使用 Cloud Run 函式和 Airflow REST API 觸發 Cloud Composer DAG

Cloud Composer 3 | Cloud Composer 2 | Cloud Composer 1

本頁面說明如何使用 Cloud Run 函式,根據事件觸發 Cloud Composer DAG。

Apache Airflow 的設計是定期執行 DAG,但您也可以在發生事件時觸發 DAG。其中一種做法是在發生指定事件時,使用 Cloud Run 函式觸發 Cloud Composer DAG。

本指南中的範例程式會在 Cloud Storage 值區每次有所異動時執行 DAG。值區中任何物件的變更都會觸發函式。這個函式會向 Cloud Composer 環境的 Airflow REST API 提出要求。Airflow 會處理這項要求並執行 DAG。DAG 會輸出變更相關資訊。

事前準備

檢查環境的網路設定

這個解決方案不適用於私人 IP 和 VPC Service Controls 設定,因為在這些設定中,無法設定 Cloud Run 函式與 Airflow 網路伺服器的連線。

在 Cloud Composer 2 中,您可以使用其他方法:使用 Cloud Run 函式和 Pub/Sub 訊息觸發 DAG

為專案啟用 API

主控台

Enable the Cloud Composer and Cloud Run functions APIs.

Enable the APIs

gcloud

Enable the Cloud Composer and Cloud Run functions APIs: 

gcloud services enable cloudfunctions.googleapis.com composer.googleapis.com

啟用 Airflow REST API

視 Airflow 版本而定:

使用網路伺服器存取權控管功能,允許對 Airflow REST API 的 API 呼叫

Cloud Run 函式可以使用 IPv4 或 IPv6 位址與 Airflow REST API 聯繫。

如果您不確定呼叫 IP 範圍為何,請在 Webserver Access Control 中使用預設設定選項,All IP addresses have access (default)以免誤封鎖 Cloud Run 函式。

建立 Cloud Storage 值區

這個範例會根據 Cloud Storage 值區的變更觸發 DAG。建立新的值區,以便在本例中使用。

取得 Airflow 網路伺服器網址

這個範例會向 Airflow 網路伺服器端點提出 REST API 要求。您會在 Cloud Function 程式碼中使用 Airflow 網頁介面網址的 .appspot.com 前半段。

主控台

  1. 前往 Google Cloud 控制台的「Environments」頁面。

    前往「環境」

  2. 按一下環境名稱。

  3. 在「Environment details」頁面中,前往「Environment configuration」分頁。

  4. Airflow 網路伺服器的網址會列在「Airflow web UI」項目中。

gcloud

執行下列指令:

gcloud composer environments describe ENVIRONMENT_NAME \
    --location LOCATION \
    --format='value(config.airflowUri)'

取代:

  • ENVIRONMENT_NAME 替換為環境的名稱。
  • LOCATION 改成環境所在的地區。

取得 IAM Proxy 的 client_id

如要向 Airflow REST API 端點提出要求,函式需要保護 Airflow 網路伺服器的 Identity and Access Management Proxy 用戶端 ID。

Cloud Composer 不會直接提供這項資訊,而會向 Airflow 網路伺服器發出未經授權的要求,並從重新導向網址中擷取用戶端 ID:

cURL 

curl -v AIRFLOW_URL 2>&1 >/dev/null | grep -o "client_id\=[A-Za-z0-9-]*\.apps\.googleusercontent\.com"

AIRFLOW_URL 替換為 Airflow 網頁介面的網址。

在輸出內容中,搜尋 client_id 後面的字串。例如:

client_id=836436932391-16q2c5f5dcsfnel77va9bvf4j280t35c.apps.googleusercontent.com

Python

將下列程式碼儲存至名為 get_client_id.py 的檔案中。填入 project_idlocationcomposer_environment 的值,然後在 Cloud Shell 或本機環境中執行程式碼。 

# This script is intended to be used with Composer 1 environments
# In Composer 2, the Airflow Webserver is not in the tenant project
# so there is no tenant client ID
# See https://cloud.google.com/composer/docs/composer-2/environment-architecture
# for more details
import google.auth
import google.auth.transport.requests
import requests
import six.moves.urllib.parse

# Authenticate with Google Cloud.
# See: https://cloud.google.com/docs/authentication/getting-started
credentials, _ = google.auth.default(
    scopes=["https://www.googleapis.com/auth/cloud-platform"]
)
authed_session = google.auth.transport.requests.AuthorizedSession(credentials)

