Managed Service for Apache Airflow-DAGs mit Cloud Run-Funktionen und der Airflow REST API auslösen

Managed Airflow (Gen 3) | Managed Airflow (Gen 2) | Managed Airflow (Legacy Gen 1)

Auf dieser Seite wird beschrieben, wie Sie mit Cloud Run Functions Managed Service for Apache Airflow-DAGs als Reaktion auf Ereignisse auslösen.

Apache Airflow ist für das regelmäßige Ausführen von DAGs nach Plan konzipiert. Sie können DAGs aber auch als Reaktion auf Ereignisse auslösen lassen. Eine Möglichkeit hierfür ist, Cloud Run Functions zu verwenden, um Managed Airflow-DAGs auszulösen, wenn ein bestimmtes Ereignis eintritt.

Im vorliegenden Beispiel wird bei jeder Änderung an einem Cloud Storage-Bucket ein DAG ausgeführt. Änderungen an einem beliebigen Objekt in einem Bucket lösen eine Funktion aus. Diese Funktion sendet eine Anfrage an die Airflow REST API Ihrer Managed Airflow-Umgebung. Airflow verarbeitet diese Anfrage und führt einen DAG aus. Der DAG gibt Informationen zur Änderung aus.

Hinweis

Netzwerkkonfiguration Ihrer Umgebung prüfen

Diese Lösung funktioniert nicht in Konfigurationen mit privater IP-Adresse und VPC Service Controls, da es in diesen Konfigurationen nicht möglich ist, eine Verbindung von Cloud Run Functions zum Airflow-Webserver zu konfigurieren.

In Managed Airflow (Gen 2) können Sie einen anderen Ansatz verwenden: DAGs mit Cloud Run Functions und Pub/Sub-Nachrichten auslösen

Die APIs für Ihr Projekt aktivieren

gcloud services enable cloudfunctions.googleapis.com composer.googleapis.com

Airflow REST API aktivieren

Je nach Airflow-Version:

• In Airflow 2 ist die stabile REST API bereits standardmäßig aktiviert. Wenn die stabile API in Ihrer Umgebung deaktiviert ist, dann aktivieren Sie sie.
• Aktivieren Sie für Airflow 1, die experimentelle REST API.

API-Aufrufe an die Airflow REST API mit der Webserver-Zugriffssteuerung zulassen

Cloud Run Functions können die Airflow REST API entweder über eine IPv4- oder IPv6-Adresse erreichen.

Wenn Sie nicht sicher sind, welcher aufrufende IP-Bereich verwendet wird, verwenden Sie die Standardkonfigurationsoption in der Webserver-Zugriffssteuerung All IP addresses have access (default), um Ihre Cloud Run Functions nicht versehentlich zu blockieren.

Cloud Storage-Bucket erstellen

In diesem Beispiel wird ein DAG als Reaktion auf Änderungen in einem Cloud Storage-Bucket ausgelöst. Erstellen Sie einen neuen Bucket zur Verwendung in diesem Beispiel.

URL des Airflow-Webservers abrufen

In diesem Beispiel werden REST API-Anfragen an den Airflow-Webserver-Endpunkt gesendet. Verwenden Sie den Teil der Airflow-Weboberflächen-URL vor .appspot.com in Ihrem Cloud Function-Code.

gcloud composer environments describe ENVIRONMENT_NAME \
    --location LOCATION \
    --format='value(config.airflowUri)'

client_id des IAM-Proxys abrufen

Um eine Anfrage an den Airflow REST API-Endpunkt zu senden, benötigt die Funktion die Client-ID des Identity and Access Management-Proxys, der den Airflow-Webserver schützt.

