Воздушный поток оператора k8s xcom - статус рукопожатия 403 запрещено

Question

Воздушный поток оператора k8s xcom - статус рукопожатия 403 запрещено

Когда я запускаю образ докера, используя KubernetesPodOperator в Airflow версии 1.10

Как только модуль успешно завершает задачу, airflow пытается получить значение xcom, установив соединение с модулем через потоковый клиент k8s.

Вот ошибка, с которой я столкнулся:

[2018-12-18 05:29:02,209] {{models.py:1760}} ERROR - (0)
Reason: Handshake status 403 Forbidden
Traceback (most recent call last):
  File "/usr/local/lib/python3.6/site-packages/kubernetes/stream/ws_client.py", line 249, in websocket_call
    client = WSClient(configuration, get_websocket_url(url), headers)
  File "/usr/local/lib/python3.6/site-packages/kubernetes/stream/ws_client.py", line 72, in __init__
    self.sock.connect(url, header=header)
  File "/usr/local/lib/python3.6/site-packages/websocket/_core.py", line 223, in connect
    self.handshake_response = handshake(self.sock, *addrs, **options)
  File "/usr/local/lib/python3.6/site-packages/websocket/_handshake.py", line 79, in handshake
    status, resp = _get_resp_headers(sock)
  File "/usr/local/lib/python3.6/site-packages/websocket/_handshake.py", line 152, in _get_resp_headers
    raise WebSocketBadStatusException("Handshake status %d %s", status, status_message)
websocket._exceptions.WebSocketBadStatusException: Handshake status 403 Forbidden

Я использую сервисный аккаунт K8s для этого

Конфиги DAG

XCOM = истина,
get_logs = True,
in_cluster = верно

9

kubernetes airflow apache-airflow-xcom kubernetes-python-client

Источник

user10187244 18 дек '18 в 06:15

2 ответа

Другие вопросы по тегам kubernetes airflow apache-airflow-xcom kubernetes-python-client

user5214146 07 мар '19 в 02:26 2019-03-07 02:26 · Answer 1 · 2019-03-07 02:26

Таким образом, мы также решили эту проблему, нам пришлось изменить наши правила rbac, в частности, нам пришлось добавить ресурс "pods/exec" с глаголами "create" и "get"

---
kind: ClusterRole
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: airflow-runner
rules:
- apiGroups: [""]
  resources: ["deployments", "pods", "pods/log", "pods/exec", "persistentvolumeclaims"]
  verbs: ["*"]
- apiGroups: [""]
  resources: ["secrets"]
  resourceNames: ["singleuser-image-credentials"]
  verbs: ["read","list","watch","create","get"]

user15013994 18 окт '21 в 16:07 2021-10-18 16:07 · Answer 2 · 2021-10-18 16:07

В моем случае я запускаю модуль со сценарием python внутри кластера kubernetes с другими модулями, работающими внутри. Скрипт пытается выполнять действия над другими модулями, например list, getи командовать внутри стручков. С участием exec, следующие ClusterRole и ClusterRoleBinding работают.

ClusterRole

      kind: ClusterRole
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  name: pod-exec
rules:
- apiGroups: [""]
  resources: ["pods/exec"]
  verbs: ["*"]

ClusterRoleBinding

      apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: pod-exec
subjects:
- kind: ServiceAccount
  name: default
  namespace: couchdb
roleRef:
  kind: ClusterRole
  name: pod-exec
  apiGroup: rbac.authorization.k8s.io

Не забудьте изменить имя вашего ServiceAccount а также namespace.