Accéder à l'API REST Airflow

Cloud Composer 1 | Cloud Composer 2 | Cloud Composer 3

Apache Airflow dispose d'une interface d'API REST qui vous permet d'effectuer des tâches telles que l'obtention d'informations sur les exécutions et les tâches DAG, la mise à jour des DAG, l'obtention de la configuration Airflow, l'ajout et la suppression de connexions et la création de listes d'utilisateurs.

Pour obtenir un exemple d'utilisation de l'API REST Airflow avec des fonctions Cloud Run, consultez la page Déclencher des DAG avec Cloud Functions

Versions de l'API REST Airflow

Les versions suivantes de l'API REST Airflow sont disponibles dans Cloud Composer 1 :

  • Airflow 2 utilise l'API REST stable. L'API REST expérimentale est obsolète dans Airflow.

  • Vous pouvez toujours utiliser l'API REST expérimentale dans Airflow 2 si vous l'activez via un remplacement de configuration Airflow, comme décrit plus loin.

Avant de commencer

Enable the Cloud Composer API.

Enable the API

Activer la version stable de l'API REST Airflow

Airflow 2

L'API REST stable est déjà activée par défaut dans Airflow 2.

Cloud Composer utilise son propre backend d'authentification d'API, intégré à Identity-Aware Proxy.

L'autorisation fonctionne de la manière standard fournie par Airflow. Lorsqu'un nouvel utilisateur accorde des autorisations via l'API, le compte de l'utilisateur obtient le rôle Op par défaut.

Vous pouvez activer ou désactiver l'API REST stable, ou modifier le rôle utilisateur par défaut en remplaçant les options de configuration Airflow suivantes :

Section Clé Valeur Remarques
api (Airflow 2.2.5 et versions antérieures) auth_backend
(Airflow 2.3.0 et versions ultérieures) auth_backends 		airflow.composer.api.backend.composer_auth Pour désactiver l'API REST stable, définissez sur airflow.api.auth.backend.deny_all.
api composer_auth_user_registration_role Op Vous pouvez spécifier n'importe quel autre rôle.

Airflow 1

L'API REST stable n'est pas disponible dans Airflow 1. Vous pouvez utiliser l'API REST expérimentale à la place.

Activer l'API REST Airflow expérimentale

Airflow 2

Par défaut, la fonctionnalité d'authentification de l'API est désactivée dans l'API expérimentale. Le serveur Web Airflow refuse toutes les requêtes que vous effectuez.

Pour activer la fonctionnalité d'authentification des API et l'API expérimentale Airflow 2, remplacez l'option de configuration Airflow suivante :

Section Clé Valeur Remarques
api (Airflow 2.2.5 et versions antérieures) auth_backend
(Airflow 2.3.0 et versions ultérieures) auth_backends 		airflow.api.auth.backend.default La valeur par défaut est airflow.composer.api.backend.composer_auth.
api enable_experimental_api True La valeur par défaut est False.

Airflow 1

Par défaut, la fonctionnalité d'authentification de l'API est désactivée dans Airflow 1.10.11 et versions ultérieures. Le serveur Web Airflow refuse toutes les requêtes que vous effectuez. Utilisez les requêtes pour déclencher les DAG. Activez donc cette fonctionnalité.

Pour activer la fonctionnalité d'authentification des API dans Airflow 1, remplacez l'option de configuration Airflow suivante :

Section Clé Valeur Remarques
api auth_backend airflow.api.auth.backend.default La valeur par défaut est airflow.api.auth.backend.deny_all.

Après avoir défini cette option de configuration sur airflow.api.auth.backend.default, le serveur Web Airflow accepte toutes les API sans authentification. Même si le serveur Web Airflow lui-même ne nécessite pas d'authentification, il est toujours protégé par Identity-Aware Proxy, qui fournit sa propre couche d'authentification.

