Wie führe ich eine Problembehandlung für meine Amazon-MWAA-Umgebung durch, die im Status „Creating“ (Wird erstellt…) feststeckt?

Letzte Aktualisierung: 02.03.2022

Ich habe versucht, eine Amazon-MWAA-Umgebung (Amazon Managed Workflows for Apache Airflow) zu erstellen, aber sie steckt im Status „Creating“ (Wird erstellt…) fest.

Lösung

Führen Sie ein Skript zur Problembehandlung aus, um zu überprüfen, ob die Voraussetzungen für die Amazon-MWAA-Umgebung, wie die erforderlichen IAM-Rollenberechtigungen (AWS Identity and Access Management) und die Einrichtung der Amazon Virtual Private Cloud (Amazon VPC), erfüllt sind. Weitere Informationen finden Sie im Skript Verify environment (Umgebung verifizieren) in AWS Support Tools auf GitHub.

Wenn Ihre Amazon-MWAA-Umgebung für eine kürzere Dauer im Status „Creating“ (Wird erstellt…) stecken bleibt, dann könnte das Problem auf die fehlenden IAM-Berechtigungen für andere AWS-Services zurückzuführen sein, wie z. B. die folgenden: Amazon Simple Storage Service (Amazon S3), Amazon CloudWatch, Amazon Simple Queue Service (Amazon SQS) und Amazon Elastic Container Registry (Amazon ECR), sowie AWS Key Management Service (AWS KMS). Stellen Sie sicher, dass Ihre Ausführungsrolle und die serviceverknüpfte Rolle über die erforderlichen Berechtigungen verfügen. Wenn Sie einen vom Kunden verwalteten Schlüssel verwenden, müssen Sie auch die Richtlinie für von Kunden verwaltete Schlüssel aktualisieren. Schritte zur Problembehandlung finden Sie unter Ich habe versucht, eine Umgebung zu erstellen, aber es wird der Status „Create failed“ (Erstellen fehlgeschlagen) angezeigt.

Wenn Ihre Umgebung länger als 30 Minuten im Status „Creating“ (Wird erstellt…) steckenbleibt, hängt das Problem möglicherweise mit der Netzwerkkonfiguration zusammen. Die Ursache des Problems und die entsprechende Lösung hängen von Ihrer Netzwerkeinrichtung ab.

In Ihrer Netzwerkkonfiguration fehlt die Route zu AWS-Services oder dem Internet

Um dieses Problem zu beheben, überprüfen Sie je nach gewähltem Routing-Typ, ob die Netzwerkkonfiguration die jeweiligen Voraussetzungen für die Umgebung erfüllt:

  • Öffentliches Routing: Stellen Sie sicher, dass Ihre Amazon-VPC-Infrastruktur über zwei öffentliche und zwei private Subnetze verfügt. Öffentliche Subnetze erhalten öffentliche IP-Adressen und haben die Standardroute zum Internet-Gateway. Private Subnetze erhalten nur private IP-Adressen und haben keine Route zum Internet-Gateway. Stattdessen haben sie eine Route zum NAT-Gateway. Weitere Informationen finden Sie unter Öffentliches Routing über das Internet. In der Regel sieht der Netzwerkfluss mit öffentlichem Routing ähnlich wie folgt aus:
    Privates Subnetz – Standardroute zum NAT-Gateway – mit dem öffentlichen Subnetz verknüpftes NAT-Gateway – öffentliches Subnetz – Standardroute zum Internet-Gateway – Internet
  • Privates Routing: Ihre Amazon VPC ohne Internetzugang benötigt zusätzliche VPC-Service-Endpunkte, um Apache Airflow auf MWAA nutzen zu können. Zu diesen Amazon-VPC-Endpunkten gehören Amazon S3, Überwachung, ecr.dkr, ecr.api, Protokolle, sqs, kms, airflow.api, airflow.env und airflow.ops. Weitere Informationen finden Sie unter Erstellen der erforderlichen VPC-Service-Endpunkte in einer Amazon VPC mit privatem Routing und Privates Routing ohne Internetzugang. Stellen Sie sicher, dass für die VPC-Endpunkte privates DNS aktiviert ist. Stellen Sie sicher, dass die Endpunkte mit den Subnetzen und der Sicherheitsgruppe der Umgebung verknüpft sind. Stellen Sie außerdem sicher, dass die VPC-Endpunktrichtlinie für jeden Endpunkt so konfiguriert ist, dass sie vollen Zugriff auf den Endpunkt ermöglicht.

Die Sicherheitsgruppe oder die Netzwerk-Zugriffssteuerungsliste (ACL) schränkt den Netzwerkverkehr ein

Um dieses Problem zu beheben, stellen Sie sicher, dass die Sicherheitsgruppe eine selbstreferenzierende eingehende Regel für sich selbst oder den Portbereich HTTPS 443 und TCP 5432 angibt. Die Sicherheitsgruppe muss eine ausgehende Regel für den gesamten Datenverkehr angeben. Die Netzwerk-ACL muss über eine eingehende oder ausgehende Regel verfügen, die den gesamten Datenverkehr zulässt. Ein Beispiel finden Sie unter Beispiel-ACLs.

Das Herunterladen des Container-Images von Amazon ECR ist fehlgeschlagen.

Wenn Sie eine Amazon VPC ohne Internetzugang verwenden, stellen Sie sicher, dass Sie einen Amazon-S3-Gateway-Endpunkt erstellt haben und Amazon ECR die erforderlichen Mindestberechtigungen für den Zugriff auf Amazon S3 in dieser Region erteilt haben.

Informationen zur Problembehandlung im Zusammenhang mit dem Amazon-VPC-Netzwerk mit öffentlichem/privatem Routing finden Sie unter Ich habe versucht, eine Umgebung zu erstellen, und sie bleibt im Status „Creating“ (Wird erstellt…) stecken.


War dieser Artikel hilfreich?


Benötigen Sie Hilfe zur Fakturierung oder technischen Support?