Privates IP-Netzwerk konfigurieren

Cloud Composer 1 Cloud Composer 2

Auf dieser Seite finden Sie Informationen zum Konfigurieren Ihres Google Cloud-Projektnetzwerks für private IP-Umgebungen.

Bei privaten IP-Umgebungen weist Cloud Composer den verwalteten Google Kubernetes Engine- und Cloud SQL-VMs in der Umgebung nur private IP-Adressen (RFC 1918) zu.

Sie können auch privat verwendete öffentliche IP-Adressen und den IP-Masquerade-Agent verwenden, um den IP-Adressraum zu speichern und Adressen außerhalb von RFC 1918 zu verwenden.

Informationen zum Herstellen einer Verbindung zu Ressourcen in der Umgebung finden Sie unter Private IP-Umgebung in Cloud Composer.

Hinweis

Prüfen Sie, ob Sie über die entsprechenden Nutzer- und Dienstkonto-Berechtigungen zum Erstellen einer Umgebung haben.

Schritt 1: Netzwerkanforderungen prüfen

Überprüfen Sie, ob das VPC-Netzwerk des Projekts die folgenden Anforderungen erfüllt:

  • Achten Sie darauf, dass es keine Konflikte bei privaten IP-Blöcken gibt. Wenn sich IP-Blöcke Ihres VPC-Netzwerks und der zugehörigen erstellten VPC-Peers mit IP-Blöcken im VPC-Netzwerk des von Google verwalteten Mandantenprojekts überschneiden, kann die Umgebung nicht von Cloud Composer erstellt werden. In der Spalte IP-Bereich des Cloud Composer-Netzwerks in der Tabelle der Standard-IP-Bereiche finden Sie die in jeder Region verwendeten Standardwerte.

  • Prüfen Sie, ob es genügend sekundäre IP-Bereiche für die GKE-Pods und -Dienste von Cloud Composer gibt. GKE sucht für das IP-Aliasing nach sekundären IP-Bereichen. Wenn GKE keinen Bereich findet, kann die Umgebung nicht von Cloud Composer erstellt werden.

  • Achten Sie darauf, dass es nicht mehr als 25 VPC-Peering-Verbindungen in Ihrem VPC-Netzwerk gibt. Beachten Sie dabei Folgendes:

    • Die maximal erstellbare Zahl privater IP-Umgebungen hängt von der Anzahl der bereits vorhandenen VPC-Peering-Verbindungen in Ihrem VPC-Netzwerk ab.
    • Cloud Composer erstellt pro privater IP-Umgebung eine Peering-Verbindung für das Netzwerk des Mandantenprojekts.
    • Befindet sich Ihre Umgebung in einer anderen Zone als andere Umgebungen im VPC-Netzwerk, erstellt der private GKE-Cluster eine weitere VPC-Peering-Verbindung.
    • Wenn sich alle Umgebungen im VPC-Netzwerk in derselben Zone befinden, unterstützt Cloud Composer maximal 23 private IP-Umgebungen.
    • Wenn sich alle Umgebungen im VPC-Netzwerk in verschiedenen Zonen befinden, beträgt die maximale Anzahl von privaten IP-Umgebungen 12.
  • Sorgen Sie dafür, dass nicht mehr als 30 sekundäre Bereiche in Ihrem Subnetzwerk vorhanden sind. Beachten Sie dabei Folgendes:

    • Der GKE-Cluster der privaten IP-Umgebung erstellt zwei sekundäre Bereiche im Subnetzwerk. Sie können für dasselbe VPC-Netzwerk mehrere Subnetzwerke in derselben Region erstellen.
    • Es werden maximal 30 sekundäre Bereiche unterstützt. Da für jede private IP-Umgebung zwei sekundäre Bereiche für die GKE-Pods und -Dienste von Cloud Composer benötigt werden, unterstützt jedes Subnetzwerk bis zu 15 private IP-Umgebungen.

Schritt 2: Netzwerk, Subnetzwerk und Netzwerkbereiche wählen

Wählen Sie die Netzwerkbereiche für Ihre private IP-Umgebung aus oder verwenden Sie die Standardbereiche. Sie verwenden diese Netzwerkbereiche später, wenn Sie eine private IP-Umgebung erstellen.

Zum Erstellen einer Private-IP-Umgebung benötigen Sie folgende Informationen:

  • Ihre VPC-Netzwerk-ID
  • Ihre VPC-Subnetzwerk-ID
  • Zwei sekundäre IP-Bereiche in Ihrem VPC-Subnetzwerk:
    • Sekundärer IP-Bereich für Pods
    • Sekundärer IP-Bereich für Dienste
  • Drei IP-Bereiche für die Komponenten der Umgebung:

    • IP-Bereich der GKE-Steuerungsebene. IP-Bereich für die GKE-Steuerungsebene.
    • IP-Bereich des Cloud Composer-Netzwerks. IP-Bereich für das Cloud Composer-Netzwerk
    • Cloud SQL-IP-Bereich IP-Bereich für die Cloud SQL-Instanz.

In der Tabelle mit den Standard-IP-Bereichen finden Sie die in jeder Region verwendeten Standardwerte.

