Cloud Composer 1 è in modalità post-manutenzione. Google non rilascia ulteriori aggiornamenti a Cloud Composer 1, incluse nuove versioni di Airflow, correzioni di bug e aggiornamenti della sicurezza. Ti consigliamo di pianificare la migrazione a Cloud Composer 2.

Questa pagina è stata tradotta dall'API Cloud Translation.

Configurazione dei Controlli di servizio VPC

Cloud Composer 3 | Cloud Composer 2 | Cloud Composer 1

I Controlli di servizio VPC consentono alle organizzazioni di definire un perimetro attorno alleGoogle Cloud risorse per mitigare i rischi di esfiltrazione di dati.

Gli ambienti Cloud Composer possono essere dispiacchiati all'interno di un perimetro di servizio. Configurando l'ambiente con i Controlli di servizio VPC, puoi mantenere privati i dati sensibili e usufruire al contempo delle funzionalità di orchestrazione dei flussi di lavoro completamente gestite di Cloud Composer.

Il supporto di Controlli di servizio VPC per Cloud Composer significa che:

Ora Cloud Composer può essere selezionato come servizio protetto all'interno di un perimetro di Controlli di servizio VPC.
Tutte le risorse sottostanti utilizzate da Cloud Composer sono configurate per supportare l'architettura di VPC Service Controls e seguire le relative regole.

Il deployment di ambienti Cloud Composer con Controlli di servizio VPC consente di:

Rischio ridotto di esfiltrazione di dati.
Protezione contro l'esposizione dei dati a causa di controlli di accesso configurati in modo errato.
Rischio ridotto che utenti malintenzionati copino dati in risorseGoogle Cloud non autorizzate o che hacker esterni accedano alle risorseGoogle Cloud da internet.

Informazioni sui Controlli di servizio VPC in Cloud Composer

Tutti i vincoli di rete di VPC Service Controls si applicano anche ai tuoi ambienti Cloud Composer. Per maggiori dettagli, consulta la documentazione di VPC Service Controls.

La visualizzazione di un modello visualizzato con funzioni nell'interfaccia utente web con la serializzazione DAG abilitata è supportata per gli ambienti che eseguono Cloud Composer versione 1.12.0 o successive e Airflow versione 1.10.9 o successive.
L'impostazione del flag async_dagbag_loader su True non è supportata se la serializzazione DAG è abilitata.
L'attivazione della serializzazione DAG disattiva tutti i plug-in del server web Airflow, in quanto potrebbero mettere a rischio la sicurezza della rete VPC in cui è dipiegato Cloud Composer. Ciò non influisce sul comportamento dei plug-in di scheduler o worker, inclusi gli operatori e i sensori di Airflow.

Se un ambiente Cloud Composer è protetto da un perimetro, l'accesso ai repository PyPI pubblici è limitato. Per ulteriori informazioni, consulta Installare i pacchetti PyPI in VPC Service Controls.
Se il tuo ambiente utilizza la networking IP privato, tutto il traffico interno viene indirizzato alla tua rete VPC, tranne il traffico verso API, servizi e domini Google che sono disponibili per gli ambienti IP privato tramite l'accesso privato Google.
A seconda di come configuri la rete VPC, un ambiente IP privato può accedere a internet tramite la rete VPC.
In modalità Controlli di servizio VPC, Cloud Composer esegue due istanze del server web Airflow. Identity-Aware Proxy esegue il bilanciamento del carico del traffico utente tra queste istanze. I server web di Airflow vengono eseguiti in modalità di sola lettura, il che significa che:
- La serializzazione DAG è attivata. Di conseguenza, il server web di Airflow non analizza i file DAG.
- I plug-in non vengono sincronizzati con il server web, pertanto non puoi modificarne o estenderne le funzionalità con i plug-in.
- Il server web Airflow utilizza un'immagine container predefinita dal servizio Cloud Composer. Se installi immagini PyPI nel tuo ambiente, queste non vengono installate nell'immagine del container del server web.
Attenzione: in Cloud Composer 1, l'endpoint del server web è accessibile dall'esterno del perimetro, indipendentemente dalla configurazione del livello di accesso. Ti consigliamo di proteggere l'accesso al server web Airflow limitando l'accesso al server web a intervalli IP specifici.

Crea un perimetro di servizio

Consulta Creazione di un perimetro di servizio per scoprire come creare e configurare i perimetri di servizio. Assicurati di selezionare Cloud Composer come uno dei servizi protetti all'interno del perimetro.