Managed Airflow stellt diese Informationen nicht direkt zur Verfügung. Stellen Sie stattdessen eine nicht authentifizierte Anfrage an den Airflow-Webserver und erfassen Sie die Client-ID über die Weiterleitungs-URL:

curl -v AIRFLOW_URL 2>&1 >/dev/null | grep -o "client_id\=[A-Za-z0-9-]*\.apps\.googleusercontent\.com"

client_id=836436932391-16q2c5f5dcsfnel77va9bvf4j280t35c.apps.googleusercontent.com

# This script is intended to be used with Composer 1 environments
# In Composer 2, the Airflow Webserver is not in the tenant project
# so there is no tenant client ID
# See https://cloud.google.com/composer/docs/composer-2/environment-architecture
# for more details
import google.auth
import google.auth.transport.requests
import requests
import six.moves.urllib.parse

# Authenticate with Google Cloud.
# See: https://cloud.google.com/docs/authentication/getting-started
credentials, _ = google.auth.default(
    scopes=["https://www.googleapis.com/auth/cloud-platform"]
)
authed_session = google.auth.transport.requests.AuthorizedSession(credentials)

# project_id = 'YOUR_PROJECT_ID'
# location = 'us-central1'
# composer_environment = 'YOUR_COMPOSER_ENVIRONMENT_NAME'

environment_url = (
    "https://composer.googleapis.com/v1beta1/projects/{}/locations/{}"
    "/environments/{}"
).format(project_id, location, composer_environment)
composer_response = authed_session.request("GET", environment_url)
environment_data = composer_response.json()
composer_version = environment_data["config"]["softwareConfig"]["imageVersion"]
if "composer-1" not in composer_version:
    version_error = (
        "This script is intended to be used with Composer 1 environments. "
        "In Composer 2, the Airflow Webserver is not in the tenant project, "
        "so there is no tenant client ID. "
        "See https://cloud.google.com/composer/docs/composer-2/environment-architecture for more details."
    )
    raise (RuntimeError(version_error))
airflow_uri = environment_data["config"]["airflowUri"]

# The Composer environment response does not include the IAP client ID.
# Make a second, unauthenticated HTTP request to the web server to get the
# redirect URI.
redirect_response = requests.get(airflow_uri, allow_redirects=False)
redirect_location = redirect_response.headers["location"]

# Extract the client_id query parameter from the redirect.
parsed = six.moves.urllib.parse.urlparse(redirect_location)
query_string = six.moves.urllib.parse.parse_qs(parsed.query)
print(query_string["client_id"][0])

Laden Sie einen DAG in Ihre Umgebung hoch.

Laden Sie einen DAG in Ihre Umgebung hoch. Der folgende Beispiel-DAG gibt die empfangene DAG-Ausführungskonfiguration aus. Sie lösen diesen DAG über eine Funktion aus, die Sie später in dieser Anleitung erstellen.

import datetime

import airflow
from airflow.operators.bash import BashOperator


with airflow.DAG(
    "composer_sample_trigger_response_dag",
    start_date=datetime.datetime(2021, 1, 1),
    # Not scheduled, trigger only
    schedule_interval=None,
) as dag:
    # Print the dag_run's configuration, which includes information about the
    # Cloud Storage object change.
    print_gcs_info = BashOperator(
        task_id="print_gcs_info", bash_command="echo {{ dag_run.conf }}"
    )

Cloud Functions-Funktion bereitstellen, die den DAG auslöst

Sie können eine Cloud Function in der von Ihnen bevorzugten Sprache bereitstellen, die von Cloud Run Functions oder Cloud Run unterstützt wird. In dieser Anleitung wird eine Cloud Functions-Funktion gezeigt, die in Python und Java implementiert ist.

Cloud Functions-Funktion-Konfigurationsparameter angeben

• Trigger Wählen Sie für dieses Beispiel einen Trigger aus, der arbeitet, wenn ein neues Objekt in einem Bucket erstellt oder ein vorhandenes Objekt überschrieben wird.

  • Triggertyp Cloud Storage

  • Ereignistyp Abschließen/Erstellen

  • Bucket Wählen Sie einen Bucket aus, der diese Funktion auslösen muss.