# project_id = 'YOUR_PROJECT_ID'
# location = 'us-central1'
# composer_environment = 'YOUR_COMPOSER_ENVIRONMENT_NAME'

environment_url = (
    "https://composer.googleapis.com/v1beta1/projects/{}/locations/{}"
    "/environments/{}"
).format(project_id, location, composer_environment)
composer_response = authed_session.request("GET", environment_url)
environment_data = composer_response.json()
composer_version = environment_data["config"]["softwareConfig"]["imageVersion"]
if "composer-1" not in composer_version:
    version_error = (
        "This script is intended to be used with Composer 1 environments. "
        "In Composer 2, the Airflow Webserver is not in the tenant project, "
        "so there is no tenant client ID. "
        "See https://cloud.google.com/composer/docs/composer-2/environment-architecture for more details."
    )
    raise (RuntimeError(version_error))
airflow_uri = environment_data["config"]["airflowUri"]

# The Composer environment response does not include the IAP client ID.
# Make a second, unauthenticated HTTP request to the web server to get the
# redirect URI.
redirect_response = requests.get(airflow_uri, allow_redirects=False)
redirect_location = redirect_response.headers["location"]

# Extract the client_id query parameter from the redirect.
parsed = six.moves.urllib.parse.urlparse(redirect_location)
query_string = six.moves.urllib.parse.parse_qs(parsed.query)
print(query_string["client_id"][0])

將 DAG 上傳至環境

將 DAG 上傳至環境。以下是 DAG 範例,會輸出收到的 DAG 執行設定。您會從稍後在本指南中建立的函式觸發這個 DAG。

import datetime

import airflow
from airflow.operators.bash import BashOperator


with airflow.DAG(
    "composer_sample_trigger_response_dag",
    start_date=datetime.datetime(2021, 1, 1),
    # Not scheduled, trigger only
    schedule_interval=None,
) as dag:
    # Print the dag_run's configuration, which includes information about the
    # Cloud Storage object change.
    print_gcs_info = BashOperator(
        task_id="print_gcs_info", bash_command="echo {{ dag_run.conf }}"
    )

部署會觸發 DAG 的 Cloud 函式

您可以使用 Cloud Run 函式或 Cloud Run 支援的偏好語言部署 Cloud Function。本教學課程將示範以 PythonJava 實作的 Cloud 函式。

指定 Cloud 函式的設定參數

  • 觸發條件。在本例中,請選取在值區中建立新物件或覆寫現有物件時觸發的事件。

    • 觸發條件類型:都能透過多種方式 將資料傳入 Cloud Storage

    • 事件類型完成 / 建立

    • 值區。選取必須觸發此函式的資料集。

    • 在失敗時重試。為了方便說明,建議您停用這個選項。如果您在實際工作環境中使用自己的函式,請啟用這個選項,以處理暫時性錯誤

  • 在「執行階段、建構作業、連線和安全性設定」專區中,選擇「執行階段服務帳戶」請根據您的偏好使用下列其中一種方法:

    • 選取「Compute Engine 預設服務帳戶」。這個帳戶可透過預設的 IAM 權限,執行可存取 Cloud Composer 環境的函式。

    • 建立具有 Composer 使用者 角色的自訂服務帳戶,並將其指定為此函式執行階段服務帳戶。這個選項遵循最低權限原則。

  • 在「Code」步驟中,點選「Runtime and entry point」,新增此範例的程式碼時,請選取 Python 3.7 以上版本的執行階段,並指定 trigger_dag 做為進入點。

新增規定

requirements.txt 檔案中指定依附元件:

requests-toolbelt==1.0.0
google-auth==2.38.0
google-cloud-pubsub==2.28.0

將下列程式碼放入 main.py 檔案,並進行以下替換:

  • client_id 變數的值替換為先前取得的 client_id 值。

  • webserver_id 變數的值替換為租用戶專案 ID,這是 Airflow 網路介面網址中 .appspot.com 之前的部分。您先前已取得 Airflow 網頁介面網址。

  • 指定您使用的 Airflow REST API 版本:

    • 如果您使用穩定版 Airflow REST API,請將 USE_EXPERIMENTAL_API 變數設為 False
    • 如果您使用 Airflow 實驗版 REST API,則無須進行任何變更。USE_EXPERIMENTAL_API 變數已設為 True


from google.auth.transport.requests import Request
from google.oauth2 import id_token
import requests


IAM_SCOPE = "https://www.googleapis.com/auth/iam"
OAUTH_TOKEN_URI = "https://www.googleapis.com/oauth2/v4/token"
# If you are using the stable API, set this value to False
# For more info about Airflow APIs see https://cloud.google.com/composer/docs/access-airflow-api
USE_EXPERIMENTAL_API = True


def trigger_dag(data, context=None):
    """Makes a POST request to the Composer DAG Trigger API

    When called via Google Cloud Functions (GCF),
    data and context are Background function parameters.

