Um den Erfolg und die wachsende Präferenz der Kunden für OSS-Lösungen noch stärker zu berücksichtigen, wird Cloud Composer zu Managed Service for Apache Airflow weiterentwickelt. Durch diese Namensänderung wird das Verständnis der Kunden für unser Portfolio verbessert und gleichzeitig unser Engagement für das offenste Cloud-Ökosystem unterstrichen.

Fehlerbehebung beim Erstellen der Umgebung

Managed Airflow (Gen 3) | Managed Airflow (Gen 2) | Managed Airflow (Legacy Gen 1)

Diese Seite enthält Informationen zur Fehlerbehebung bei Problemen, die beim Erstellen von Managed Airflow-Umgebungen auftreten können.

Informationen zur Fehlerbehebung im Zusammenhang mit dem Aktualisieren und Upgraden von Umgebungen, siehe Fehlerbehebung bei Umgebungsupdates und -upgrades.

Wenn Managed Airflow-Umgebungen erstellt werden, treten die meisten Probleme aus den folgenden Gründen auf:

Probleme mit Dienstkontoberechtigungen.
Inkorrekte Firewall-, DNS- oder Routinginformationen.
Netzwerkbezogene Probleme. Beispiel: Ungültige VPC-Konfiguration, IP-Adresskonflikte oder zu enge Netzwerk-IP-Bereiche.
Kontingentbezogene Probleme.
Inkompatible Organisationsrichtlinien.

Unzureichende Berechtigungen zum Erstellen einer Umgebung

Wenn Managed Airflow keine Umgebung erstellen kann, da Ihr Konto unzureichende Berechtigungen hat, werden die folgenden Fehlermeldungen ausgegeben:

ERROR: (gcloud.composer.environments.create) PERMISSION_DENIED: The caller
does not have permission

oder

ERROR: (gcloud.composer.environments.create) PERMISSION_DENIED: User not
authorized to act as service account <service-account-name>.
The user must be granted iam.serviceAccounts.actAs permission, included in
Owner, Editor, Service Account User role. See https://cloud.google.com/iam/docs
/understanding-service-accounts for additional details.

Lösung: Weisen Sie Ihrem Konto und dem Dienstkonto Ihrer Umgebung Rollen zu, wie unter Zugriffssteuerung beschrieben.

Achten Sie in Managed Airflow (Gen 2) darauf, dass dem Dienstkonto Cloud Composer Service Agent (service-PROJECT_NUMBER@cloudcomposer-accounts.iam.gserviceaccount.com) die Rolle Cloud Composer v2 API Service Agent Extension zugewiesen ist.
Achten Sie darauf, dass dem Google APIs-Dienst-Agent (PROJECT_NUMBER@cloudservices.gserviceaccount.com) die Rolle Bearbeiter zugewiesen ist.
Folgen Sie bei der Konfiguration der freigegebene VPC der Anleitung unter Gemeinsam genutzte VPC konfigurieren.

Das Dienstkonto der Umgebung hat nicht die erforderlichen Berechtigungen

Beim Erstellen einer Managed Airflow-Umgebung geben Sie ein Dienstkonto an, das die GKE-Clusterknoten der Umgebung ausführt. Wenn dieses Dienstkonto nicht genügend Berechtigungen für den angeforderten Vorgang hat, gibt Managed Airflow den folgenden Fehler aus:

Errors in: [Web server]; Error messages:
  Creation of airflow web server version failed. This may be an intermittent
  issue of the App Engine service. You may retry the operation later.
{"ResourceType":"appengine.v1.version","ResourceErrorCode":"504","ResourceError
Message":"Your deployment has failed to become healthy in the allotted time
and therefore was rolled back. If you believe this was an error, try adjusting
the 'app_start_timeout_sec' setting in the 'readiness_check' section."}

Lösung: Weisen Sie Ihrem Konto und dem Dienstkonto Ihrer Umgebung Rollen zu, wie unter Zugriffssteuerung beschrieben.

Warnungen zu fehlenden IAM-Rollen in Dienstkonten

Wenn die Erstellung einer Umgebung fehlschlägt, gibt Managed Airflow nach einem Fehler die folgende Warnmeldung aus: The issue may be caused by missing IAM roles in the following Service Accounts ....

Diese Warnmeldung weist auf mögliche Ursachen für den Fehler hin. Managed Airflow prüft, ob die erforderlichen Rollen für die Dienstkonten in Ihrem Projekt vorhanden sind. Wenn diese Rollen nicht vorhanden sind, wird diese Warnmeldung ausgegeben.

