如何对卡住“正在创建”状态的 Amazon MWAA 环境进行问题排查？

解决方法

运行故障排除脚本以验证是否满足 Amazon MWAA 环境的先决条件，例如所需的 AWS Identity and Access Management (IAM) 角色权限和 Amazon Virtual Private Cloud (Amazon VPC) 设置。有关更多信息，请参阅 GitHub 上的 AWS Support 工具中的验证环境脚本。

如果您的 Amazon MWAA 环境卡在“正在创建”状态的时间较短，则问题可能是由于缺少其他 AWS 服务的 IAM 权限，例如 Amazon Simple Storage Service (Amazon S3)、Amazon CloudWatch、Amazon Simple Queue Service (Amazon SQS) 以及 Amazon Elastic Container Registry (Amazon ECR) 和 AWS Key Management Service (AWS KMS) 等服务。请确保您的执行角色和服务相关角色具有所需的权限。如果您使用的是客户托管密钥，请务必同时更新客户托管密钥策略。有关故障排除步骤，请参阅我尝试创建环境，但其状态显示为“创建失败”。

如果您的环境卡在“正在创建”状态超过 30 分钟，则问题可能与联网配置有关。问题的根本原因和适当的解决方法取决于您的联网设置。

您的网络配置缺少通往 AWS 服务或互联网的路由

要解决此问题，请根据您选择的路由类型，验证网络配置是否满足环境的相应先决条件：

• **公有路由：**确保您的 Amazon VPC 基础设施有两个公有子网和两个私有子网。公有子网获取公有 IP 地址，并具有通往互联网网关的默认路由。私有子网只能获得私有 IP 地址，没有通往互联网网关的路由。相反，他们有一条通往 NAT 网关的路由。有关更多信息，请参阅互联网上的公有路由。通常，使用公有路由的网络流类似于以下内容：
  私有子网 - 到 NAT 网关的默认路由 - 与公有子网关联的 NAT 网关 - 公有子网 - 到互联网网关的默认路由 - 互联网
• **私有路由：**无法访问互联网的 Amazon VPC 需要额外的 VPC 服务终端节点才能在 MWAA 上使用 Apache Airflow。这些 Amazon VPC 终端节点包括 Amazon S3、监控、ecr.dkr、ecr.api、logs、sqs、kms、airflow.api、airflow.env 和 airflow.ops。有关更多信息，请参阅使用私有路由和无互联网访问权限的私有路由在 Amazon VPC 中创建所需的 VPC 服务终端节点。确保 VPC 终端节点已启用私有 DNS。验证终端节点是否与环境的子网和安全组关联。此外，请确保每个终端节点的 VPC 终端节点策略都配置为允许对终端节点进行完全访问。

安全组或网络访问控制列表 (ACL) 限制网络流量

要解决此问题，请验证安全组是否为其自身或端口范围 HTTPS 443 和 TCP 5432 指定了自引用入站规则。安全组必须为所有流量指定出站规则。网络 ACL 必须具有允许所有流量的入站或出站规则。有关示例，请参阅示例 ACL。

从 Amazon ECR 下载容器映像失败

如果您使用的是没有互联网访问权限的 Amazon VPC，请确保您创建了 Amazon S3 网关终端节点，并向 Amazon ECR 授予了访问该区域中的 Amazon S3 所需的最低权限。

有关如何排查使用公有/私有路由的 Amazon VPC 网络的相关问题，请参阅我尝试创建环境，但该环境卡在“正在创建”状态。

---

相关信息

关于 Amazon MWAA 上的联网