Autoriser les appels d'API à l'API REST Airflow à l'aide du contrôle d'accès du serveur Web

Selon la méthode utilisée pour appeler l'API REST Airflow, la méthode de l'appelant peut utiliser une adresse IPv4 ou IPv6. N'oubliez pas de débloquer Trafic IP vers l'API REST Airflow à l'aide du contrôle des accès au serveur Web.

Utilisez l'option de configuration par défaut, qui est All IP addresses have access (default). si vous ne savez pas à partir de quelles adresses IP vos appels à l'API REST Airflow sont sera envoyé.

Effectuer des appels vers l'API REST Airflow

Obtenir le "client_id" du proxy IAM

Pour envoyer une requête au point de terminaison de l'API REST Airflow, la fonction requiert l'ID client du proxy IAM qui protège le serveur Web Airflow.

Cloud Composer ne fournit pas ces informations directement. Au lieu de cela, vous devez envoyer une requête non authentifiée au serveur Web Airflow et récupérer l'ID client à partir de l'URL de redirection.

cURL 

curl -v AIRFLOW_URL 2>&1 >/dev/null | grep -o "client_id\=[A-Za-z0-9-]*\.apps\.googleusercontent\.com"

Remplacez AIRFLOW_URL par l'URL de l'interface Web Airflow.

Dans le résultat, recherchez la chaîne qui suit client_id. Exemple :

client_id=836436932391-16q2c5f5dcsfnel77va9bvf4j280t35c.apps.googleusercontent.com

Python

Enregistrez le code suivant dans un fichier nommé get_client_id.py. Renseignez vos valeurs pour project_id, location et composer_environment, puis exécutez le code dans Cloud Shell ou dans votre environnement local.

# This script is intended to be used with Composer 1 environments
# In Composer 2, the Airflow Webserver is not in the tenant project
# so there is no tenant client ID
# See https://cloud.google.com/composer/docs/composer-2/environment-architecture
# for more details
import google.auth
import google.auth.transport.requests
import requests
import six.moves.urllib.parse

# Authenticate with Google Cloud.
# See: https://cloud.google.com/docs/authentication/getting-started
credentials, _ = google.auth.default(
    scopes=["https://www.googleapis.com/auth/cloud-platform"]
)
authed_session = google.auth.transport.requests.AuthorizedSession(credentials)

# project_id = 'YOUR_PROJECT_ID'
# location = 'us-central1'
# composer_environment = 'YOUR_COMPOSER_ENVIRONMENT_NAME'

environment_url = (
    "https://composer.googleapis.com/v1beta1/projects/{}/locations/{}"
    "/environments/{}"
).format(project_id, location, composer_environment)
composer_response = authed_session.request("GET", environment_url)
environment_data = composer_response.json()
composer_version = environment_data["config"]["softwareConfig"]["imageVersion"]
if "composer-1" not in composer_version:
    version_error = (
        "This script is intended to be used with Composer 1 environments. "
        "In Composer 2, the Airflow Webserver is not in the tenant project, "
        "so there is no tenant client ID. "
        "See https://cloud.google.com/composer/docs/composer-2/environment-architecture for more details."
    )
    raise (RuntimeError(version_error))
airflow_uri = environment_data["config"]["airflowUri"]

# The Composer environment response does not include the IAP client ID.
# Make a second, unauthenticated HTTP request to the web server to get the
# redirect URI.
redirect_response = requests.get(airflow_uri, allow_redirects=False)
redirect_location = redirect_response.headers["location"]

# Extract the client_id query parameter from the redirect.
parsed = six.moves.urllib.parse.urlparse(redirect_location)
query_string = six.moves.urllib.parse.parse_qs(parsed.query)
print(query_string["client_id"][0])

Appeler l'API REST Airflow à l'aide de client_id

Effectuez les remplacements suivants :

  • Remplacez la valeur de la variable client_id par la valeur client_id. obtenues à l'étape précédente.
  • Remplacez la valeur de la variable webserver_id par l'ID de votre projet locataire, qui fait partie de l'URL de l'interface Web Airflow avant .appspot.com. Vous avez obtenu l'URL de l'interface Web Airflow lors d'une étape précédente.

