pod 安全政策。因此,您可能会在 Security Command Center 看到 POD_SECURITY_POLICY_DISABLED 发现结果。

在更新期间添加的环境标签未完全传播到 Cloud Composer 依赖项

更新后的标签不适用于 Cloud Storage 存储分区、Pub/Sub 主题和 Compute Engine 虚拟机。解决方法是手动将这些标签应用于上述资源。

发生 CVE-2020-14386 问题时的 GKE 升级

我们正致力于解决所有 Cloud Composer 环境的漏洞。作为修复的一部分,所有现有 Cloud Composer 的 GKE 集群都将更新为更新版本。

如果客户决定立即解决该漏洞,则可以按照这些说明升级 Composer GKE 集群,同时注意以下几点:

步骤 1。 如果您运行的 Cloud Composer 版本低于 1.7.2,请升级到更高版本的 Cloud Composer。如果您已使用 1.7.2 或更高版本,请转到下一个点。

第 2 步:将 GKE 集群(主服务器和节点)升级到包含此漏洞修复的最新 1.15 补丁程序版本。

转到 IAM 页面