비공개 IP 네트워킹 구성

Cloud Composer 1 | Cloud Composer 2

이 페이지에서는 비공개 IP 환경에 대한 Google Cloud 프로젝트 네트워킹을 구성하는 방법을 설명합니다.

비공개 IP 환경의 경우 Cloud Composer는 개발자 환경의 관리형 Google Kubernetes Engine과 Cloud SQL VM에 비공개 IP(RFC 1918) 주소만 할당합니다.

옵션으로 비공개로 사용되는 공개 IP 주소를 사용하여 IP 주소 공간을 절약할 수도 있습니다.

개발자 환경의 리소스에 연결하는 방법에 대한 자세한 내용은 비공개 IP를 참조하세요.

시작하기 전에

환경을 만들 수 있는 적절한 사용자 및 서비스 계정 권한이 있는지 확인합니다.

1단계: 네트워크 요구사항 확인

프로젝트의 VPC 네트워크가 다음 요구사항을 충족하는지 확인합니다.

  • 비공개 IP 블록 충돌이 없는지 확인합니다. VPC 네트워크와 설정된 VPC 피어에 Google 관리 테넌트 프로젝트의 VPC 네트워크와 겹치는 IP 블록이 있으면 Cloud Composer가 환경을 만들 수 없습니다. 각 리전에서 사용되는 기본값은 기본 IP 범위 표Cloud Composer 네트워크 IP 범위 열을 참조하세요.

  • Cloud Composer GKE 포드 및 서비스에 충분한 보조 IP 범위가 있는지 확인합니다. GKE는 IP 별칭 지정을 위한 보조 IP 범위를 검색합니다. GKE가 범위를 찾을 수 없으면 Cloud Composer가 환경을 만들 수 없습니다.

  • VPC 네트워크의 VPC 피어링 연결 수가 25개를 초과하지 않는지 확인합니다. 다음 사항을 고려하세요.

    • 만들 수 있는 비공개 IP Cloud Composer 환경의 최대 개수는 VPC 네트워크에 있는 기존 VPC 피어링 연결 수에 따라 달라집니다.
    • Cloud Composer는 각 비공개 IP 환경에 테넌트 프로젝트 네트워크에 대한 피어링 연결을 하나 만듭니다.
    • 환경이 VPC 네트워크에 있는 다른 환경과 다른 영역에 있으면 비공개 GKE 클러스터가 또 다른 VPC 피어링 연결을 만듭니다.
    • VPC 네트워크의 모든 환경이 동일한 영역에 있는 경우 Cloud Composer가 지원할 수 있는 비공개 IP 환경의 최대 개수는 23입니다.
    • VPC 네트워크의 모든 환경이 서로 다른 영역에 있으면 비공개 IP 환경의 최대 개수가 12입니다.
  • 서브네트워크의 보조 범위 수가 30개를 초과하지 않는지 확인합니다. 다음 사항을 고려하세요.

    • 비공개 IP 환경의 GKE 클러스터는 서브네트워크에 보조 범위 2개를 만듭니다. 같은 VPC 네트워크의 동일한 리전에 서브네트워크를 여러 개 만들 수 있습니다.
    • 지원되는 보조 범위 최대 수는 30개입니다. 각 비공개 IP 환경에는 Cloud Composer GKE 포드와 서비스용 보조 범위 2개가 필요하므로 각 서브네트워크는 비공개 IP 환경을 최대 15개까지 지원합니다.

2단계: 네트워크, 서브네트워크, 네트워크 범위 선택

비공개 IP 환경의 네트워크 범위를 선택하거나 기본 범위를 사용합니다. 나중에 비공개 IP 환경을 만들 때 이러한 네트워크 범위를 사용합니다.

비공개 IP 환경을 만들려면 다음 정보가 필요합니다.

  • VPC 네트워크 ID
  • VPC 서브네트워크 ID
  • VPC 서브네트워크의 보조 IP 범위 2개:
    • pod의 보조 IP 범위
    • 서비스의 보조 IP 범위
  • 환경 구성요소의 IP 범위 3개:
    • GKE 제어 영역 IP 범위. GKE 제어 영역의 IP 범위입니다.
    • Cloud Composer 네트워크 IP 범위. Cloud Composer 네트워크의 IP 범위
    • Cloud SQL IP 범위. Cloud SQL 인스턴스의 IP 범위.

