Cloud Composer 3 | Cloud Composer 2 | Cloud Composer 1
En esta página se proporciona información sobre cómo configurar la red de tu proyecto para entornos de IP privada. Google Cloud
En los entornos de IP privada, Cloud Composer solo asigna direcciones IP privadas (RFC 1918) a las VMs de Google Kubernetes Engine y Cloud SQL gestionadas de tu entorno.
También puedes usar direcciones IP públicas usadas de forma privada y el agente de enmascaramiento de IP para ahorrar espacio de direcciones IP y usar direcciones que no sean RFC 1918.
Para obtener información sobre cómo conectarse a los recursos de tu entorno, consulta IP privada.
Entornos con Private Service Connect y emparejamientos de VPCs
De forma predeterminada, Cloud Composer 2 usa Private Service Connect, de modo que tus entornos de IP privada se comunican internamente sin usar el peering de VPC, a menos que especifiques lo contrario al crear el entorno.
Te recomendamos que uses entornos con Private Service Connect si no tienes ningún requisito específico para usar entornos con emparejamientos de VPC.
Antes de empezar
- Asegúrate de que tienes los permisos de usuario y de cuenta de servicio adecuados para crear un entorno.
- Comprueba que no se hayan definido políticas de organización incompatibles en tu proyecto.
Comprobar los requisitos de red
Comprueba que la red de VPC de tu proyecto cumpla los siguientes requisitos:
Asegúrate de que no haya conflictos de bloqueo de IP privadas. Si tu red VPC y sus peers de VPC establecidos tienen bloques de IP superpuestos con la red VPC del proyecto de inquilino gestionado por Google, Cloud Composer no podrá crear tu entorno. Consulta la tabla de intervalos de IP predeterminados para ver los valores predeterminados que se usan en cada región.
Asegúrate de que haya suficientes intervalos de IP secundarios para los pods y servicios de GKE de Cloud Composer. GKE busca intervalos de IPs secundarias para el alias de IP. Si GKE no encuentra ningún intervalo, Cloud Composer no podrá crear tu entorno.
Asegúrate de que el número de intervalos secundarios de tu subred no supere los 30. Ten en cuenta lo siguiente:
- El clúster de GKE de tu entorno de IP privada crea dos intervalos secundarios en la subred. Puedes crear varias subredes en la misma región para la misma red de VPC.
- El número máximo de intervalos secundarios admitidos es 30. Cada entorno de IP privada requiere dos intervalos secundarios para los pods y servicios de GKE de Cloud Composer.
Asegúrate de que la red de tu proyecto pueda admitir el límite del número máximo de conexiones a una red de VPC única. El número máximo de entornos de IP privada que puedes crear depende del número de conexiones de emparejamiento entre redes de VPC que ya haya en tu red de VPC.
Cada entorno de IP privada con PSC usa un peering de VPC por entorno. El clúster de GKE de tu entorno crea este emparejamiento de VPC y los clústeres de GKE pueden reutilizar esta conexión. En los entornos de IP privada con PSC, cada ubicación puede admitir un máximo de 75 clústeres privados.
Cada entorno de IP privada con emparejamientos de VPC usa como máximo dos emparejamientos de VPC por entorno. Cloud Composer crea un peering de VPC para la red del proyecto de inquilino. El clúster de GKE de tu entorno crea la segunda interconexión y los clústeres de GKE pueden reutilizar esta conexión.
Elegir una red, una subred y rangos de red
Elige los intervalos de red de tu entorno de IP privada (o usa los predeterminados). Estos intervalos de red se usan más adelante al crear un entorno de IP privada.
Para crear un entorno de IP privada, necesitas la siguiente información:
- ID de tu red de VPC
- El ID de tu subred de VPC
- Dos intervalos de IP secundarios en tu subred de VPC:
- Intervalo de IP secundarias para pods
- Intervalo de IP secundario para servicios
Intervalos de IP de los componentes del entorno:
Si tu entorno usa Private Service Connect:
Intervalo de IPs del plano de control de GKE. Intervalo de IPs del plano de control de GKE.
Si especificas el intervalo de IPs del plano de GKE para un entorno, GKE crea una subred en este intervalo para aprovisionar la dirección IP de comunicación con el plano de control de GKE. De lo contrario, se usará la subred especificada en el intervalo de subred de la conexión de Cloud Composer.