Creare ambienti in un perimetro

Per eseguire il deployment di Cloud Composer all'interno di un perimetro, sono necessari i seguenti passaggi:

Abilita l'API Access Context Manager e l'API Cloud Composer per il tuo progetto. Per riferimento, consulta Abilitazione delle API.
Assicurati che il perimetro di servizio abbia i seguenti servizi accessibili al VPC, altrimenti la creazione dell'ambiente potrebbe non riuscire:
- API Cloud Composer (composer.googleapis.com)
- API Compute Engine (compute.googleapis.com)
- API Kubernetes Engine (container.googleapis.com)
- API Container Registry (containerregistry.googleapis.com)
- API Artifact Registry (artifactregistry.googleapis.com)
- API Cloud Storage (storage.googleapis.com)
- API Cloud SQL Admin (sqladmin.googleapis.com)
- API Cloud Logging (logging.googleapis.com)
- API Cloud Monitoring (monitoring.googleapis.com)
- API Cloud Pub/Sub (pubsub.googleapis.com)
- API Cloud Resource Manager (cloudresourcemanager.googleapis.com)
- API Service Directory (servicedirectory.googleapis.com)
- API Cloud Key Management Service (cloudkms.googleapis.com), se utilizzi chiavi Cloud KMS o CMEK.
- API Secret Manager (secretmanager.googleapis.com), se utilizzi Secret Manager come backend per i secret.
Avviso: in tutte le versioni di Cloud Composer 1, se includi l'API Cloud Identity-Aware Proxy (iap.googleapis.com) o l'API TCP Identity-Aware Proxy (iaptunnel.googleapis.com) nel tuo perimetro, non è possibile creare ambienti Cloud Composer. Per risolvere il problema, consulta La creazione dell'ambiente non riesce nei progetti con i Controlli di servizio VPC abilitati.
Crea un nuovo ambiente Cloud Composer conIP privato abilitato. Tieni presente che questa impostazione deve essere configurata durante la creazione dell'ambiente.
- Utilizza la versione composer-1.10.4 o successive.
- Assicurati che la serializzazione dei DAG sia attivata. Se il tuo ambiente utilizza Cloud Composer 1.15.0 e versioni successive, la serializzazione è abilitata per impostazione predefinita.
- Quando crei l'ambiente, ricordati di configurare l'accesso al server web Airflow. Per migliorare la protezione, consenti l'accesso al server web solo da intervalli IP specifici. Per maggiori dettagli, consulta Configurare l'accesso alla rete del server web.

Aggiungere un ambiente esistente al perimetro

Hai già creato o configurato il perimetro come descritto nella sezione precedente.
Il tuo ambiente utilizza l'IP privato.
Nei tuoi ambienti è attiva la serializzazione DAG.

Installare i pacchetti PyPI in VPC Service Controls

Nella configurazione predefinita di VPC Service Controls, Cloud Composer supporta solo l'installazione di pacchetti PyPI da repository privati accessibili dallo spazio di indirizzi IP interno della rete VPC.

Installazione da un repository privato

La configurazione consigliata è impostare un repository PyPI privato:

Compilalo con i pacchetti controllati utilizzati dalla tua organizzazione, quindi configura Cloud Composer in modo da installare le dipendenze Python da un repository privato.
Concedi autorizzazioni aggiuntive per l'installazione di pacchetti dai repository privati all'account di servizio del tuo ambiente, come descritto in Controllo dell'accesso.

Installazione da un repository pubblico

Repository remoto

Questo è l'approccio consigliato per installare i pacchetti da un repository pubblico.

Per installare i pacchetti PyPI da repository esterni allo spazio IP privato, segui questi passaggi:

Crea un repository remoto Artifact Registry.
Concedi a questo repository l'accesso alle origini upstream.
Configura Airflow in modo da installare i pacchetti da un repository Artifact Registry.
Concedi autorizzazioni aggiuntive per l'installazione di pacchetti dai repository di Artifact Registry all'account di servizio del tuo ambiente, come descritto in Controllo dell'accesso.

Connessioni esterne

Per installare i pacchetti PyPI da repository esterni allo spazio IP privato, segui questi passaggi:

Configura Cloud NAT per consentire a Cloud Composer in esecuzione nello spazio IP privato di connettersi ai repository PyPI esterni.
Configura le regole del firewall per consentire le connessioni in uscita dal cluster Composer al repository.

Configurare la connettività con i servizi e le API di Google

In una configurazione di Controlli di servizio VPC, per controllare il traffico di rete, configura l'accesso alle API e ai servizi Google tramite restricted.googleapis.com. Questo dominio blocca l'accesso alle API e ai servizi di Google che non supportano i Controlli di servizio VPC.

Gli ambienti Cloud Composer utilizzano i seguenti domini:

*.googleapis.com viene utilizzato per accedere ad altri servizi Google.
*.pkg.dev viene utilizzato per ottenere immagini dell'ambiente, ad esempio quando crei o aggiornate un ambiente.
*.gcr.io GKE richiede la connettività al dominio Container Registry indipendentemente dalla versione di Cloud Composer.