각 리전에서 사용되는 기본값은 기본 IP 범위 표를 참조하세요.

기본 IP 범위

리전 GKE 제어 영역 IP 범위 Cloud Composer 네트워크 IP 범위 Cloud SQL IP 범위
asia-east2 172.16.0.0/23 172.31.255.0/24 10.0.0.0/12
asia-northeast1 172.16.2.0/23 172.31.254.0/24 10.0.0.0/12
asia-northeast2 172.16.32.0/23 172.31.239.0/24 10.0.0.0/12
asia-northeast3 172.16.30.0/23 172.31.240.0/24 10.0.0.0/12
asia-south1 172.16.4.0/23 172.31.253.0/24 10.0.0.0/12
asia-southeast1 172.16.40.0/23 172.31.235.0/24 10.0.0.0/12
australia-southeast1 172.16.6.0/23 172.31.252.0/24 10.0.0.0/12
europe-west1 172.16.8.0/23 172.31.251.0/24 10.0.0.0/12
europe-west2 172.16.10.0/23 172.31.250.0/24 10.0.0.0/12
europe-west3 172.16.12.0/23 172.31.249.0/24 10.0.0.0/12
europe-west6 172.16.14.0/23 172.31.248.0/24 10.0.0.0/12
europe-central2 172.16.36.0/23 172.31.237.0/24 10.0.0.0/12
northamerica-northeast1 172.16.16.0/23 172.31.247.0/24 10.0.0.0/12
southamerica-east1 172.16.18.0/23 172.31.246.0/24 10.0.0.0/12
us-central1 172.16.20.0/23 172.31.245.0/24 10.0.0.0/12
us-east1 172.16.22.0/23 172.31.244.0/24 10.0.0.0/12
us-east4 172.16.24.0/23 172.31.243.0/24 10.0.0.0/12
us-west1 172.16.38.0/23 172.31.236.0/24 10.0.0.0/12
us-west2 172.16.34.0/23 172.31.238.0/24 10.0.0.0/12
us-west3 172.16.26.0/23 172.31.242.0/24 10.0.0.0/12
us-west4 172.16.28.0/23 172.31.241.0/24 10.0.0.0/12

3단계: 방화벽 규칙 구성

비공개 IP 환경의 트래픽이 필요한 대상에 도달할 수 있도록 VPC 네트워크를 구성합니다.

  1. Google Cloud Console에서 방화벽 페이지로 이동합니다.

    방화벽으로 이동

  2. 다음 방화벽 규칙을 구성합니다.

    • GKE 노드 IP 범위에서 모든 대상(0.0.0.0/0), TCP/UDP 포트 53으로 이그레스 허용
    • GKE 노드 IP 범위에서 GKE 노드 IP 범위, 모든 포트로 이그레스 허용
    • GKE 노드 IP 범위에서 GKE 포드 IP 범위, 모든 포트로 이그레스 허용
    • GKE 노드 IP 범위에서 GKE 제어 영역 IP 범위, 모든 포트로 이그레스 허용
    • GCP 상태 점검 130.211.0.0/22, 35.191.0.0/16에서 GKE 노드 IP 범위, TCP 포트 80 및 443으로 인그레스 허용
    • GKE 노드 IP 범위에서 GCP 상태 점검 130.211.0.0/22, 35.191.0.0/16, TCP 포트 80 및 443으로 이그레스 허용
    • GKE 노드 IP 범위에서 Cloud Composer 네트워크 IP 범위, TCP 포트 3306, 3307로 이그레스 허용

    VPC 네트워크의 규칙을 확인, 추가, 업데이트하는 방법을 알아보려면 방화벽 규칙 사용을 참조하세요.

VPC 기반 구성

Cloud Composer는 환경에서 VPC 기반 GKE 클러스터를 지원합니다.

환경을 만들비공개 IP를 사용 설정하지 않고 별칭 IP를 사용하는 VPC 기반을 사용 설정하고 IP 할당과 같은 네트워킹을 구성할 수 있습니다.

Airflow 태스크가 비공개 IP를 통해 연결 가능한 다른 VM과 통신하려면 VPC 기반 클러스터가 필요합니다. 따라서 비공개 IP 환경을 구성하려면 VPC 기반도 사용 설정해야 합니다.