Cloud Composer 1 | Cloud Composer 2
En esta página, se explica cómo configurar redes autorizadas para tu entorno.
Acerca de las redes autorizadas en Cloud Composer
Las redes autorizadas te permiten especificar rangos de CIDR que pueden acceder al plano de control del clúster de tu entorno mediante HTTPS.
Por ejemplo, ese acceso al clúster de tu entorno es obligatorio en entornos de IP privada para ejecutar comandos de la CLI de Airflow (gcloud composer environments run
). Las redes en las que se originan estas solicitudes deben autorizarse para acceder al plano de control del clúster de tu entorno.
Redes autorizadas en entornos de IP pública y privada
Puedes especificar redes autorizadas para los entornos de IP pública y IP privada.
En entornos de IP privada, puedes configurar redes autorizadas para permitir que un rango determinado de direcciones IP acceda al plano de control del clúster de tu entorno. Por ejemplo, para permitir que ciertos rangos de IP ejecuten comandos de la CLI de Airflow. De forma predeterminada, en los entornos de IP privada, solo puedes ejecutar comandos de la CLI de Airflow desde una VM en la subred de VPC del entorno de IP privada.
En entornos de IP pública, puedes configurar redes autorizadas para restringir el rango de direcciones IP que pueden acceder al plano de control del clúster de tu entorno. De forma predeterminada, en los entornos de IP pública, no hay restricciones en los rangos de IP que puedan ejecutar comandos de la CLI de Airflow.
Antes de comenzar
Solo puedes especificar redes autorizadas con
gcloud
, Terraform y la API de REST.Puedes especificar redes autorizadas cuando creas un entorno o para uno existente.
Crear entornos con redes autorizadas
gcloud
Para crear un entorno con redes autorizadas, usa el argumento --enable-master-authorized-networks
cuando crees un entorno. Luego, proporciona una lista separada por comas de rangos CIDR en el argumento --master-authorized-networks
.
Si quieres especificar redes autorizadas para un entorno de IP privada, sigue estos pasos:
gcloud beta composer environments create ENVIRONMENT_NAME \
--location LOCATION \
--enable-private-environment \
--enable-master-authorized-networks \
--master-authorized-networks AUTHORIZED_NETWORKS_IP_RANGES
Reemplaza lo siguiente:
ENVIRONMENT_NAME
por el nombre del entorno.LOCATION
por la región donde se encuentra el entornoAUTHORIZED_NETWORKS_IP_RANGES
por una lista separada por comas de rangos de direcciones IP en la notación CIDR Estos rangos se agregan como redes autorizadas para el clúster del entorno.
Ejemplo (entorno de IP privada):
gcloud beta composer environments create example-environment \
--location us-central1 \
--enable-private-environment \
--enable-privately-used-public-ips \
--enable-master-authorized-networks \
--master-authorized-networks 192.0.2.0/23,192.0.4.0/23
API
Realiza una solicitud a la API de environments.create
. En el recurso Entorno, especifica los parámetros de configuración para un entorno con redes autorizadas.
Si quieres especificar redes autorizadas para un entorno de IP privada, sigue estos pasos:
// POST https://composer.googleapis.com/v1beta1/{parent=projects/*/locations/*}/environments
{
"name": "ENVIRONMENT_NAME",
"config": {
"privateEnvironmentConfig": {
"enablePrivateEnvironment": true,
},
"masterAuthorizedNetworksConfig": {
"enabled": true,
"cidrBlocks": [
{
"displayName": "AUTHORIZED_NETWORK_NAME",
"cidrBlock": "AUTHORIZED_NETWORK_RANGE"
}
]
}
}
}
Reemplaza lo siguiente:
ENVIRONMENT_NAME
por el nombre del entorno.AUTHORIZED_NETWORK_NAME
por el nombre del rango de IP de red autorizada Este nombre se usará para identificarlo. Este campo es opcional.AUTHORIZED_NETWORK_RANGE
por un rango de direcciones IP en la notación CIDR Este rango se agrega como una red autorizada para el clúster de tu entorno.- Si deseas usar varios rangos de IP, agrega rangos adicionales a
cidrBlocks
.
Ejemplo (entorno de IP privada):
// POST https://composer.googleapis.comv1beta1/{parent=projects/*/locations/*}/environments
{
"name": "example-environment",
"config": {
"privateEnvironmentConfig": {
"enablePrivateEnvironment": true,
},
"masterAuthorizedNetworksConfig": {
"enabled": true,
"cidrBlocks": [
{
"displayName": "example_range_1",
"cidrBlock": "192.0.2.0/23"
},
{
"displayName": "example_range_2",
"cidrBlock": "192.0.4.0/23"
}
]
}
}
}
Terraform
En la vista previa, no se pueden especificar redes autorizadas con Terraform.