    For more info, refer to
    https://cloud.google.com/functions/docs/writing/background#functions_background_parameters-python

    To call this function from a Python script, omit the ``context`` argument
    and pass in a non-null value for the ``data`` argument.

    This function is currently only compatible with Composer v1 environments.
    """

    # Fill in with your Composer info here
    # Navigate to your webserver's login page and get this from the URL
    # Or use the script found at
    # https://github.com/GoogleCloudPlatform/python-docs-samples/blob/main/composer/rest/get_client_id.py
    client_id = "YOUR-CLIENT-ID"
    # This should be part of your webserver's URL:
    # {tenant-project-id}.appspot.com
    webserver_id = "YOUR-TENANT-PROJECT"
    # The name of the DAG you wish to trigger
    dag_name = "composer_sample_trigger_response_dag"

    if USE_EXPERIMENTAL_API:
        endpoint = f"api/experimental/dags/{dag_name}/dag_runs"
        json_data = {"conf": data, "replace_microseconds": "false"}
    else:
        endpoint = f"api/v1/dags/{dag_name}/dagRuns"
        json_data = {"conf": data}
    webserver_url = "https://" + webserver_id + ".appspot.com/" + endpoint
    # Make a POST request to IAP which then Triggers the DAG
    make_iap_request(webserver_url, client_id, method="POST", json=json_data)


# This code is copied from
# https://github.com/GoogleCloudPlatform/python-docs-samples/blob/main/iap/make_iap_request.py
# START COPIED IAP CODE
def make_iap_request(url, client_id, method="GET", **kwargs):
    """Makes a request to an application protected by Identity-Aware Proxy.
    Args:
      url: The Identity-Aware Proxy-protected URL to fetch.
      client_id: The client ID used by Identity-Aware Proxy.
      method: The request method to use
              ('GET', 'OPTIONS', 'HEAD', 'POST', 'PUT', 'PATCH', 'DELETE')
      **kwargs: Any of the parameters defined for the request function:
                https://github.com/requests/requests/blob/master/requests/api.py
                If no timeout is provided, it is set to 90 by default.
    Returns:
      The page body, or raises an exception if the page couldn't be retrieved.
    """
    # Set the default timeout, if missing
    if "timeout" not in kwargs:
        kwargs["timeout"] = 90

    # Obtain an OpenID Connect (OIDC) token from metadata server or using service
    # account.
    google_open_id_connect_token = id_token.fetch_id_token(Request(), client_id)

    # Fetch the Identity-Aware Proxy-protected URL, including an
    # Authorization header containing "Bearer " followed by a
    # Google-issued OpenID Connect token for the service account.
    resp = requests.request(
        method,
        url,
        headers={"Authorization": "Bearer {}".format(google_open_id_connect_token)},
        **kwargs,
    )
    if resp.status_code == 403:
        raise Exception(
            "Service account does not have permission to "
            "access the IAP-protected application."
        )
    elif resp.status_code != 200:
        raise Exception(
            "Bad response from application: {!r} / {!r} / {!r}".format(
                resp.status_code, resp.headers, resp.text
            )
        )
    else:
        return resp.text


# END COPIED IAP CODE

測試函式

如要檢查函式和 DAG 是否正常運作,請按照下列步驟操作:

  1. 等待函式部署完成。
  2. 請上傳一個檔案至 Cloud Storage 值區。或者,您也可以在 Google Cloud 主控台中選取「Test the function」動作,手動觸發函式。
  3. 查看 Airflow 網頁介面中的 DAG 頁面。DAG 應有一個正在執行或已完成的 DAG。
  4. 在 Airflow UI 中查看這次執行作業的工作記錄。您應該會看到 print_gcs_info 工作會將從函式收到的資料輸出至記錄檔:
[2021-04-04 18:25:44,778] {bash_operator.py:154} INFO - Output:
[2021-04-04 18:25:44,781] {bash_operator.py:158} INFO - Triggered from GCF:
    {bucket: example-storage-for-gcf-triggers, contentType: text/plain,
    crc32c: dldNmg==, etag: COW+26Sb5e8CEAE=, generation: 1617560727904101,
    ... }
[2021-04-04 18:25:44,781] {bash_operator.py:162} INFO - Command exited with
    return code 0h

後續步驟