¿Cómo soluciono los problemas de mi entorno de Amazon MWAA que está atascado en el estado “Creating” (En creación)?

Última actualización: 02/03/2022

He intentado crear un entorno de Amazon Managed Workflows for Apache Airflow (Amazon MWAA), pero está atascado en el estado “Creating” (En creación).

Resolución

Ejecute un script de solución de problemas para comprobar que se cumplen los requisitos previos para el entorno de Amazon MWAA, como los permisos de rol de AWS Identity and Access Management (IAM) y la configuración de Amazon Virtual Private Cloud (Amazon VPC) requeridos. Para obtener más información, consulte el script Verificar entorno en Herramientas de AWS Support en GitHub.

Si su entorno de Amazon MWAA está atascado en el estado “Creating” (En creación) durante un período más corto, el problema puede deberse a la falta de permisos de IAM para otros servicios de AWS, como los siguientes: Amazon Simple Storage Service (Amazon S3), Amazon CloudWatch, Amazon Simple Queue Service (Amazon SQS), Amazon Elastic Container Registry (Amazon ECR) y AWS Key Management Service (AWS KMS). Asegúrese de que el rol de ejecución y el rol vinculado al servicio tengan los permisos requeridos. Si usa una clave administrada por el cliente, asegúrese de actualizar también la política de la clave administrada por el cliente. Para ver los pasos de solución de problemas, consulte He intentado crear un entorno, pero muestra el estado como “Create failed” (Error al crear).

Si su entorno se queda atascado durante más de 30 minutos en el estado “Creating” (En creación), el problema puede estar relacionado con la configuración de redes. La causa principal del problema y la resolución adecuada dependen de la configuración de redes.

La configuración de su red carece de la ruta a los servicios de AWS o a Internet

Para resolver este problema, en función del tipo de enrutamiento que elija, verifique que la configuración de red cumpla con los requisitos previos respectivos para el entorno:

  • Enrutamiento público: asegúrese de que su infraestructura de Amazon VPC tenga dos subredes públicas y dos subredes privadas. Las subredes públicas obtienen direcciones IP públicas y tienen la ruta predeterminada a la puerta de enlace de Internet. Las subredes privadas solo obtienen direcciones IP privadas y no tienen una ruta a la puerta de enlace de Internet. En cambio, tienen una ruta a la puerta de enlace NAT. Para obtener más información, consulte Enrutamiento público a través de Internet. Por lo general, el flujo de red con enrutamiento público tiene un aspecto similar al siguiente:
    Subred privada - ruta predeterminada a la puerta de enlace NAT - puerta de enlace NAT asociada a la subred pública - subred pública - ruta predeterminada a la puerta de enlace de Internet - Internet
  • Enrutamiento privado: su Amazon VPC sin acceso a Internet necesita puntos de conexión de servicio de VPC adicionales para utilizar Apache Airflow en MWAA. Estos puntos de conexión de Amazon VPC incluyen Amazon S3, supervisión, ecr.dkr, ecr.api, registros, sqs, kms, airflow.api, airflow.env y airflow.ops. Para obtener más información, consulte Creación de los puntos de conexión de servicio de la VPC requeridos en Amazon VPC con enrutamiento privado y Enrutamiento privado sin acceso a Internet. Asegúrese de que los puntos de conexión de VPC tengan habilitado el DNS privado. Compruebe que los puntos de conexión estén asociados a las subredes y al grupo de seguridad del entorno. Además, asegúrese de que la política del punto de conexión de VPC para cada punto de conexión esté configurada para permitir el acceso completo al punto de conexión.

El grupo de seguridad o la lista de control de acceso (ACL) a la red restringen el tráfico de red

Para resolver este problema, verifique que el grupo de seguridad especifique una regla de entrada de autorreferencia para sí mismo o para el rango de puertos HTTPS 443 y TCP 5432. El grupo de seguridad debe especificar una regla de salida para todo el tráfico. La ACL de red debe tener una regla de entrada o salida que permita todo el tráfico. Para ver un ejemplo, consulte Ejemplos de ACL.

No se pudo descargar la imagen del contenedor de Amazon ECR

Si utiliza una Amazon VPC sin acceso a Internet, asegúrese de haber creado un punto de conexión de la puerta de enlace de Amazon S3 y de haber concedido los permisos mínimos requeridos a Amazon ECR para acceder a Amazon S3 en esa región.

Para solucionar problemas relacionados con la red de Amazon VPC con enrutamiento público o privado, consulte He intentado crear un entorno y se ha quedado atascado en el estado “Creating” (En creación).


¿Le ha resultado útil este artículo?


¿Necesita asistencia técnica o con la facturación?