Subred de conexión de Cloud Composer. Intervalo de IP de la subred de conexión de Cloud Composer. Solo puedes especificar un intervalo de dos direcciones IP. Varios entornos de tu proyecto pueden usar este intervalo. De forma predeterminada, este intervalo es la subred del entorno (ID de subred de VPC).
Si tu entorno usa emparejamientos de VPC:
- Intervalo de IPs del plano de control de GKE. Intervalo de IPs del plano de control de GKE.
- Intervalo de direcciones IP de la red de tenants de Cloud Composer. Intervalo de IP de la red del inquilino de Cloud Composer. Esta red aloja el componente de proxy SQL de tu entorno.
Intervalo de IP de Cloud SQL. Intervalo de IPs de la instancia de Cloud SQL.
Consulta la tabla de intervalos de IP predeterminados para ver los valores predeterminados que se usan en cada región.
Intervalos de IP predeterminados
Entornos con Private Service Connect
| Región | Intervalo de IPs del plano de control de GKE |
|---|---|
| africa-south1 | 172.16.64.0/23 |
| asia‑east1 | 172.16.42.0/23 |
| asia‑east2 | 172.16.0.0/23 |
| asia‑northeast1 | 172.16.2.0/23 |
| asia‑northeast2 | 172.16.32.0/23 |
| asia‑northeast3 | 172.16.30.0/23 |
| asia‑south1 | 172.16.4.0/23 |
| asia‑south2 | 172.16.50.0/23 |
| asia‑southeast1 | 172.16.40.0/23 |
| asia-southeast2 | 172.16.44.0/23 |
| australia‑southeast1 | 172.16.6.0/23 |
| australia‑southeast2 | 172.16.56.0/23 |
| europe-central2 | 172.16.36.0/23 |
| europe‑north1 | 172.16.48.0/23 |
| europe-southwest1 | 172.16.58.0/23 |
| europe‑west1 | 172.16.8.0/23 |
| europe-west10 | 172.16.62.0/23 |
| europe-west12 | 172.16.62.0/23 |
| europe‑west2 | 172.16.10.0/23 |
| europe‑west3 | 172.16.12.0/23 |
| europe‑west4 | 172.16.42.0/23 |
| europe-west6 | 172.16.14.0/23 |
| europe-west8 | 172.16.60.0/23 |
| europe-west9 | 172.16.46.0/23 |
| me-central1 | 172.16.58.0/23 |
| me-central2 | 172.16.64.0/23 |
| me-west1 | 172.16.54.0/23 |
| northamerica‑northeast1 | 172.16.16.0/23 |
| northamerica-northeast2 | 172.16.46.0/23 |
| northamerica-south1 | 172.16.68.0/23 |
| southamerica-east1 | 172.16.18.0/23 |
| southamerica-west1 | 172.16.58.0/23 |
| us-central1 | 172.16.20.0/23 |
| us‑east1 | 172.16.22.0/23 |
| us‑east4 | 172.16.24.0/23 |
| us-east5 | 172.16.52.0/23 |
| us-south1 | 172.16.56.0/23 |
| us‑west1 | 172.16.38.0/23 |
| us‑west2 | 172.16.34.0/23 |
| us-west3 | 172.16.26.0/23 |
| us-west4 | 172.16.28.0/23 |
Entornos con emparejamientos de VPC
| Región | Intervalo de IPs del plano de control de GKE | Intervalo de IP de la red de tenant de Cloud Composer | Intervalo de direcciones IP de Cloud SQL |
|---|---|---|---|
| africa-south1 | 172.16.64.0/23 | 172.31.223.0/24 | 10.0.0.0/12 |
| asia‑east1 | 172.16.42.0/23 | 172.31.255.0/24 | 10.0.0.0/12 |
| asia‑east2 | 172.16.0.0/23 | 172.31.255.0/24 | 10.0.0.0/12 |
| asia‑northeast1 | 172.16.2.0/23 | 172.31.254.0/24 | 10.0.0.0/12 |