Standard-IP-Bereiche

Region IP-Bereich der GKE-Steuerungsebene IP-Bereich des Cloud Composer-Netzwerks Cloud SQL-IP-Bereich
asia-east2 172.16.0.0/23 172.31.255.0/24 10.0.0.0/12
asia-northeast1 172.16.2.0/23 172.31.254.0/24 10.0.0.0/12
asia-northeast2 172.16.32.0/23 172.31.239.0/24 10.0.0.0/12
asia-northeast3 172.16.30.0/23 172.31.240.0/24 10.0.0.0/12
asia-south1 172.16.4.0/23 172.31.253.0/24 10.0.0.0/12
asia-southeast1 172.16.40.0/23 172.31.235.0/24 10.0.0.0/12
australia-southeast1 172.16.6.0/23 172.31.252.0/24 10.0.0.0/12
europe-west1 172.16.8.0/23 172.31.251.0/24 10.0.0.0/12
europe-west2 172.16.10.0/23 172.31.250.0/24 10.0.0.0/12
europe-west3 172.16.12.0/23 172.31.249.0/24 10.0.0.0/12
europe-west6 172.16.14.0/23 172.31.248.0/24 10.0.0.0/12
europe-central2 172.16.36.0/23 172.31.237.0/24 10.0.0.0/12
northamerica-northeast1 172.16.16.0/23 172.31.247.0/24 10.0.0.0/12
southamerica-east1 172.16.18.0/23 172.31.246.0/24 10.0.0.0/12
us-central1 172.16.20.0/23 172.31.245.0/24 10.0.0.0/12
us-east1 172.16.22.0/23 172.31.244.0/24 10.0.0.0/12
us-east4 172.16.24.0/23 172.31.243.0/24 10.0.0.0/12
us-west1 172.16.38.0/23 172.31.236.0/24 10.0.0.0/12
us-west2 172.16.34.0/23 172.31.238.0/24 10.0.0.0/12
us-west3 172.16.26.0/23 172.31.242.0/24 10.0.0.0/12
us-west4 172.16.28.0/23 172.31.241.0/24 10.0.0.0/12

Schritt 3: Firewallregeln konfigurieren

Konfigurieren Sie Ihr VPC-Netzwerk so, dass Traffic aus Ihrer privaten IP-Umgebung die erforderlichen Ziele erreichen kann.

  1. Rufen Sie in der Google Cloud Console die Seite Firewall auf.

    Zur Firewall

  2. Konfigurieren Sie folgende Firewallregeln:

    • Zulassen Sie ausgehenden Traffic vom GKE-Knoten-IP-Bereich zu einem beliebigen Ziel (0.0.0.0/0), TCP/UDP-Port 53 oder wenn Sie IP-Server-IP-Adressen kennen, erlauben Sie den ausgehenden Traffic vom GKE-Knoten-IP-Bereich zu DNS-IP-Adressen über TCP/UDP-Port 53.
    • Eingehenden und ausgehenden Traffic zwischen dem IP-Bereich des GKE-Knotens und dem IP-Bereich des GKE-Knotens zulassen, alle Ports.
    • Eingehenden und ausgehenden Traffic zwischen dem IP-Bereich des GKE-Knotens und dem IP-Bereich des Pods (alle Ports) zulassen.
    • Eingehenden und ausgehenden Traffic zwischen dem IP-Bereich des GKE-Knotens und dem IP-Bereich der Dienste zulassen (alle Ports).
    • Eingehenden und ausgehenden Traffic zwischen GKE-Pods und IP-Bereichen von Diensten zulassen.
    • Eingehenden und ausgehenden Traffic vom IP-Bereich des GKE-Knotens zum IP-Bereich der GKE-Steuerungsebene zulassen – alle Ports.
    • Lassen Sie eingehenden Traffic von GCP-Systemdiagnosen aus den Bereichen 130.211.0.0/22, 35.191.0.0/16 zum GKE-Knoten-IP-Bereich zu, TCP-Ports 80 und 443.
    • Lassen Sie ausgehenden Traffic vom GKE-Knoten-IP-Bereich zu GCP-Systemdiagnosen aus den Bereichen 130.211.0.0/22, 35.191.0.0/16 zu, TCP-Ports 80 und 443.

    • (Wenn Ihre Umgebung VPC-Peerings verwendet) Wenn Sie ausgehenden Traffic vom GKE-Knoten-IP-Bereich zum IP-Bereich des Cloud Composer-Netzwerks zulassen, werden die TCP-Ports 3306 und 3307 zugelassen.

    • (Wenn Ihre Umgebung Private Service Connect verwendet) Geben Sie den IP-Bereich von GKE-Knoten zum IP-Bereich der Cloud Composer-Verbindung zurück, um die TCP-Ports 3306 und 3307 zuzulassen.

    Unter Firewallregeln verwenden erfahren Sie, wie Sie Regeln für VPC-Netzwerke prüfen, hinzufügen und aktualisieren. Verwenden Sie das Konnektivitätstool, um die Verbindung zwischen den oben genannten IP-Bereichen zu prüfen.

Native VPC-Konfiguration

Cloud Composer unterstützt VPC-native GKE-Cluster in Ihrer Umgebung.

Beim Erstellen der Umgebung können Sie "VPC-nativ" aktivieren (mithilfe der Alias-IP) und Netzwerke konfigurieren, z. B. eine IP-Zuordnung, ohne die private IP-Umgebung zu aktivieren.

Da ein VPC-nativer Cluster für die Kommunikation von Airflow-Aufgaben mit anderen VMs erforderlich ist, die über private IPs erreichbar sind, müssen Sie beim Konfigurieren einer privaten IP-Umgebung auch "VPC-nativ" aktivieren.