  • Bei Fehler noch einmal versuchen Wir empfehlen, diese Option für dieses Beispiel zu deaktivieren. Wenn Sie Ihre eigene Funktion in einer Produktionsumgebung verwenden, aktivieren Sie diese Option, um vorübergehende Fehler zu beheben.

• Laufzeitdienstkonto im Abschnitt Laufzeit, Build, Verbindungen und Sicherheitseinstellungen. Verwenden Sie je nach Ihren Vorlieben eine der folgenden Optionen:

  • Wählen Sie Compute Engine-Standarddienstkonto aus. Mit den Standard-IAM-Berechtigungen kann dieses Konto Funktionen ausführen, die auf Managed Airflow-Umgebungen zugreifen.

  • Erstellen Sie ein benutzerdefiniertes Dienstkonto mit der Rolle Composer-Nutzer und geben Sie es als Laufzeit Dienstkonto für diese Funktion an. Diese Option folgt dem Prinzip der geringsten Berechtigung.

• Laufzeit und Einstiegspunkt im Schritt Code. Wenn Sie Code für dieses Beispiel hinzufügen, wählen Sie die Laufzeit Python 3.7 oder höher aus und geben Sie trigger_dag als Einstiegspunkt an.

Anforderungen hinzufügen

Geben Sie die Abhängigkeiten in der Datei requirements.txt an:

requests-toolbelt==1.0.0
google-auth==2.38.0
google-cloud-pubsub==2.28.0

Fügen Sie den folgenden Code in die Datei main.py ein und nehmen Sie die folgenden Ersetzungen vor:

• Ersetzen Sie den Wert der Variablen client_id durch den Wert von client_id, den Sie zuvor abgerufen haben.

• Ersetzen Sie den Wert der Variablen webserver_id durch die Mandantenprojekt-ID, die Teil der URL der Airflow-Weboberfläche vor .appspot.com ist. Sie haben die URL der Airflow-Weboberfläche zuvor abgerufen.

• Geben Sie die von Ihnen verwendete Airflow REST API-Version an:

  • Wenn Sie die stabile Airflow API verwenden, legen Sie die Variable USE_EXPERIMENTAL_API auf False fest.
  • Wenn Sie die experimentelle Airflow REST API verwenden, sind keine Änderungen erforderlich. Die Variable USE_EXPERIMENTAL_API ist bereits auf True festgelegt.

from google.auth.transport.requests import Request
from google.oauth2 import id_token
import requests


IAM_SCOPE = "https://www.googleapis.com/auth/iam"
OAUTH_TOKEN_URI = "https://www.googleapis.com/oauth2/v4/token"
# If you are using the stable API, set this value to False
# For more info about Airflow APIs see https://cloud.google.com/composer/docs/access-airflow-api
USE_EXPERIMENTAL_API = True


def trigger_dag(data, context=None):
    """Makes a POST request to the Composer DAG Trigger API

    When called via Google Cloud Functions (GCF),
    data and context are Background function parameters.

    For more info, refer to
    https://cloud.google.com/functions/docs/writing/background#functions_background_parameters-python

    To call this function from a Python script, omit the ``context`` argument
    and pass in a non-null value for the ``data`` argument.

    This function is currently only compatible with Composer v1 environments.
    """

    # Fill in with your Composer info here
    # Navigate to your webserver's login page and get this from the URL
    # Or use the script found at
    # https://github.com/GoogleCloudPlatform/python-docs-samples/blob/main/composer/rest/get_client_id.py
    client_id = "YOUR-CLIENT-ID"
    # This should be part of your webserver's URL:
    # {tenant-project-id}.appspot.com
    webserver_id = "YOUR-TENANT-PROJECT"
    # The name of the DAG you wish to trigger
    dag_name = "composer_sample_trigger_response_dag"

    if USE_EXPERIMENTAL_API:
        endpoint = f"api/experimental/dags/{dag_name}/dag_runs"
        json_data = {"conf": data, "replace_microseconds": "false"}
    else:
        endpoint = f"api/v1/dags/{dag_name}/dagRuns"
        json_data = {"conf": data}
    webserver_url = "https://" + webserver_id + ".appspot.com/" + endpoint
    # Make a POST request to IAP which then Triggers the DAG
    make_iap_request(webserver_url, client_id, method="POST", json=json_data)