| asia‑northeast2 | 172.16.32.0/23 | 172.31.239.0/24 | 10.0.0.0/12 |
| asia‑northeast3 | 172.16.30.0/23 | 172.31.240.0/24 | 10.0.0.0/12 |
| asia‑south1 | 172.16.4.0/23 | 172.31.253.0/24 | 10.0.0.0/12 |
| asia‑south2 | 172.16.50.0/23 | 172.31.230.0/24 | 10.0.0.0/12 |
| asia‑southeast1 | 172.16.40.0/23 | 172.31.235.0/24 | 10.0.0.0/12 |
| asia-southeast2 | 172.16.44.0/23 | 172.31.233.0/24 | 10.0.0.0/12 |
| australia‑southeast1 | 172.16.6.0/23 | 172.31.252.0/24 | 10.0.0.0/12 |
| australia‑southeast2 | 172.16.56.0/23 | 172.31.227.0/24 | 10.0.0.0/12 |
| europe-central2 | 172.16.36.0/23 | 172.31.237.0/24 | 10.0.0.0/12 |
| europe‑north1 | 172.16.48.0/23 | 172.31.231.0/24 | 10.0.0.0/12 |
| europe-southwest1 | 172.16.58.0/23 | 172.31.226.0/24 | 10.0.0.0/12 |
| europe‑west1 | 172.16.8.0/23 | 172.31.251.0/24 | 10.0.0.0/12 |
| europe-west10 | 172.16.62.0/23 | 172.31.224.0/24 | 10.0.0.0/12 |
| europe-west12 | 172.16.62.0/23 | 172.31.224.0/24 | 10.0.0.0/12 |
| europe‑west2 | 172.16.10.0/23 | 172.31.250.0/24 | 10.0.0.0/12 |
| europe‑west3 | 172.16.12.0/23 | 172.31.249.0/24 | 10.0.0.0/12 |
| europe‑west4 | 172.16.42.0/23 | 172.31.234.0/24 | 10.0.0.0/12 |
| europe-west6 | 172.16.14.0/23 | 172.31.248.0/24 | 10.0.0.0/12 |
| europe-west8 | 172.16.60.0/23 | 172.31.225.0/24 | 10.0.0.0/12 |
| europe-west9 | 172.16.46.0/23 | 172.31.232.0/24 | 10.0.0.0/12 |
| me-central1 | 172.16.58.0/23 | 172.31.226.0/24 | 10.0.0.0/12 |
| me-central2 | 172.16.64.0/23 | 172.31.223.0/24 | 10.0.0.0/12 |
| me-west1 | 172.16.54.0/23 | 172.31.228.0/24 | 10.0.0.0/12 |
| northamerica‑northeast1 | 172.16.16.0/23 | 172.31.247.0/24 | 10.0.0.0/12 |
| northamerica-northeast2 | 172.16.46.0/23 | 172.31.232.0/24 | 10.0.0.0/12 |
| northamerica-south1 | 172.16.68.0/23 | 172.31.221.0/24 | 10.0.0.0/12 |
| southamerica-east1 | 172.16.18.0/23 | 172.31.246.0/24 | 10.0.0.0/12 |
| southamerica-west1 | 172.16.58.0/23 | 172.31.226.0/24 | 10.0.0.0/12 |
| us-central1 | 172.16.20.0/23 | 172.31.245.0/24 | 10.0.0.0/12 |
| us‑east1 | 172.16.22.0/23 | 172.31.244.0/24 | 10.0.0.0/12 |
| us‑east4 | 172.16.24.0/23 | 172.31.243.0/24 | 10.0.0.0/12 |
| us-east5 | 172.16.52.0/23 | 172.31.229.0/24 | 10.0.0.0/12 |
| us-south1 | 172.16.56.0/23 | 172.31.227.0/24 | 10.0.0.0/12 |
| us‑west1 | 172.16.38.0/23 | 172.31.236.0/24 | 10.0.0.0/12 |
| us‑west2 | 172.16.34.0/23 | 172.31.238.0/24 | 10.0.0.0/12 |
| us-west3 | 172.16.26.0/23 | 172.31.242.0/24 | 10.0.0.0/12 |
| us-west4 | 172.16.28.0/23 | 172.31.241.0/24 | 10.0.0.0/12 |
(Opcional) Configurar la conectividad con las APIs y los servicios de Google
También puedes enrutar todo el tráfico a las APIs y los servicios de Google a través de varias direcciones IP que pertenezcan al dominio private.googleapis.com. En esta configuración, tu entorno accede a las APIs y los servicios de Google solo a través de direcciones IP enrutables desde Google Cloud.