Especifica redes autorizadas para un entorno existente
Puedes especificar redes autorizadas para un entorno existente.
gcloud
Para especificar las redes autorizadas, usa el argumento --enable-master-authorized-networks
. Luego, proporciona una lista separada por comas de rangos CIDR en el argumento --master-authorized-networks
.
gcloud beta composer environments update ENVIRONMENT_NAME \
--location LOCATION \
--enable-master-authorized-networks \
--master-authorized-networks AUTHORIZED_NETWORKS_IP_RANGES
Reemplaza lo siguiente:
ENVIRONMENT_NAME
por el nombre del entorno.LOCATION
por la región donde se encuentra el entornoAUTHORIZED_NETWORKS_IP_RANGES
por una lista separada por comas de rangos de direcciones IP en la notación CIDR Estos rangos se agregan como redes autorizadas para el clúster del entorno.
Ejemplo:
gcloud beta composer environments update example-environment \
--location us-central1 \
--enable-master-authorized-networks \
--master-authorized-networks 192.0.2.0/23,192.0.4.0/23
API
Realiza una solicitud a la API de
environments.patch
.En esta solicitud, realiza lo siguiente:
En el parámetro
updateMask
, especifica la máscaraconfig.softwareConfig.masterAuthorizedNetworksConfig
.En el cuerpo de la solicitud, especifica los rangos de CIDR para las redes autorizadas.
"config": {
"masterAuthorizedNetworksConfig": {
"enabled": true,
"cidrBlocks": [
{
"displayName": "AUTHORIZED_NETWORK_NAME",
"cidrBlock": "AUTHORIZED_NETWORK_RANGE"
}
]
}
}
Reemplaza lo siguiente:
AUTHORIZED_NETWORK_NAME
por el nombre del rango de IP de red autorizada Este nombre se usará para identificarlo. Este campo es opcional.AUTHORIZED_NETWORK_RANGE
por un rango de direcciones IP en la notación CIDR Este rango se agrega como una red autorizada para el clúster de tu entorno.- Si deseas usar varios rangos de IP, agrega rangos adicionales a
cidrBlocks
.
Ejemplo:
// PATCH https://composer.googleapis.com/v1beta1/projects/example-project/
// locations/us-central1/environments/example-environment?updateMask=
// config.softwareConfig.masterAuthorizedNetworksConfig
"config": {
"masterAuthorizedNetworksConfig": {
"enabled": true,
"cidrBlocks": [
{
"displayName": "example_range_1",
"cidrBlock": "192.0.2.0/23"
},
{
"displayName": "example_range_2",
"cidrBlock": "192.0.4.0/23"
}
]
}
}
Terraform
En la vista previa, no se pueden especificar redes autorizadas con Terraform.
Inhabilita las redes autorizadas
Puedes inhabilitar las redes autorizadas de un entorno existente de la siguiente manera:
- En los entornos de IP privada, se quita el acceso a los rangos que se agregaron antes como red autorizada.
En los entornos de IP pública, esto quita las restricciones configuradas con anterioridad.
gcloud
Para inhabilitar las redes autorizadas, usa el argumento --disable-master-authorized-networks
.
gcloud beta composer environments update ENVIRONMENT_NAME \
--location LOCATION \
--disable-master-authorized-networks
Reemplaza lo siguiente:
ENVIRONMENT_NAME
por el nombre del entorno.LOCATION
por la región donde se encuentra el entorno
Ejemplo:
gcloud beta composer environments update example-environment \
--location us-central1 \
--disable-master-authorized-networks
API
Realiza una solicitud a la API de
environments.patch
.En esta solicitud, realiza lo siguiente:
En el parámetro
updateMask
, especifica la máscaraconfig.softwareConfig.masterAuthorizedNetworksConfig
.En el cuerpo de la solicitud, especifica
false
en el campoenabled
.
"config": {
"masterAuthorizedNetworksConfig": {
"enabled": false
}
}
Ejemplo:
// PATCH https://composer.googleapis.com/v1beta1/projects/example-project/
// locations/us-central1/environments/example-environment?updateMask=
// config.softwareConfig.masterAuthorizedNetworksConfig
"config": {
"masterAuthorizedNetworksConfig": {
"enabled": false,
}
}
Terraform
En la vista previa, no se pueden especificar redes autorizadas con Terraform.