El 15 de septiembre del 2026, todos los entornos de Cloud Composer 1 y Cloud Composer 2 versión 2.0.x alcanzarán el final de su ciclo de vida previsto y no podrás usarlos. Te recomendamos que planifiques la migración a Cloud Composer 3.

Esta página se ha traducido con Cloud Translation API.

Entornos de IP privada

Cloud Composer 3 | Cloud Composer 2 | Cloud Composer 1

En esta página se proporciona información sobre los entornos de IP privada de Cloud Composer.

En los entornos de IP privada, Cloud Composer solo asigna direcciones IP privadas (RFC 1918) a las VMs de Google Kubernetes Engine y Cloud SQL gestionadas de tu entorno, lo que implica que no se puede acceder a esas VMs gestionadas desde Internet público. También puedes usar direcciones IP públicas usadas de forma privada y el agente de enmascaramiento de IP para ahorrar espacio de direcciones IP y usar direcciones que no sean RFC 1918.

De forma predeterminada, en un entorno de IP privada, los flujos de trabajo de Cloud Composer no tienen acceso a Internet saliente. El acceso a las APIs y los servicios no se ve afectado por el enrutamiento a través de la red privada de Google. Google Cloud

Clúster de GKE nativo de VPC

Cuando creas un entorno, Cloud Composer distribuye los recursos del entorno entre un proyecto de inquilino gestionado por Google y tu proyecto de cliente.

En un entorno de IP privada, Cloud Composer crea un clúster de GKE nativo de VPC para tu entorno en tu proyecto de cliente.

Los clústeres nativos de VPC usan el enrutamiento de IP de alias integrado en la red de VPC, lo que permite que la VPC gestione el enrutamiento de los pods. Cuando usas clústeres nativos de VPC, GKE elige automáticamente un intervalo secundario. Si tienes requisitos de red específicos, también puedes configurar los intervalos secundarios de tus pods y servicios de GKE al crear un entorno.

Entorno de IP privada de Cloud Composer

Puedes seleccionar un entorno de IP privada al crear un entorno. Si usas una IP privada, las VMs de GKE y Cloud SQL de tu entorno no tendrán asignadas direcciones IP públicas y solo se comunicarán a través de la red interna de Google.

Cuando creas un entorno de IP privada, el clúster de GKE de tu entorno se configura como clúster privado y la instancia de Cloud SQL se configura para usar una IP privada.

Cloud Composer crea una conexión de emparejamiento entre la red de VPC de tu proyecto de cliente y la red de VPC de tu proyecto de arrendatario.

Si habilitas la IP privada en tu entorno, el tráfico IP entre el clúster de GKE de tu entorno y la base de datos de Cloud SQL será privado, lo que aislará tus flujos de trabajo de Internet público.

Este nivel de seguridad adicional afecta a la forma en que te conectas a estos recursos y a cómo accede tu entorno a los recursos externos. Usar una IP privada no afecta a la forma en que accedes a Cloud Storage o a tu servidor web de Airflow a través de la IP pública.

Clúster de GKE

Si usas un clúster de GKE privado, puedes controlar el acceso al plano de control del clúster (los nodos del clúster no tienen direcciones IP públicas).

Cuando creas un entorno de Cloud Composer con IP privada, especificas si el acceso al plano de control es público y su intervalo de IPs. El intervalo de direcciones IP del plano de control no se puede solapar con ninguna subred de tu red VPC.

Opción	Descripción
Acceso al endpoint público inhabilitado	Para conectarte al clúster, debes hacerlo desde una VM que esté en la misma región y en la misma red de VPC que el entorno de IP privada. La instancia de VM desde la que te conectas requiere el permiso de acceso Permitir el acceso completo a todas las APIs de Cloud. Desde esa VM, puedes ejecutar comandos `kubectl` en el clúster de tu entorno
Acceso al endpoint público habilitado y redes maestras autorizadas habilitadas	En esta configuración, los nodos del clúster se comunican con el plano de control a través de la red privada de Google. Los nodos pueden acceder a los recursos de tu entorno y de las redes autorizadas. Puedes añadir redes autorizadas en GKE. En las redes autorizadas, puedes ejecutar comandos de `kubectl` en el clúster de tu entorno.

Cloud SQL

Como la instancia de Cloud SQL no tiene una dirección IP pública, el tráfico de Cloud SQL de tu entorno de IP privada no está expuesto a la red pública de Internet.

Cloud Composer configura Cloud SQL para que acepte conexiones entrantes a través del acceso privado a servicios. Puedes acceder a la instancia de Cloud SQL en tu red VPC mediante su dirección IP privada.

Acceso público a Internet para tus flujos de trabajo

Es posible que los operadores y las operaciones que requieran acceso a recursos en redes no autorizadas o en Internet público fallen. Por ejemplo, la operación de Python de Dataflow requiere una conexión a Internet pública para descargar Apache Beam desde pip.

Para permitir que las VMs sin direcciones IP externas y los clústeres privados de GKE se conecten a Internet, se necesita Cloud NAT.

Para usar Cloud NAT, crea una configuración NAT con Cloud Router para la red VPC y la región en las que se encuentre tu entorno de Cloud Composer con IP privada.