Cloud Composer 1 è in modalità post-manutenzione. Google non rilascia ulteriori aggiornamenti a Cloud Composer 1, incluse nuove versioni di Airflow, correzioni di bug e aggiornamenti della sicurezza. Ti consigliamo di pianificare la migrazione a Cloud Composer 2.

Questa pagina è stata tradotta dall'API Cloud Translation.

Accedere all'API REST Airflow

Cloud Composer 1 | Cloud Composer 2 | Cloud Composer 3

Apache Airflow ha un'interfaccia API REST che puoi utilizzare per eseguire attività come come ottenere informazioni sulle esecuzioni e attività dei DAG, aggiornare i DAG, ottenere Configurazione di Airflow, aggiunta ed eliminazione di connessioni ed elenco di utenti.

Per un esempio di utilizzo dell'API REST Airflow con le funzioni Cloud Run, vedi Attivazione dei DAG con Cloud Functions.

Versioni API REST Airflow

In Cloud Composer 1 sono disponibili le seguenti versioni dell'API REST Airflow:

Utilizzo di Airflow 1 l'API REST sperimentale.

Airflow 2 utilizza l'API REST stabile. L'API REST sperimentale è deprecata da Airflow.
Puoi comunque utilizzare l'API REST sperimentale in Airflow 2 se la abiliti attraverso un override della configurazione Airflow, come descritto ulteriormente.

Prima di iniziare

Enable the Cloud Composer API.

Enable the API

Abilita l'API REST Airflow stabile

Airflow 2

L'API REST stabile è già abilitata per impostazione predefinita in Airflow 2.

Cloud Composer utilizza il proprio Backend di autenticazione API, integrato con Identity-Aware Proxy.

L'autorizzazione funziona nel modo standard fornito da Airflow. Quando un nuovo utente si autorizza tramite l'API, il suo account ottiene il ruolo Op per impostazione predefinita.

Puoi abilitare o disabilitare l'API REST stabile oppure cambiare l'utente predefinito mediante l'override della seguente configurazione di Airflow opzioni:

Sezione	Chiave	Valore	Note
`api`	(Airflow 2.2.5 e versioni precedenti) `auth_backend` (Airflow 2.3.0 e versioni successive) `auth_backends`	`airflow.composer.api.backend.composer_auth`	Per disattivare l'API REST stabile, passa a `airflow.api.auth.backend.deny_all`
`api`	`composer_auth_user_registration_role`	`Op`	Puoi specificare qualsiasi altro ruolo.

Flusso d'aria 1

L'API REST stabile non è disponibile in Airflow 1. In alternativa, puoi utilizzare l'API REST sperimentale.

Abilita l'API REST Airflow sperimentale

Flusso d'aria 2

Per impostazione predefinita, la funzionalità di autenticazione dell'API è disattivata nella tramite Google Cloud CLI o tramite l'API Compute Engine. Il server web di Airflow nega tutte le richieste che effettui.

Per attivare la funzionalità di autenticazione API e l'API sperimentale Airflow 2, sostituisci la seguente opzione di configurazione di Airflow:

Sezione	Chiave	Valore	Note
`api`	(Airflow 2.2.5 e versioni precedenti) `auth_backend` (Airflow 2.3.0 e versioni successive) `auth_backends`	`airflow.api.auth.backend.default`	Il valore predefinito è `airflow.composer.api.backend.composer_auth`.
`api`	`enable_experimental_api`	`True`	Il valore predefinito è `False`.

Airflow 1

Per impostazione predefinita, la funzionalità di autenticazione API è disabilitata in Airflow 1.10.11 e versioni successive. Il server web di Airflow rifiuta tutte le richieste che effettui. Utilizzi le richieste per attivare i DAG, quindi abilita questa funzionalità.