  • Spécifiez la version de l'API REST Airflow que vous utilisez :

    • Si vous utilisez l'API REST Airflow stable, définissez la variable USE_EXPERIMENTAL_API sur False.
    • Si vous utilisez l'API REST Airflow expérimentale, aucune modification n'est nécessaire. La variable USE_EXPERIMENTAL_API est déjà définie sur True.

from google.auth.transport.requests import Request
from google.oauth2 import id_token
import requests


IAM_SCOPE = "https://www.googleapis.com/auth/iam"
OAUTH_TOKEN_URI = "https://www.googleapis.com/oauth2/v4/token"
# If you are using the stable API, set this value to False
# For more info about Airflow APIs see https://cloud.google.com/composer/docs/access-airflow-api
USE_EXPERIMENTAL_API = True


def trigger_dag(data, context=None):
    """Makes a POST request to the Composer DAG Trigger API

    When called via Google Cloud Functions (GCF),
    data and context are Background function parameters.

    For more info, refer to
    https://cloud.google.com/functions/docs/writing/background#functions_background_parameters-python

    To call this function from a Python script, omit the ``context`` argument
    and pass in a non-null value for the ``data`` argument.

    This function is currently only compatible with Composer v1 environments.
    """

    # Fill in with your Composer info here
    # Navigate to your webserver's login page and get this from the URL
    # Or use the script found at
    # https://github.com/GoogleCloudPlatform/python-docs-samples/blob/main/composer/rest/get_client_id.py
    client_id = "YOUR-CLIENT-ID"
    # This should be part of your webserver's URL:
    # {tenant-project-id}.appspot.com
    webserver_id = "YOUR-TENANT-PROJECT"
    # The name of the DAG you wish to trigger
    dag_name = "composer_sample_trigger_response_dag"

    if USE_EXPERIMENTAL_API:
        endpoint = f"api/experimental/dags/{dag_name}/dag_runs"
        json_data = {"conf": data, "replace_microseconds": "false"}
    else:
        endpoint = f"api/v1/dags/{dag_name}/dagRuns"
        json_data = {"conf": data}
    webserver_url = "https://" + webserver_id + ".appspot.com/" + endpoint
    # Make a POST request to IAP which then Triggers the DAG
    make_iap_request(webserver_url, client_id, method="POST", json=json_data)


# This code is copied from
# https://github.com/GoogleCloudPlatform/python-docs-samples/blob/main/iap/make_iap_request.py
# START COPIED IAP CODE
def make_iap_request(url, client_id, method="GET", **kwargs):
    """Makes a request to an application protected by Identity-Aware Proxy.
    Args:
      url: The Identity-Aware Proxy-protected URL to fetch.
      client_id: The client ID used by Identity-Aware Proxy.
      method: The request method to use
              ('GET', 'OPTIONS', 'HEAD', 'POST', 'PUT', 'PATCH', 'DELETE')
      **kwargs: Any of the parameters defined for the request function:
                https://github.com/requests/requests/blob/master/requests/api.py
                If no timeout is provided, it is set to 90 by default.
    Returns:
      The page body, or raises an exception if the page couldn't be retrieved.
    """
    # Set the default timeout, if missing
    if "timeout" not in kwargs:
        kwargs["timeout"] = 90

    # Obtain an OpenID Connect (OIDC) token from metadata server or using service
    # account.
    google_open_id_connect_token = id_token.fetch_id_token(Request(), client_id)

