如何針對我的 Amazon MWAA 環境卡在「建立中」狀態進行疑難排解?

上次更新日期︰2022 年 3 月 2 日

我嘗試建立 Amazon Managed Workflows for Apache Airflow (Amazon MWAA) 環境,但卡在「建立中」狀態。

解決方案

執行疑難排解程式碼,以驗證是否滿足 Amazon MWAA 環境的先決條件,例如,必要的 AWS Identity and Access Management (IAM) 角色許可和 Amazon Virtual Private Cloud (Amazon VPC) 設定。如需詳細資訊,請參閲 GitHub 上的 AWS Support 工具中的驗證環境指令碼。

如果您的 Amazon MWAA 環境卡在「建立中」狀態的持續時間較短,則問題可能是由於缺少其他 AWS 服務的 IAM 許可,例如:Amazon Simple Storage Service (Amazon S3)、Amazon CloudWatch、Amazon Simple Queue Service (Amazon SQS)、Amazon Elastic Container Registry (Amazon ECR) 和 AWS Key Management Service (AWS KMS)。請確認您的執行角色以及與服務連結的角色具有必要的許可。如果您使用客户受管金鑰,請務必也更新客户受管金鑰政策。如需了解疑難排解步驟,請參閲我嘗試建立環境,但狀態顯示為「建立失敗」

如果您的環境卡在「建立中」狀態 30 分鐘以上,則問題可能與聯網組態相關。問題的根本原因和適當的解決方案取決於您的聯網設定。

您的網路組態缺少連線 AWS 服務或網際網路的路由

若要解決此問題,請根據您選擇的路由類型,驗證網路組態是否滿足環境的相應先決條件:

  • 公有路由:確認您的 Amazon VPC 基礎設施具有兩個公有子網路和兩個私有子網路。公有子網路取得公有 IP 地址,並具有連線網際網路閘道的預設路由。私有子網路僅取得私有 IP 地址,沒有連線網際網路閘道的路由。而是具有連線 NAT 閘道的路由。如需詳細信息,請參閲網際網路的公有路由。通常,公有路由的網路流看起來與下方類似:
    私有子網路 – NAT 閘道的預設路由 – 與公有子網路關聯的 NAT 閘道 – 公有子網路 – 網際網路閘道的預設路由 – 網際網路
  • 私有路由:無網際網路連線的 Amazon VPC 需要額外的 VPC 服務端點,才能使用 Apache Airflow on MWAA。這些 Amazon VPC 端點包括 Simple Storage Service (Amazon S3)、monitoring、ecr.dkr、ecr.api、logs、sqs、kms、airflow.api、airflow.env 和 airflow.ops。如需詳細資訊,請參閲使用私有路由在 Amazon VPC 中建立所需的 VPC 服務端點未接入網際網路的私有路由。請確認 VPC 端點已啟用私有 DNS。驗證端點是否與環境的子網路和安全群組關聯。此外,請確認將每個端點的 VPC 端點政策設定為允許對端點的完整存取。

安全群組或網路存取控制清單 (ACL) 限制網路流量

若要解決此問題,請驗證安全群組是否對自身或連接埠範圍 HTTPS 443 和 TCP 5432 指定了自引用入站規則。安全群組必須對所有流量指定出站規則。網路 ACL 必須具有允許所有流量的入站或出站規則。如需範例,請參閲範例 ACL

從 Amazon ECR 下載容器圖片失敗

如果您使用未接入網際網路的 Amazon VPC,則請確保您建立了 Amazon S3 閘道端點,並授予 Amazon ECR 存取該區域中 Simple Storage Service (Amazon S3) 所需的最低許可

如需了解如何針對具有公有/私有路由的 Amazon VPC 網路相關問題進行疑難排解,請參閲我嘗試建立環境,但該環境卡在「建立中」狀態


此文章是否有幫助?


您是否需要帳單或技術支援?