Per abilitare la funzionalità di autenticazione API in Airflow 1, Esegui l'override della seguente opzione di configurazione di Airflow:

Sezione	Chiave	Valore	Note
`api`	`auth_backend`	`airflow.api.auth.backend.default`	Il valore predefinito è `airflow.api.auth.backend.deny_all`

Dopo aver impostato questa opzione di configurazione su airflow.api.auth.backend.default, il server web Airflow accetta tutte le richieste API senza autenticazione. Anche se il server web Airflow non richiede l'autenticazione, è comunque protetto da Identity-Aware Proxy che fornisce il proprio livello di autenticazione.

Consenti le chiamate API all'API REST di Airflow utilizzando il controllo dell'accesso al server web

A seconda del metodo utilizzato per chiamare l'API REST Airflow, il metodo del chiamante può essere utilizzato un indirizzo IPv4 o IPv6. Ricorda di sbloccare Traffico IP verso l'API REST Airflow utilizzando il controllo dell'accesso Webserver.

Utilizza l'opzione di configurazione predefinita All IP addresses have access (default). se non sai da quali indirizzi IP indirizzi le chiamate all'API REST di Airflow verrà inviato.

Effettuare chiamate all'API REST Airflow

Ottieni il client_id del proxy IAM

Per effettuare una richiesta all'endpoint API REST di Airflow, la funzione richiede l'ID client del proxy IAM che protegge il server web di Airflow.

Cloud Composer non fornisce queste informazioni direttamente. Al contrario, invia una richiesta non autenticata al server web Airflow e acquisisci l'ID cliente dall'URL di reindirizzamento:

cURL

curl -v AIRFLOW_URL 2>&1 >/dev/null | grep -o "client_id\=[A-Za-z0-9-]*\.apps\.googleusercontent\.com"

Sostituisci AIRFLOW_URL con l'URL dell'interfaccia web di Airflow.

Nell'output, cerca la stringa successiva a client_id. Ad esempio:

client_id=836436932391-16q2c5f5dcsfnel77va9bvf4j280t35c.apps.googleusercontent.com

Python

Salva il seguente codice in un file denominato get_client_id.py. Inserisci valori per project_id, location e composer_environment, poi esegui il codice in Cloud Shell o nell'ambiente locale.

# This script is intended to be used with Composer 1 environments
# In Composer 2, the Airflow Webserver is not in the tenant project
# so there is no tenant client ID
# See https://cloud.google.com/composer/docs/composer-2/environment-architecture
# for more details
import google.auth
import google.auth.transport.requests
import requests
import six.moves.urllib.parse

# Authenticate with Google Cloud.
# See: https://cloud.google.com/docs/authentication/getting-started
credentials, _ = google.auth.default(
    scopes=["https://www.googleapis.com/auth/cloud-platform"]
)
authed_session = google.auth.transport.requests.AuthorizedSession(credentials)

# project_id = 'YOUR_PROJECT_ID'
# location = 'us-central1'
# composer_environment = 'YOUR_COMPOSER_ENVIRONMENT_NAME'

environment_url = (
    "https://composer.googleapis.com/v1beta1/projects/{}/locations/{}"
    "/environments/{}"
).format(project_id, location, composer_environment)
composer_response = authed_session.request("GET", environment_url)
environment_data = composer_response.json()
composer_version = environment_data["config"]["softwareConfig"]["imageVersion"]
if "composer-1" not in composer_version:
    version_error = (
        "This script is intended to be used with Composer 1 environments. "
        "In Composer 2, the Airflow Webserver is not in the tenant project, "
        "so there is no tenant client ID. "
        "See https://cloud.google.com/composer/docs/composer-2/environment-architecture for more details."
    )
    raise (RuntimeError(version_error))
airflow_uri = environment_data["config"]["airflowUri"]

# The Composer environment response does not include the IAP client ID.
# Make a second, unauthenticated HTTP request to the web server to get the
# redirect URI.
redirect_response = requests.get(airflow_uri, allow_redirects=False)
redirect_location = redirect_response.headers["location"]

# Extract the client_id query parameter from the redirect.
parsed = six.moves.urllib.parse.urlparse(redirect_location)
query_string = six.moves.urllib.parse.parse_qs(parsed.query)
print(query_string["client_id"][0])