Si tu entorno de IP privada también usa Controles de Servicio de VPC, sigue las instrucciones para entornos con Controles de Servicio de VPC.
Los entornos de Cloud Composer usan los siguientes dominios:
*.googleapis.comse usa para acceder a otros servicios de Google.*.composer.cloud.google.comse usa para que el servidor web de Airflow de tu entorno sea accesible. Esta regla debe aplicarse antes de crear un entorno.- También puedes crear una regla para una región concreta. Para ello, usa
REGION.composer.cloud.google.com. SustituyeREGIONpor la región en la que se encuentra el entorno. Por ejemplo,us-central1.
- También puedes crear una regla para una región concreta. Para ello, usa
(Opcional)
*.composer.googleusercontent.comse usa al acceder al servidor web de Airflow de tu entorno. Esta regla solo es obligatoria si accedes al servidor web de Airflow desde una instancia que se ejecuta en la red VPC. En el resto de los casos, no es necesaria. Un caso habitual de esta regla es cuando quieres llamar a la API REST de Airflow desde la red de VPC.- También puedes crear una regla para un entorno específico. Para ello, usa
ENVIRONMENT_WEB_SERVER_NAME.composer.googleusercontent.com. SustituyeENVIRONMENT_WEB_SERVER_NAMEpor la parte única de la URL de la interfaz de usuario de Airflow de tu entorno. Por ejemplo,bffe6ce6c4304c55acca0e57be23128c-dot-us-central1.
- También puedes crear una regla para un entorno específico. Para ello, usa
*.pkg.devse usa para obtener imágenes de entorno, como al crear o actualizar un entorno.*.gcr.ioGKE requiere conectividad con el dominio de Container Registry, independientemente de la versión de Cloud Composer.
Configura la conectividad con el endpoint private.googleapis.com:
| Dominio | Nombre de DNS | Registro CNAME | Registro A |
|---|---|---|---|
*.googleapis.com
|
googleapis.com. |
Nombre de DNS: *.googleapis.com.Tipo de registro de recursos: CNAMENombre canónico: googleapis.com. |
Tipo de registro de recursos: ADirecciones IPv4: 199.36.153.8, 199.36.153.9, 199.36.153.10, 199.36.153.11
|
*.composer.cloud.google.com
|
composer.cloud.google.com. |
Nombre de DNS: *.composer.cloud.google.com.Tipo de registro de recursos: CNAMENombre canónico: composer.cloud.google.com. |
Tipo de registro de recursos: ADirecciones IPv4: 199.36.153.8, 199.36.153.9, 199.36.153.10, 199.36.153.11
|
*.composer.googleusercontent.com
(opcional, consulta la descripción) |
composer.googleusercontent.com. |
Nombre de DNS: *.composer.googleusercontent.com.Tipo de registro de recursos: CNAMENombre canónico: composer.googleusercontent.com. |
Tipo de registro de recursos: ADirecciones IPv4: 199.36.153.8, 199.36.153.9, 199.36.153.10, 199.36.153.11
|
*.pkg.dev
|
pkg.dev. |
Nombre de DNS: *.pkg.dev.Tipo de registro de recursos: CNAMENombre canónico: pkg.dev. |
Tipo de registro de recursos: ADirecciones IPv4: 199.36.153.8, 199.36.153.9, 199.36.153.10, 199.36.153.11
|
*.gcr.io
|
gcr.io. |
Nombre de DNS: *.gcr.io.Tipo de registro de recursos: CNAMENombre canónico: gcr.io. |
Tipo de registro de recursos: ADirecciones IPv4: 199.36.153.8, 199.36.153.9, 199.36.153.10, 199.36.153.11
|
Para crear una regla de DNS, sigue estos pasos:
Crea una zona DNS y usa Nombre de DNS como nombre de DNS de esta zona.
Ejemplo:
pkg.dev.Añade un conjunto de registros para Registro CNAME.
Ejemplo:
- Nombre de DNS:
*.pkg.dev. - Tipo de registro de recursos:
CNAME - Nombre canónico:
pkg.dev.
