Cloud Composer 1 | Cloud Composer 2
Apache Airflow dispose d'une interface d'API REST qui vous permet d'effectuer des tâches telles que l'obtention d'informations sur les exécutions et les tâches DAG, la mise à jour des DAG, l'obtention de la configuration Airflow, l'ajout et la suppression de connexions et la création de listes d'utilisateurs.
Pour obtenir un exemple d'utilisation de l'API REST Airflow avec Cloud Functions, consultez la page Déclencher des DAG avec Cloud Functions.
Versions de l'API REST Airflow
Les versions suivantes de l'API REST Airflow sont disponibles dans Cloud Composer 1 :
- Airflow 1 utilise l'API REST expérimentale.
Airflow 2 utilise l'API REST stable. L'API REST expérimentale est obsolète dans Airflow.
Vous pouvez toujours utiliser l'API REST expérimentale dans Airflow 2 si vous l'activez via un remplacement de configuration Airflow, comme décrit plus loin.
Avant de commencer
Enable the Cloud Composer API.
Activer la version stable de l'API REST Airflow
Airflow 2
L'API REST stable est déjà activée par défaut dans Airflow 2.
Cloud Composer utilise son propre backend d'authentification d'API, intégré à Identity-Aware Proxy.L'autorisation fonctionne de la manière standard fournie par Airflow. Lorsqu'un nouvel utilisateur accorde des autorisations via l'API, le compte de l'utilisateur obtient le rôle Op
par défaut.
Vous pouvez activer ou désactiver l'API REST stable, ou modifier le rôle utilisateur par défaut en remplaçant les options de configuration Airflow suivantes :
Section | Clé | Valeur | Notes |
---|---|---|---|
api
|
(Airflow 2.2.5 et versions antérieures) auth_backend (Airflow 2.3.0 et versions ultérieures) auth_backends
|
airflow.composer.api.backend.composer_auth
|
Pour désactiver l'API REST stable, passez à airflow.api.auth.backend.deny_all . |
api
|
composer_auth_user_registration_role
|
Op
|
Vous pouvez spécifier n'importe quel autre rôle. |
Airflow 1
L'API REST stable n'est pas disponible dans Airflow 1. Vous pouvez utiliser l'API REST expérimentale à la place.
Activer l'API REST Airflow expérimentale
Airflow 2
Par défaut, la fonctionnalité d'authentification de l'API est désactivée dans l'API expérimentale. Le serveur Web Airflow refuse toutes les requêtes que vous effectuez.
Pour activer la fonctionnalité d'authentification des API et l'API expérimentale Airflow 2, remplacez l'option de configuration Airflow suivante :
Section | Clé | Valeur | Notes |
---|---|---|---|
api
|
(Airflow 2.2.5 et versions antérieures) auth_backend (Airflow 2.3.0 et versions ultérieures) auth_backends
|
airflow.api.auth.backend.default
|
La valeur par défaut est airflow.composer.api.backend.composer_auth . |
api
|
enable_experimental_api
|
True
|
La valeur par défaut est False . |
Airflow 1
Par défaut, la fonctionnalité d'authentification de l'API est désactivée dans Airflow 1.10.11 et versions ultérieures. Le serveur Web Airflow refuse toutes les requêtes que vous effectuez. Utilisez les requêtes pour déclencher les DAG. Activez donc cette fonctionnalité.
Pour activer la fonctionnalité d'authentification des API dans Airflow 1, remplacez l'option de configuration Airflow suivante :
Section | Clé | Valeur | Notes |
---|---|---|---|
api |
auth_backend |
airflow.api.auth.backend.default |
La valeur par défaut est airflow.api.auth.backend.deny_all . |
Une fois que vous avez défini cette option de configuration sur airflow.api.auth.backend.default
, le serveur Web Airflow accepte toutes les requêtes API sans authentification. Même si le serveur Web Airflow lui-même ne nécessite pas d'authentification, il est toujours protégé par Identity-Aware Proxy, qui fournit sa propre couche d'authentification.
Autoriser les appels d'API à l'API REST Airflow à l'aide du contrôle des accès du serveur Web
Selon la méthode utilisée pour appeler l'API REST Airflow, la méthode appelante peut utiliser une adresse IPv4 ou IPv6. N'oubliez pas de débloquer le trafic IP vers l'API REST Airflow à l'aide du contrôle des accès au serveur Web.
Utilisez l'option de configuration par défaut (All IP addresses have access (default)
) si vous ne savez pas à partir de quelles adresses IP vos appels à l'API REST Airflow seront envoyés.
Effectuer des appels vers l'API REST Airflow
Obtenir le "client_id" du proxy IAM
Pour envoyer une requête au point de terminaison de l'API REST Airflow, la fonction requiert l'ID client du proxy IAM qui protège le serveur Web Airflow.