Chiama l'API REST Airflow utilizzando client_id

Effettua le seguenti sostituzioni:

Sostituisci il valore della variabile client_id con il valore client_id ottenuto nel passaggio precedente.
Sostituisci il valore della variabile webserver_id con il tuo progetto tenant che fa parte dell'URL dell'interfaccia web di Airflow prima .appspot.com. Hai ottenuto l'URL dell'interfaccia web di Airflow su una passaggio precedente.
Specifica la versione dell'API REST Airflow che utilizzi:
- Se utilizzi l'API REST Airflow stabile, imposta USE_EXPERIMENTAL_API su False.
- Se utilizzi l'API REST Airflow sperimentale, non sono necessarie modifiche. La La variabile USE_EXPERIMENTAL_API è già impostata su True.


from google.auth.transport.requests import Request
from google.oauth2 import id_token
import requests


IAM_SCOPE = "https://www.googleapis.com/auth/iam"
OAUTH_TOKEN_URI = "https://www.googleapis.com/oauth2/v4/token"
# If you are using the stable API, set this value to False
# For more info about Airflow APIs see https://cloud.google.com/composer/docs/access-airflow-api
USE_EXPERIMENTAL_API = True


def trigger_dag(data, context=None):
    """Makes a POST request to the Composer DAG Trigger API

    When called via Google Cloud Functions (GCF),
    data and context are Background function parameters.

    For more info, refer to
    https://cloud.google.com/functions/docs/writing/background#functions_background_parameters-python

    To call this function from a Python script, omit the ``context`` argument
    and pass in a non-null value for the ``data`` argument.

    This function is currently only compatible with Composer v1 environments.
    """

    # Fill in with your Composer info here
    # Navigate to your webserver's login page and get this from the URL
    # Or use the script found at
    # https://github.com/GoogleCloudPlatform/python-docs-samples/blob/main/composer/rest/get_client_id.py
    client_id = "YOUR-CLIENT-ID"
    # This should be part of your webserver's URL:
    # {tenant-project-id}.appspot.com
    webserver_id = "YOUR-TENANT-PROJECT"
    # The name of the DAG you wish to trigger
    dag_name = "composer_sample_trigger_response_dag"

    if USE_EXPERIMENTAL_API:
        endpoint = f"api/experimental/dags/{dag_name}/dag_runs"
        json_data = {"conf": data, "replace_microseconds": "false"}
    else:
        endpoint = f"api/v1/dags/{dag_name}/dagRuns"
        json_data = {"conf": data}
    webserver_url = "https://" + webserver_id + ".appspot.com/" + endpoint
    # Make a POST request to IAP which then Triggers the DAG
    make_iap_request(webserver_url, client_id, method="POST", json=json_data)


# This code is copied from
# https://github.com/GoogleCloudPlatform/python-docs-samples/blob/main/iap/make_iap_request.py
# START COPIED IAP CODE
def make_iap_request(url, client_id, method="GET", **kwargs):
    """Makes a request to an application protected by Identity-Aware Proxy.
    Args:
      url: The Identity-Aware Proxy-protected URL to fetch.
      client_id: The client ID used by Identity-Aware Proxy.
      method: The request method to use
              ('GET', 'OPTIONS', 'HEAD', 'POST', 'PUT', 'PATCH', 'DELETE')
      **kwargs: Any of the parameters defined for the request function:
                https://github.com/requests/requests/blob/master/requests/api.py
                If no timeout is provided, it is set to 90 by default.
    Returns:
      The page body, or raises an exception if the page couldn't be retrieved.
    """
    # Set the default timeout, if missing
    if "timeout" not in kwargs:
        kwargs["timeout"] = 90

    # Obtain an OpenID Connect (OIDC) token from metadata server or using service
    # account.
    google_open_id_connect_token = id_token.fetch_id_token(Request(), client_id)

