Cloud Composer 1 | Cloud Composer 2 | Cloud Composer 3
In questa pagina viene spiegato come configurare le reti autorizzate per il tuo ambiente.
Informazioni sulle reti autorizzate in Cloud Composer
Le reti autorizzate ti consentono di specificare gli intervalli CIDR che possono accedere al piano di controllo del cluster del tuo ambiente utilizzando HTTPS.
Ad esempio, in Cloud Composer 2, questo accesso al cluster dell'ambiente è necessario negli ambienti IP privati per eseguire i comandi kubectl sul cluster dell'ambiente. Le reti da cui provengono queste richieste devono essere autorizzate ad accedere al piano di controllo del cluster dell'ambiente.
Reti autorizzate in ambienti IP pubblici e privati
Puoi specificare le reti autorizzate sia per gli ambienti IP pubblico che per gli ambienti IP privato.
Negli ambienti con IP privato puoi configurare le reti autorizzate in modo da consentire a un determinato intervallo di indirizzi IP di accedere al piano di controllo del cluster dell'ambiente. ad esempio per consentire a determinati intervalli IP di eseguire comandi
kubectl. Per impostazione predefinita, negli ambienti IP privati puoi eseguire questi comandi solo da una VM nella subnet VPC dell'ambiente IP privato.Negli ambienti con IP pubblico, puoi configurare le reti autorizzate per limitare l'intervallo di indirizzi IP che possono accedere al piano di controllo del cluster dell'ambiente. Per impostazione predefinita, negli ambienti IP pubblici non esistono limitazioni per gli intervalli IP che possono eseguire comandi
kubectl.
Prima di iniziare
Puoi specificare le reti autorizzate solo utilizzando
gcloud, Terraform e l'API REST.Puoi specificare le reti autorizzate quando crei un ambiente o per un ambiente esistente.
Crea ambienti con reti autorizzate
gcloud
Per creare un ambiente con reti autorizzate, utilizza l'argomento --enable-master-authorized-networks quando crei un ambiente. Quindi, fornisci un elenco separato da virgole di intervalli CIDR
nell'argomento --master-authorized-networks.
Per specificare le reti autorizzate per un ambiente IP privato:
gcloud composer environments create ENVIRONMENT_NAME \
--location LOCATION \
--image-version composer-2.8.3-airflow-2.7.3 \
--enable-private-environment \
--enable-master-authorized-networks \
--master-authorized-networks AUTHORIZED_NETWORKS_IP_RANGES
Sostituisci:
ENVIRONMENT_NAMEcon il nome dell'ambiente.LOCATIONcon la regione in cui si trova l'ambiente.AUTHORIZED_NETWORKS_IP_RANGEScon un elenco separato da virgole di intervalli di indirizzi IP nella notazione CIDR. Questi intervalli vengono aggiunti come reti autorizzate per il cluster dell'ambiente.
Esempio (ambiente IP privato):
gcloud composer environments create example-environment \
--location us-central1 \
--image-version composer-2.8.3-airflow-2.7.3 \
--enable-private-environment \
--enable-privately-used-public-ips \
--enable-master-authorized-networks \
--master-authorized-networks 192.0.2.0/23,192.0.4.0/23
API
Creare una richiesta API environments.create. Nella risorsa Ambiente, specifica i parametri di configurazione per un ambiente con reti autorizzate.
Per specificare le reti autorizzate per un ambiente IP privato:
// POST https://composer.googleapis.com/v1/{parent=projects/*/locations/*}/environments
{
"name": "ENVIRONMENT_NAME",
"config": {
"privateEnvironmentConfig": {
"enablePrivateEnvironment": true,
},
"masterAuthorizedNetworksConfig": {
"enabled": true,
"cidrBlocks": [
{
"displayName": "AUTHORIZED_NETWORK_NAME",
"cidrBlock": "AUTHORIZED_NETWORK_RANGE"
}
]
}
}
}
Sostituisci:
ENVIRONMENT_NAMEcon il nome dell'ambiente.AUTHORIZED_NETWORK_NAMEcon il nome dell'intervallo IP della rete autorizzata. Devi utilizzare questo nome per identificare il blocco. Questo campo è facoltativo.AUTHORIZED_NETWORK_RANGEcon un intervallo di indirizzi IP nella notazione CIDR. Questo intervallo viene aggiunto come reti autorizzate per il cluster dell'ambiente.- Se vuoi utilizzare più intervalli IP, aggiungi altri intervalli a
cidrBlocks.