    # Fetch the Identity-Aware Proxy-protected URL, including an
    # Authorization header containing "Bearer " followed by a
    # Google-issued OpenID Connect token for the service account.
    resp = requests.request(
        method,
        url,
        headers={"Authorization": "Bearer {}".format(google_open_id_connect_token)},
        **kwargs,
    )
    if resp.status_code == 403:
        raise Exception(
            "Service account does not have permission to "
            "access the IAP-protected application."
        )
    elif resp.status_code != 200:
        raise Exception(
            "Bad response from application: {!r} / {!r} / {!r}".format(
                resp.status_code, resp.headers, resp.text
            )
        )
    else:
        return resp.text


# END COPIED IAP CODE

Accéder à l'API REST Airflow à l'aide d'un compte de service

La base de données Airflow limite la longueur du champ d'adresse e-mail à 64 caractères. Les adresses e-mail des comptes de service sont parfois plus longues que 64 caractères. Il n'est pas possible de créer des utilisateurs Airflow pour ce service comme d'habitude. Si aucun utilisateur Airflow n'est associé à un tel compte de service, l'accès à l'API REST Airflow génère les erreurs HTTP 401 et 403.

Pour contourner ce problème, vous pouvez préenregistrer un utilisateur Airflow pour un compte de service. Pour ce faire, utilisez accounts.google.com:NUMERIC_USER_ID comme nom d'utilisateur et une chaîne unique comme adresse e-mail.

  1. Pour obtenir NUMERIC_USER_ID pour un compte de service, exécutez la commande suivante :

    gcloud iam service-accounts describe \
  SA_NAME@PROJECT_ID.iam.gserviceaccount.com \
  --format="value(oauth2ClientId)"

    Remplacez :

    • SA_NAME par le nom du compte de service
    • PROJECT_ID par l'ID du projet.

  2. Créez un utilisateur Airflow doté du rôle Op pour le compte de service :

    Interface utilisateur d'Airflow

    1. Accédez à l'interface utilisateur d'Airflow.

    2. Accédez à Admin > Utilisateurs, puis cliquez sur Créer. Votre utilisateur Airflow doit disposer du rôle Admin pour ouvrir cette page.

    3. Spécifier accounts.google.com:NUMERIC_USER_ID en tant qu'utilisateur son nom. Remplacez NUMERIC_USER_ID par l'ID utilisateur obtenu au niveau du à l'étape précédente.

    4. Indiquez un identifiant unique pour l'adresse e-mail. Vous pouvez utiliser chaîne unique.

    5. Spécifiez le rôle de l'utilisateur. Par exemple, Op.

    6. Assurez-vous que la case Est actif ? est cochée.

    7. Spécifiez le prénom et le nom de l'utilisateur. Vous pouvez utiliser .

    8. Cliquez sur Enregistrer.

    gcloud

    Dans Airflow 2, exécutez la commande de CLI Airflow suivante :

    gcloud composer environments run ENVIRONMENT_NAME \
    --location LOCATION \
    users create -- \
    -u accounts.google.com:NUMERIC_USER_ID \
    -e UNIQUE_ID  \
    -f UNIQUE_ID \
    -l - -r Op --use-random-password

    Remplacez :

    • ENVIRONMENT_NAME par le nom de l'environnement.
    • LOCATION par la région où se trouve l'environnement.
    • NUMERIC_USER_ID par l'ID utilisateur obtenu à l'étape précédente.
    • UNIQUE_ID par l'identifiant de l'utilisateur Airflow. Vous pouvez utiliser chaîne unique.

  3. Après avoir créé un utilisateur Airflow pour un compte de service, un appelant authentifié lorsque le compte de service est reconnu comme un utilisateur pré-enregistré, et est connecté à Airflow.

Scaling du composant de l'API REST Airflow

Les points de terminaison de l'API REST et de l'UI Airflow sont exécutés dans le composant, c'est-à-dire le serveur Web Airflow. Si vous utilisez l'API REST de manière intensive, envisagez Augmentation des paramètres de processeur et de mémoire pour ajuster les ressources du serveur Web Airflow à la charge attendue.

Étape suivante