Fehlerbehebung beim Erstellen der Umgebung

Auf dieser Seite finden Sie Informationen zur Fehlerbehebung bei Problemen, die beim Erstellen von Cloud Composer-Umgebungen auftreten können.

Informationen zur Fehlerbehebung beim Aktualisieren und Aktualisieren von Umgebungen finden Sie unter Fehlerbehebung bei Umgebungsupdates und -upgrades.

Wenn Cloud Composer-Umgebungen erstellt werden, treten die meisten Probleme aus folgenden Gründen auf:

  • Probleme mit der Dienstkontoberechtigung

  • Firewall-, DNS- oder Routinginformationen

  • Netzwerkbezogene Probleme. Beispiel: eine ungültige VPC-Konfiguration, IP-Adresskonflikte oder Netzwerk-IP-Bereiche, die zu eng gefasst sind

  • Kontingentbezogene Probleme

  • Inkompatible Organisationsrichtlinien

Unzureichende Berechtigungen zum Erstellen einer Umgebung

Wenn Cloud Composer keine Umgebung erstellen kann, weil Ihr Konto nicht die erforderlichen Berechtigungen hat, werden die folgenden Fehlermeldungen ausgegeben:

ERROR: (gcloud.composer.environments.create) PERMISSION_DENIED: The caller
does not have permission

oder

ERROR: (gcloud.composer.environments.create) PERMISSION_DENIED: User not
authorized to act as service account <service-account-name>.
The user must be granted iam.serviceAccounts.actAs permission, included in
Owner, Editor, Service Account User role. See https://cloud.google.com/iam/docs
/understanding-service-accounts for additional details.

Lösung: Weisen Sie Ihrem Konto und dem Dienstkonto Ihrer Umgebung Rollen zu, wie unter Zugriffssteuerung beschrieben.

Das Dienstkonto der Umgebung hat keine ausreichenden Berechtigungen

Beim Erstellen einer Cloud Composer-Umgebung geben Sie ein Dienstkonto an, das die GKE-Knoten der Umgebung ausführt. Wenn dieses Dienstkonto nicht genügend Berechtigungen für den angeforderten Vorgang hat, gibt Cloud Composer den folgenden Fehler aus:

Errors in: [Web server]; Error messages:
  Creation of airflow web server version failed. This may be an intermittent
  issue of the App Engine service. You may retry the operation later.
{"ResourceType":"appengine.v1.version","ResourceErrorCode":"504","ResourceError
Message":"Your deployment has failed to become healthy in the allotted time
and therefore was rolled back. If you believe this was an error, try adjusting
the 'app_start_timeout_sec' setting in the 'readiness_check' section."}

Lösung: Weisen Sie Ihrem Konto und dem Dienstkonto Ihrer Umgebung Rollen zu, wie unter Zugriffssteuerung beschrieben.

Ein für die Umgebung ausgewähltes VPC-Netzwerk ist nicht vorhanden

Sie können bei der Erstellung ein VPC-Netzwerk und ein Subnetz für Ihre Cloud Composer-Umgebung angeben. Wenn Sie kein VPC-Netzwerk angeben, wählt der Cloud Composer-Dienst die default-VPC und das default-Subnetz für die Region und Zone der Umgebung aus.

Wenn das angegebene VPC-Netzwerk und das Subnetz nicht vorhanden sind, gibt Cloud Composer den folgenden Fehler aus:

Errors in: [GKE cluster]; Error messages:
        {"ResourceType":"gcp-types/container-v1:projects.locations.clusters","R
        esourceErrorCode":"400","ResourceErrorMessage":{"code":400,"message":"P
        roject \"<your composer project>\" has no network named \"non-existing-
        vpc\".","status":"INVALID_ARGUMENT","statusMessage":"Bad
        Request","requestPath":"https://container.googleapis.com/
        v1/projects/<your composer
        project>/locations/<zone>/clusters","httpMethod":"POST"}}

Lösung: Prüfen Sie vor dem Erstellen einer Umgebung, ob das VPC-Netzwerk und das Subnetz für Ihre neue Umgebung vorhanden sind.

Kontingentprobleme beim Erstellen von Umgebungen in großen Netzwerken

Beim Erstellen von Cloud Composer-Umgebungen in großen Netzwerken können die folgenden Kontingentlimits auftreten:

  • Die maximale Anzahl von VPC-Peering-Verbindungen pro einzelnem VPC-Netzwerk wurde erreicht.
  • Die maximale Anzahl von primären und sekundären Subnetz-IP-Bereichen wurde erreicht.
  • Die maximale Anzahl von Weiterleitungsregeln in der Peering-Gruppe für das interne TCP/UDP-Load-Balancing wurde erreicht.

Lösung: Wenden Sie den für Cloud Composer in großen Netzwerken empfohlenen Ansatz an.

Inkompatible Organisationsrichtlinien

Die folgenden Richtlinien müssen entsprechend konfiguriert werden, damit Cloud Composer-Umgebungen erfolgreich erstellt werden können.

Organisationsrichtlinie Cloud Composer 1 Cloud Composer 2
compute.disableSerialPortLogging Für Versionen vor 1.13.0 deaktiviert ansonsten jeder Wert Muss deaktiviert werden
compute.requireOsLogin Muss deaktiviert werden Muss deaktiviert werden
compute.vmCanIpForward Muss zugelassen (erforderlich für Cloud Composer-Cluster) und der native VPC-Modus (mit Alias-IP-Adresse) ist nicht konfiguriert Jeder Wert ist zulässig
compute.vmExternalIpAccess Muss für öffentliche IP-Umgebungen zugelassen sein Muss für öffentliche IP-Umgebungen zugelassen sein
compute.requireShieldedVm Muss auf False festgelegt sein Jeder Wert ist zulässig

Weitere Informationen finden Sie auf der Seite Composer Bekannte Probleme und in den Einschränkungen für Organisationsrichtlinien.

400-Fehlermeldungen: Der Airflow-Webserver konnte nicht bereitgestellt werden.

Dieser Fehler kann durch einen Fehler beim Erstellen des GKE-Clusters einer privaten IP-Umgebung aufgrund von überlappenden IP-Bereichen verursacht werden.

Lösung: Prüfen Sie die Logs auf Fehler im Cluster Ihrer Umgebung und beheben Sie das Problem anhand der GKE-Fehlermeldung.

Nächste Schritte