Esempio (ambiente IP privato):
// POST https://composer.googleapis.com/v1/{parent=projects/*/locations/*}/environments
{
"name": "example-environment",
"config": {
"privateEnvironmentConfig": {
"enablePrivateEnvironment": true,
},
"masterAuthorizedNetworksConfig": {
"enabled": true,
"cidrBlocks": [
{
"displayName": "example_range_1",
"cidrBlock": "192.0.2.0/23"
},
{
"displayName": "example_range_2",
"cidrBlock": "192.0.4.0/23"
}
]
}
}
}
Terraform
Quando crei un ambiente, il blocco master_authorized_networks_config
nel blocco config controlla le reti autorizzate per il tuo
ambiente.
Per specificare le reti autorizzate per un ambiente IP privato:
resource "google_composer_environment" "example_environment" {
provider = google-beta
name = "ENVIRONMENT_NAME"
region = "LOCATION"
config {
private_environment_config {
// Private environment parameters
}
master_authorized_networks_config {
enabled = true
cidr_blocks {
cidr_block = "AUTHORIZED_NETWORK_RANGE"
display_name = "AUTHORIZED_NETWORK_NAME"
}
}
}
}
Sostituisci:
ENVIRONMENT_NAMEcon il nome dell'ambiente.LOCATIONcon la regione in cui si trova l'ambiente.AUTHORIZED_NETWORK_RANGEcon un intervallo di indirizzi IP nella notazione CIDR. Questo intervallo viene aggiunto come reti autorizzate per il cluster dell'ambiente.AUTHORIZED_NETWORK_NAMEcon il nome dell'intervallo IP della rete autorizzata. Devi utilizzare questo nome per identificare il blocco.- Se vuoi utilizzare diversi intervalli IP, aggiungi ulteriori blocchi
cidr_blocksamaster_authorized_networks_config.
Esempio (ambiente IP privato):
resource "google_composer_environment" "example_environment" {
provider = google-beta
name = "example-environment"
region = "us-central1"
config {
private_environment_config {
// Private environment parameters
}
master_authorized_networks_config {
enabled = true
cidr_blocks {
cidr_block = "192.0.2.0/23"
display_name = "example_range_1"
}
cidr_blocks {
cidr_block = "192.0.4.0/23"
display_name = "example_range_2"
}
}
}
}
Specifica le reti autorizzate per un ambiente esistente
Puoi specificare le reti autorizzate per un ambiente esistente.
gcloud
Per specificare le reti autorizzate, utilizza l'argomento --enable-master-authorized-networks. Quindi, fornisci un elenco separato da virgole di intervalli CIDR
nell'argomento --master-authorized-networks.
gcloud composer environments update ENVIRONMENT_NAME \
--location LOCATION \
--enable-master-authorized-networks \
--master-authorized-networks AUTHORIZED_NETWORKS_IP_RANGES
Sostituisci:
ENVIRONMENT_NAMEcon il nome dell'ambiente.LOCATIONcon la regione in cui si trova l'ambiente.AUTHORIZED_NETWORKS_IP_RANGEScon un elenco separato da virgole di intervalli di indirizzi IP nella notazione CIDR. Questi intervalli vengono aggiunti come reti autorizzate per il cluster dell'ambiente.
Esempio:
gcloud composer environments update example-environment \
--location us-central1 \
--enable-master-authorized-networks \
--master-authorized-networks 192.0.2.0/23,192.0.4.0/23
API
Creare una richiesta API
environments.patch.In questa richiesta:
Nel parametro
updateMask, specifica la mascheraconfig.softwareConfig.masterAuthorizedNetworksConfig.Nel corpo della richiesta, specifica gli intervalli CIDR per le reti autorizzate.
"config": {
"masterAuthorizedNetworksConfig": {
"enabled": true,
"cidrBlocks": [
{
"displayName": "AUTHORIZED_NETWORK_NAME",
"cidrBlock": "AUTHORIZED_NETWORK_RANGE"
}
]
}
}
Sostituisci:
AUTHORIZED_NETWORK_NAMEcon il nome dell'intervallo IP della rete autorizzata. Devi utilizzare questo nome per identificare il blocco. Questo campo è facoltativo.AUTHORIZED_NETWORK_RANGEcon un intervallo di indirizzi IP nella notazione CIDR. Questo intervallo viene aggiunto come rete autorizzata per il cluster dell'ambiente.- Se vuoi utilizzare più intervalli IP, aggiungi altri intervalli a
cidrBlocks.