Cloud Composer ne fournit pas ces informations directement. Au lieu de cela, vous devez envoyer une requête non authentifiée au serveur Web Airflow et récupérer l'ID client à partir de l'URL de redirection.
cURL
curl -v AIRFLOW_URL 2>&1 >/dev/null | grep -o "client_id\=[A-Za-z0-9-]*\.apps\.googleusercontent\.com"
Remplacez AIRFLOW_URL
par l'URL de l'interface Web Airflow.
Dans le résultat, recherchez la chaîne qui suit client_id
. Exemple :
client_id=836436932391-16q2c5f5dcsfnel77va9bvf4j280t35c.apps.googleusercontent.com
Python
Enregistrez le code suivant dans un fichier nommé get_client_id.py
. Renseignez vos valeurs pour project_id
, location
et composer_environment
, puis exécutez le code dans Cloud Shell ou dans votre environnement local.
Appeler l'API REST Airflow à l'aide de client_id
Effectuez les remplacements suivants :
- Remplacez la valeur de la variable
client_id
par la valeurclient_id
obtenue à l'étape précédente. - Remplacez la valeur de la variable
webserver_id
par l'ID de votre projet locataire, qui fait partie de l'URL de l'interface Web Airflow avant.appspot.com
. Vous avez obtenu l'URL de l'interface Web Airflow lors d'une étape précédente. Spécifiez la version de l'API REST Airflow que vous utilisez :
- Si vous utilisez l'API REST Airflow stable, définissez la variable
USE_EXPERIMENTAL_API
surFalse
. - Si vous utilisez l'API REST Airflow expérimentale, aucune modification n'est nécessaire. La variable
USE_EXPERIMENTAL_API
est déjà définie surTrue
.
- Si vous utilisez l'API REST Airflow stable, définissez la variable
Accéder à l'API REST Airflow à l'aide d'un compte de service
La base de données Airflow limite la longueur du champ de l'adresse e-mail à 64 caractères. Les comptes de service ont parfois des adresses e-mail comportant plus de 64 caractères. Il n'est pas possible de créer des utilisateurs Airflow pour ces comptes de service de la manière habituelle. S'il n'existe aucun utilisateur Airflow pour un compte de service de ce type, l'accès à l'API REST Airflow génère des erreurs HTTP 401 et 403.
Pour contourner ce problème, vous pouvez préenregistrer un utilisateur Airflow pour un compte de service. Pour ce faire, utilisez accounts.google.com:NUMERIC_USER_ID
comme nom d'utilisateur et n'importe quelle chaîne unique comme adresse e-mail.
Pour obtenir
NUMERIC_USER_ID
pour un compte de service, exécutez la commande suivante :gcloud iam service-accounts describe \ SA_NAME@PROJECT_ID.iam.gserviceaccount.com \ --format="value(oauth2ClientId)"
Remplacez :
SA_NAME
par le nom du compte de servicePROJECT_ID
par l'ID du projet.
Créez un utilisateur Airflow doté du rôle
Op
pour le compte de service :Interface utilisateur d'Airflow
Accédez à Admin > Utilisateurs, puis cliquez sur Créer. Votre utilisateur Airflow doit disposer du rôle
Admin
pour ouvrir cette page.Spécifiez
accounts.google.com:NUMERIC_USER_ID
comme nom d'utilisateur. RemplacezNUMERIC_USER_ID
par l'ID utilisateur obtenu à l'étape précédente.Spécifiez un identifiant unique comme adresse e-mail. Vous pouvez utiliser n'importe quelle chaîne unique.
Spécifiez le rôle de l'utilisateur. Par exemple,
Op
.Assurez-vous que la case Est actif ? est cochée.
Indiquez le prénom et le nom de l'utilisateur. Vous pouvez utiliser n'importe quelle chaîne.
Cliquez sur Enregistrer.
gcloud
Dans Airflow 2, exécutez la commande de CLI Airflow suivante :
gcloud composer environments run ENVIRONMENT_NAME \ --location LOCATION \ users create -- \ -u accounts.google.com:NUMERIC_USER_ID \ -e UNIQUE_ID \ -f UNIQUE_ID \ -l - -r Op --use-random-password
Remplacez :
ENVIRONMENT_NAME
par le nom de l'environnement.LOCATION
par la région dans laquelle se trouve l'environnement.NUMERIC_USER_ID
par l'ID utilisateur obtenu à l'étape précédente.UNIQUE_ID
par l'identifiant de l'utilisateur Airflow. Vous pouvez utiliser n'importe quelle chaîne unique.
Une fois que vous avez créé un utilisateur Airflow pour un compte de service, un appelant qui s'est authentifié en tant que compte de service est reconnu comme un utilisateur préinscrit et est connecté à Airflow.
Mise à l'échelle du composant de l'API REST Airflow
L'API REST Airflow et les points de terminaison de l'interface utilisateur Airflow sont exécutés dans le composant, à savoir le serveur Web Airflow. Si vous utilisez l'API REST de façon intensive, envisagez d'augmenter les paramètres de processeur et de mémoire pour ajuster les ressources du serveur Web Airflow en fonction de la charge attendue.