Lösung: Prüfen Sie, ob die in der Warnmeldung genannten Dienstkonten die erforderlichen Rollen haben. Weitere Informationen zu Rollen und Berechtigungen in Managed Airflow finden Sie unter Zugriffssteuerung.

In einigen Fällen können Sie diese Warnung ignorieren. Managed Airflow prüft nicht die einzelnen Berechtigungen, die Rollen zugewiesen sind. Wenn Sie beispielsweise benutzerdefinierte IAM-Rollen verwenden, hat das in der Warnmeldung erwähnte Dienstkonto möglicherweise bereits alle erforderlichen Berechtigungen. In diesem Fall können Sie diese Warnung ignorieren.

Inkompatible Organisationsrichtlinien

Die folgenden Richtlinien müssen entsprechend konfiguriert werden, damit Managed Airflow-Umgebungen erfolgreich erstellt werden können.

Organisationsrichtlinie	Managed Airflow (Gen 3)	Managed Airflow (Gen 2)	Managed Airflow (Legacy Gen 1)
`compute.disableSerialPortLogging`	(Jeder Wert ist zulässig)	Muss deaktiviert sein	Für Versionen vor 1.13.0 deaktiviert. Andernfalls jeder beliebige Wert.
`compute.requireOsLogin`	(Jeder Wert ist zulässig)	(Jeder Wert ist zulässig)	Muss deaktiviert sein
`compute.vmCanIpForward`	(Jeder Wert ist zulässig)	(Jeder Wert ist zulässig)	Muss zugelassen werden (erforderlich für Managed Airflow-eigene GKE-Cluster), wenn der VPC-native Modus (unter Verwendung von Alias-IP-Adresse) nicht konfiguriert ist
`compute.vmExternalIpAccess`	(Jeder Wert ist zulässig)	Muss für öffentliche IP-Umgebungen zugelassen werden	Muss für öffentliche IP-Umgebungen zugelassen werden
`compute.restrictVpcPeering`	Kann erzwungen werden	Kann nicht erzwungen werden	Kann nicht erzwungen werden
`compute.disablePrivateServiceConnectCreationForConsumers`	(Jeder Wert ist zulässig)	SERVICE_PRODUCERS können für Umgebungen mit privater und öffentlicher IP nicht ausgeschlossen werden. Hat keine Auswirkungen auf vorhandene Umgebungen. Sie können auch dann verwendet werden, wenn diese Richtlinie aktiviert ist.	SERVICE_PRODUCERS können für Umgebungen mit privater IP nicht ausgeschlossen werden. Hat keine Auswirkungen auf vorhandene Umgebungen. Sie können auch dann verwendet werden, wenn diese Richtlinie aktiviert ist.
`compute.restrictPrivateServiceConnectProducer`	Wenn aktiv, Organisation `google.com` auf die Zulassungsliste setzen	Wenn aktiv, Organisation `google.com` auf die Zulassungsliste setzen	(Jeder Wert ist zulässig)

Inkompatible Principal Access Boundary-Richtlinien

Principal Access Boundary-Richtlinien, die in Ihrer Organisation konfiguriert sind, können so konfiguriert sein, dass einige Vorgänge Ihrer Umgebung blockiert oder die Erstellung neuer Umgebungen verhindert wird.

In diesem Fall wird in den Fehlermeldungen möglicherweise die folgende Zeile angezeigt:

Operations on resource are denied due to an IAM Principal Access Boundary Policy.

Die Komponenten Ihrer Umgebung befinden sich in einem Mandanten- und einem Kundenprojekt. Das Mandantenprojekt wird von Google verwaltet und gehört nicht zu der Organisation, in der sich die Umgebung befindet. Das Dienstkonto Ihrer Umgebung muss die Berechtigung haben, Vorgänge im Mandantenprojekt auszuführen.

Lösung:

Fügen Sie der Bindung der Richtlinie einen Bedingungsausdruck hinzu, um das Dienstkonto der Umgebung aus der Richtlinie auszuschließen. Ein Beispiel dafür, wie Sie ein Hauptkonto ausschließen, damit die Richtlinie nicht darauf angewendet wird, finden Sie in der Identity and Access Management-Dokumentation unter Bedingte Richtlinienbindungen für Principal Access Boundary-Richtlinien.

Einschränken der in einer Organisation oder einem Projekt verwendeten Dienste

Organisations- oder Projektadministratoren können einschränken, welche Google-Dienste in ihren Projekten verwendet werden können mit der gcp.restrictServiceUsage Einschränkung für Organisationsrichtlinien.

Wenn Sie diese Organisationsrichtlinie verwenden, müssen Sie alle von Managed Airflow benötigten Dienste zulassen.