Esempio:
// PATCH https://composer.googleapis.com/v1/projects/example-project/
// locations/us-central1/environments/example-environment?updateMask=
// config.softwareConfig.masterAuthorizedNetworksConfig
"config": {
"masterAuthorizedNetworksConfig": {
"enabled": true,
"cidrBlocks": [
{
"displayName": "example_range_1",
"cidrBlock": "192.0.2.0/23"
},
{
"displayName": "example_range_2",
"cidrBlock": "192.0.4.0/23"
}
]
}
}
Terraform
Il blocco master_authorized_networks_config nel blocco config controlla
le reti autorizzate per il tuo ambiente.
Per aggiungere reti autorizzate per un ambiente IP privato, aggiungi questo blocco alla definizione del tuo ambiente:
resource "google_composer_environment" "example_environment" {
provider = google-beta
name = "example_environment"
region = "us-central1"
config {
// Other environment parameters
master_authorized_networks_config {
enabled = true
cidr_blocks {
cidr_block = "AUTHORIZED_NETWORK_RANGE"
display_name = "AUTHORIZED_NETWORK_NAME"
}
}
}
}
Sostituisci:
AUTHORIZED_NETWORK_RANGEcon un intervallo di indirizzi IP nella notazione CIDR. Questo intervallo viene aggiunto come reti autorizzate per il cluster dell'ambiente.AUTHORIZED_NETWORK_NAMEcon il nome dell'intervallo IP della rete autorizzata. Devi utilizzare questo nome per identificare il blocco.- Se vuoi utilizzare diversi intervalli IP, aggiungi ulteriori blocchi
cidr_blocksamaster_authorized_networks_config.
Esempio:
resource "google_composer_environment" "example_environment" {
provider = google-beta
name = "example-environment"
region = "us-central1"
config {
// Other environment parameters
master_authorized_networks_config {
enabled = true
cidr_blocks {
cidr_block = "192.0.2.0/23"
display_name = "example_range_1"
}
cidr_blocks {
cidr_block = "192.0.4.0/23"
display_name = "example_range_2"
}
}
}
}
Disabilita reti autorizzate
Puoi disabilitare le reti autorizzate per un ambiente esistente:
- Per gli ambienti IP privati, rimuove l'accesso per gli intervalli precedentemente aggiunti come rete autorizzata.
Per gli ambienti IP pubblici, vengono rimosse le limitazioni configurate in precedenza.
gcloud
Per disabilitare le reti autorizzate, utilizza l'argomento --disable-master-authorized-networks.
gcloud composer environments update ENVIRONMENT_NAME \
--location LOCATION \
--disable-master-authorized-networks
Sostituisci:
ENVIRONMENT_NAMEcon il nome dell'ambiente.LOCATIONcon la regione in cui si trova l'ambiente.
Esempio:
gcloud composer environments update example-environment \
--location us-central1 \
--disable-master-authorized-networks
API
Creare una richiesta API
environments.patch.In questa richiesta:
Nel parametro
updateMask, specifica la mascheraconfig.softwareConfig.masterAuthorizedNetworksConfig.Nel corpo della richiesta, specifica
falsenel campoenabled.
"config": {
"masterAuthorizedNetworksConfig": {
"enabled": false
}
}
Esempio:
// PATCH https://composer.googleapis.com/v1/projects/example-project/
// locations/us-central1/environments/example-environment?updateMask=
// config.softwareConfig.masterAuthorizedNetworksConfig
"config": {
"masterAuthorizedNetworksConfig": {
"enabled": false,
}
}
Terraform
Il blocco master_authorized_networks_config nel blocco config controlla
le reti autorizzate per il tuo ambiente.
Per disabilitare le reti autorizzate, imposta il campo enabled nel
blocco master_authorized_networks_config su false.
Esempio:
resource "google_composer_environment" "example_environment" {
provider = google-beta
name = "example_environment"
region = "us-central1"
config {
// Other environment parameters
master_authorized_networks_config {
enabled = false
}
}
}