- Nombre de DNS:
Añade un conjunto de registros con un registro A:
Ejemplo:
- Tipo de registro de recursos:
A - Direcciones IPv4:
199.36.153.8,199.36.153.9,199.36.153.10,199.36.153.11
- Tipo de registro de recursos:
Para obtener más información, consulta el artículo sobre cómo configurar la conectividad privada en servicios y APIs de Google.
(Opcional) Configurar reglas de cortafuegos
Realiza este paso solo si tu proyecto tiene reglas de cortafuegos no predeterminadas, como reglas que anulan las reglas de cortafuegos implícitas o que modifican las reglas predefinidas de la red predeterminada.
Por ejemplo, Cloud Composer podría no crear un entorno si tienes una regla de firewall que deniega todo el tráfico de salida. Para evitar problemas, define reglas allow selectivas que sigan la lista y tengan una prioridad mayor que la regla deny global.
Configura tu red de VPC para permitir el tráfico de tu entorno:
- Consulta Usar reglas de cortafuegos para saber cómo comprobar, añadir y actualizar reglas de tu red de VPC.
- Usa la herramienta de conectividad para validar la conectividad entre intervalos de IP.
- Puede usar etiquetas de red para limitar aún más el acceso. Puede definir estas etiquetas al crear un entorno.
| Descripción | Dirección | Acción | Origen o destino | Protocolos | Puertos |
|---|---|---|---|---|---|
| DNS | Salida | Permitir | Cualquier destino (0.0.0.0/0) o direcciones IP de servidores DNS |
TCP, UDP | 53 |
| APIs y servicios de Google | Salida | Permitir | Intervalo de direcciones IP del dominio que has elegido para las APIs y los servicios de Google. Consulta las direcciones IP de los dominios predeterminados si usas los valores predeterminados. | TCP | 443 |
| Nodos del clúster del entorno | Salida | Permitir | Intervalo de direcciones IP principales de la subred del entorno | TCP, UDP | todos |
| Pods de clúster del entorno | Salida | Permitir | Intervalo de direcciones IP secundario para los pods de la subred del entorno | TCP, UDP | todos |
| Plano de control del clúster del entorno | Salida | Permitir | Intervalo de IPs del plano de control de GKE | TCP, UDP | todos |
| Si tu entorno usa Private Service Connect, subred de conexión | Salida | Permitir | Intervalo de subred de conexión de Cloud Composer | TCP | 3306, 3307 |
| (Si tu entorno usa emparejamientos de VPC) Red de inquilino | Salida | Permitir | Intervalo de IP de la red de tenant de Cloud Composer | TCP | 3306, 3307 |
Para obtener los intervalos de IPs del clúster del entorno, sigue estos pasos:
Los intervalos de direcciones de pods, servicios y planos de control están disponibles en la página Clústeres del clúster de tu entorno:
En la Google Cloud consola, ve a la página Entornos.
En la lista de entornos, haz clic en el nombre del entorno. Se abrirá la página Detalles del entorno.
Ve a la pestaña Configuración del entorno.
Sigue el enlace Ver los detalles del clúster.
Puedes ver el intervalo de IPs de la red de arrendatario de Cloud Composer del entorno en la pestaña Configuración del entorno.
Puedes ver el ID de la subred del entorno y el ID de la subred de conexión de Cloud Composer en la pestaña Configuración del entorno. Para obtener los intervalos de IP de una subred, ve a la página Redes de VPC y haz clic en el nombre de la red para ver los detalles:
Configurar variables de servidor proxy
Puedes definir las variables de entorno http_proxy y https_proxy en tu entorno. Los clientes web que se ejecutan en contenedores del clúster de tu entorno usan estas variables estándar de Linux para enrutar el tráfico a través de los proxies especificados.
La variable NO_PROXY se define de forma predeterminada como una lista de dominios de Google y localhost para que se excluyan del proxy:
.google.com,.googleapis.com,metadata.google.internal,localhost. Esta configuración permite crear un entorno con las variables de entorno http_proxy
y https_proxy en los casos en los que el proxy no esté configurado para gestionar el tráfico a los servicios de Google.
Siguientes pasos
- Conectar un entorno a una red de VPC
- [Configurar el acceso a Internet al instalar paquetes de PyPI][cc-packages-internet-access]