Configura la connettività all'endpoint restricted.googleapis.com:

Dominio	Nome DNS	Record CNAME	Record A
`*.googleapis.com`	`googleapis.com.`	Nome DNS: `*.googleapis.com.` Tipo di record di risorse: `CNAME` Nome canonico: `googleapis.com.`	Tipo di record di risorse: `A` Indirizzi IPv4: `199.36.153.4`, `199.36.153.5`, `199.36.153.6`, `199.36.153.7`
`*.pkg.dev`	`pkg.dev.`	Nome DNS: `*.pkg.dev.` Tipo di record di risorse: `CNAME` Nome canonico: `pkg.dev.`	Tipo di record di risorse: `A` Indirizzi IPv4: `199.36.153.4`, `199.36.153.5`, `199.36.153.6`, `199.36.153.7`
`*.gcr.io`	`gcr.io.`	Nome DNS: `*.gcr.io.` Tipo di record di risorse: `CNAME` Nome canonico: `gcr.io.`	Tipo di record di risorse: `A` Indirizzi IPv4: `199.36.153.4`, `199.36.153.5`, `199.36.153.6`, `199.36.153.7`

Per creare una regola DNS:

Crea una nuova zona DNS e utilizza Nome DNS come nome DNS di questa zona.

Esempio: pkg.dev.
Aggiungi un insieme di record per il record CNAME.

Esempio:
- Nome DNS: *.pkg.dev.
- Tipo di record di risorse: CNAME
- Nome canonico: pkg.dev.
Aggiungi un set di record con un record A:

Esempio:
- Tipo di record di risorse: A
- Indirizzi IPv4: 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7

Per ulteriori informazioni, consulta Configurazione della connettività privata alle API e ai servizi Google.

Configurazione delle regole del firewall

Se il tuo progetto ha regole firewall non predefinite, ad esempio quelle che sostituiscono le regole firewall implicite o modificano le regole predefinite nella rete predefinita, verifica che le seguenti regole firewall siano configurate.

Ad esempio, Cloud Composer potrebbe non riuscire a creare un ambiente se hai una regola firewall che nega tutto il traffico in uscita. Per evitare problemi, definisci regole allow selettive che seguono l'elenco e hanno una priorità più elevata della regola deny globale.

Configura la rete VPC in modo da consentire il traffico dal tuo ambiente:

Consulta Utilizzo delle regole firewall per scoprire come controllare, aggiungere e aggiornare le regole per la rete VPC.
Utilizza lo strumento di connettività per convalidare la connettività tra gli intervalli IP.
Puoi utilizzare i tag di rete per limitare ulteriormente l'accesso. Puoi impostare questi tag quando crei un ambiente.

Descrizione	Direzione	Azione	Origine o destinazione	Protocolli	Porte
DNS Configura come descritto in Supporto di Controlli di servizio VPC per Cloud DNS	-	-	-	-	-
API e servizi Google	In uscita	Consenti	Indirizzi IPv4 di `restricted.googleapis.com` che utilizzi per le API e i servizi Google.	TCP	443
Nodi del cluster dell'ambiente	In uscita	Consenti	Intervallo di indirizzi IP principali della subnet dell'ambiente	TCP, UDP	tutte
Pod del cluster dell'ambiente	In uscita	Consenti	Intervallo di indirizzi IP secondario per i pod nella subnet dell'ambiente	TCP, UDP	tutte
Control plane del cluster dell'ambiente	In uscita	Consenti	Intervallo IP del control plane GKE	TCP, UDP	tutte
Server web	In uscita	Consenti	Intervallo IP della rete del server web	TCP	3306, 3307

Per ottenere gli intervalli IP:

Gli intervalli di indirizzi di pod, servizi e piano di controllo sono disponibili nella pagina Cluster del cluster del tuo ambiente:
1. Nella console Google Cloud, vai alla pagina Environments (Ambienti).
  
  Vai ad Ambienti
2. Nell'elenco degli ambienti, fai clic sul nome dell'ambiente. Viene visualizzata la pagina Dettagli dell'ambiente.
3. Vai alla scheda Configurazione dell'ambiente.
4. Segui il link Visualizza i dettagli del cluster.
Puoi visualizzare l'intervallo di indirizzi IP del server web dell'ambiente nella scheda Configurazione dell'ambiente.
Puoi vedere l'ID rete dell'ambiente nella scheda Configurazione dell'ambiente. Per ottenere gli intervalli IP di una subnet, vai alla pagina Reti VPC e fai clic sul nome della rete per visualizzarne i dettagli:

Vai a Reti VPC

Log di Controlli di servizio VPC

Per risolvere i problemi di creazione dell'ambiente, puoi analizzare i log di controllo generati da Controlli di servizio VPC.

Oltre ad altri messaggi di log, puoi controllare i log per informazioni sugli account servizio cloud-airflow-prod@system.gserviceaccount.com e service-PROJECT_ID@cloudcomposer-accounts.iam.gserviceaccount.com che configurano i componenti dei tuoi ambienti.

Il servizio Cloud Composer utilizza l'account di servizio cloud-airflow-prod@system.gserviceaccount.com per gestire i componenti del progetto del tenant dei tuoi ambienti.

L'account di servizio service-PROJECT_ID@cloudcomposer-accounts.iam.gserviceaccount.com, noto anche come account di servizio dell'agente di servizio Composer, gestisce i componenti dell'ambiente nei progetti di servizio e host.