# This code is copied from
# https://github.com/GoogleCloudPlatform/python-docs-samples/blob/main/iap/make_iap_request.py
# START COPIED IAP CODE
def make_iap_request(url, client_id, method="GET", **kwargs):
    """Makes a request to an application protected by Identity-Aware Proxy.
    Args:
      url: The Identity-Aware Proxy-protected URL to fetch.
      client_id: The client ID used by Identity-Aware Proxy.
      method: The request method to use
              ('GET', 'OPTIONS', 'HEAD', 'POST', 'PUT', 'PATCH', 'DELETE')
      **kwargs: Any of the parameters defined for the request function:
                https://github.com/requests/requests/blob/master/requests/api.py
                If no timeout is provided, it is set to 90 by default.
    Returns:
      The page body, or raises an exception if the page couldn't be retrieved.
    """
    # Set the default timeout, if missing
    if "timeout" not in kwargs:
        kwargs["timeout"] = 90

    # Obtain an OpenID Connect (OIDC) token from metadata server or using service
    # account.
    google_open_id_connect_token = id_token.fetch_id_token(Request(), client_id)

    # Fetch the Identity-Aware Proxy-protected URL, including an
    # Authorization header containing "Bearer " followed by a
    # Google-issued OpenID Connect token for the service account.
    resp = requests.request(
        method,
        url,
        headers={"Authorization": "Bearer {}".format(google_open_id_connect_token)},
        **kwargs,
    )
    if resp.status_code == 403:
        raise Exception(
            "Service account does not have permission to "
            "access the IAP-protected application."
        )
    elif resp.status_code != 200:
        raise Exception(
            "Bad response from application: {!r} / {!r} / {!r}".format(
                resp.status_code, resp.headers, resp.text
            )
        )
    else:
        return resp.text


# END COPIED IAP CODE

Funktion testen

So prüfen Sie, ob Ihre Funktion und Ihr DAG wie erwartet funktionieren:

1. Warten Sie, bis die Funktion bereitgestellt wurde.
2. Laden Sie eine Datei in Ihren Cloud Storage-Bucket hoch. Alternativ können Sie die Funktion manuell auslösen, indem Sie in der Google Cloud Console die Funktion testen Aktion für diese auswählen.
3. Prüfen Sie die DAG-Seite in der Airflow-Weboberfläche. Der DAG sollte eine aktive oder bereits abgeschlossene DAG-Ausführung haben.
4. Prüfen Sie in der Airflow-UI die Aufgabenlogs für diese Ausführung. Sie sollten sehen, dass die Aufgabe print_gcs_info die von der Funktion empfangenen Daten in die Logs ausgibt:

[2021-04-04 18:25:44,778] {bash_operator.py:154} INFO - Output:
[2021-04-04 18:25:44,781] {bash_operator.py:158} INFO - Triggered from GCF:
    {bucket: example-storage-for-gcf-triggers, contentType: text/plain,
    crc32c: dldNmg==, etag: COW+26Sb5e8CEAE=, generation: 1617560727904101,
    ... }
[2021-04-04 18:25:44,781] {bash_operator.py:162} INFO - Command exited with
    return code 0h

Nächste Schritte

• Auf die Airflow-UI zugreifen
• Auf die Airflow REST API zugreifen
• DAGs schreiben
• Cloud Run Functions schreiben
• Google Cloud Storage-Trigger