    # Fetch the Identity-Aware Proxy-protected URL, including an
    # Authorization header containing "Bearer " followed by a
    # Google-issued OpenID Connect token for the service account.
    resp = requests.request(
        method,
        url,
        headers={"Authorization": "Bearer {}".format(google_open_id_connect_token)},
        **kwargs,
    )
    if resp.status_code == 403:
        raise Exception(
            "Service account does not have permission to "
            "access the IAP-protected application."
        )
    elif resp.status_code != 200:
        raise Exception(
            "Bad response from application: {!r} / {!r} / {!r}".format(
                resp.status_code, resp.headers, resp.text
            )
        )
    else:
        return resp.text


# END COPIED IAP CODE

Accedi all'API REST Airflow utilizzando un account di servizio

Il database Airflow limita la lunghezza del campo email a 64 caratteri. A volte gli account di servizio hanno indirizzi email più lunghi di 64 caratteri. Non è possibile creare utenti Airflow per questo servizio come di consueto. Se non esiste un utente Airflow per un servizio di questo tipo l'accesso all'API REST Airflow comporta gli errori HTTP 401 e 403.

Come soluzione alternativa, puoi preregistrare un utente Airflow per un account di servizio. Per farlo, utilizza accounts.google.com:NUMERIC_USER_ID come nome utente e qualsiasi stringa univoca come indirizzo email.

Per ottenere NUMERIC_USER_ID per un account di servizio, esegui:
```
gcloud iam service-accounts describe \
  SA_NAME@PROJECT_ID.iam.gserviceaccount.com \
  --format="value(oauth2ClientId)"
```
Sostituisci:
- SA_NAME con il nome dell'account di servizio.
- PROJECT_ID con il ID progetto.
Crea un utente Airflow con il ruolo Op per l'account di servizio:
Interfaccia utente di Airflow
1. Vai alla UI di Airflow.
2. Vai ad Amministrazione > Utenti e fai clic su Crea. Il tuo L'utente Airflow deve avere il ruolo Admin per aprire questa pagina.
3. Specifica accounts.google.com:NUMERIC_USER_ID come nome dell'utente. Sostituisci NUMERIC_USER_ID con l'ID utente ottenuto nel passaggio precedente.
4. Specifica un identificatore univoco come email. Puoi utilizzare qualsiasi stringa univoca.
5. Specifica il ruolo dell'utente. Ad esempio, Op.
6. Assicurati che la casella di controllo È attivo? sia selezionata.
7. Specifica il nome e il cognome dell'utente. Puoi utilizzare qualsiasi stringa.
8. Fai clic su Salva.
gcloud

Nota: negli ambienti Cloud Composer con Airflow 1, non possono eseguire i comandi dell'interfaccia a riga di comando di Airflow che creano utenti tramite gcloud. Puoi usare l'interfaccia utente di Airflow.

In Airflow 2, esegui il seguente comando dell'interfaccia a riga di comando di Airflow:
```
gcloud composer environments run ENVIRONMENT_NAME \
    --location LOCATION \
    users create -- \
    -u accounts.google.com:NUMERIC_USER_ID \
    -e UNIQUE_ID  \
    -f UNIQUE_ID \
    -l - -r Op --use-random-password
```
Sostituisci:
- ENVIRONMENT_NAME con il nome dell'ambiente.
- LOCATION con la regione in cui si trova l'ambiente.
- NUMERIC_USER_ID con l'ID utente ottenuto nel passaggio precedente.
- UNIQUE_ID con l'identificatore dell'utente Airflow. Puoi utilizzare qualsiasi stringa univoca.
Dopo aver creato un utente Airflow per un account di servizio, un chiamante l'account di servizio è riconosciuto come utente preregistrato, e ha eseguito l'accesso ad Airflow.

Scalabilità del componente API REST Airflow

L'API REST di Airflow e gli endpoint UI di Airflow vengono eseguiti all'interno del componente, ad es. Airflow Webserver. Se utilizzi l'API REST in modo intensivo, considera aumentando i parametri di CPU e memoria per regolare le risorse Airflow Webserver rispetto al carico previsto.