Cloud Composer 1 è in modalità post-manutenzione. Google non rilascia ulteriori aggiornamenti a Cloud Composer 1, incluse nuove versioni di Airflow, correzioni di bug e aggiornamenti della sicurezza. Ti consigliamo di pianificare la migrazione a Cloud Composer 2.

Questa pagina è stata tradotta dall'API Cloud Translation.

Configurare la rete VPC condivisa

Cloud Composer 1 | Cloud Composer 2 | Cloud Composer 3

Questa pagina descrive i requisiti della rete VPC condiviso e del progetto host per con Cloud Composer.

La rete VPC condivisa consente alle organizzazioni di stabilire confini di budgeting e controllo dell'accesso a livello di progetto, consentendo al contempo una comunicazione sicura ed efficiente utilizzando IP privati all'interno di questi confini. Nella configurazione VPC condiviso, Cloud Composer può richiamare i servizi ospitati in altri progetti Google Cloud della stessa organizzazione senza esporli alla rete internet pubblica.

Linee guida per il VPC condiviso

**Figura 1.** Progetti di servizio e host per Cloud Composer

Il VPC condiviso richiede che tu designi un progetto host a cui le reti e le subnet appartengono a un progetto di servizio, che è collegato progetto host. Quando Cloud Composer partecipa a un VPC condiviso, l'ambiente Cloud Composer si trova nel progetto di servizio.
Per configurare la VPC condivisa, seleziona i seguenti intervalli IP nel progetto host:
- Intervallo IP principale della subnet utilizzata dai nodi GKE che Cloud Composer usa come livello di Compute Engine.
- Intervallo IP secondario per i servizi GKE.
- Intervallo IP secondario per i pod GKE.
Gli intervalli IP secondari non possono sovrapporsi a nessun altro intervallo secondario in questo VPC.
Assicurati che gli intervalli secondari siano sufficientemente grandi da adattarsi alle dimensioni del cluster e al ridimensionamento dell'ambiente.

Consulta la sezione Creazione di un cluster nativo di VPC per le linee guida sulla configurazione degli intervalli secondari per i pod e i servizi.

Attenzione: puoi creare intervalli secondari gestiti dall'utente con valori di maschera fino a /28. Questo fornisce un intervallo con solo 16 indirizzi IP, che non è sufficiente per i pod del cluster dell'ambiente. Per un ambiente Cloud Composer, l'intervallo minimo consigliato per i pod è /23. Questo intervallo può supporta un solo ambiente di piccole dimensioni con un unico scheduler e tre worker. L'intervallo minimo non ti consente di eseguire il ridimensionamento dell'ambiente in un secondo momento o di utilizzare lo stesso intervallo per più ambienti. Valuta la possibilità di utilizzare un intervallo più ampio (meno di /23). Devi e utilizzare almeno un intervallo /27 per i servizi. L'intervallo 172.17.0.0/16 è riservato in Cloud SQL.
L'intervallo di indirizzi principale della subnet deve essere in grado di soddisfare la crescita prevista e tenere conto degli indirizzi IP inutilizzabili.
Se utilizzi l'agente di mascheramento IP e la configurazione dell'IP privato per i tuoi ambienti, aggiungi gli intervalli IP di nodi e pod alla sezione nonMasqueradeCIDRs di il ip-masq-agent ConfigMap. Per ulteriori informazioni, consulta la pagina sulla configurazione di un agente di mascheramento IP.

preparazione

Trova i seguenti ID e numeri di progetto:
- Progetto host: il progetto che contiene la rete VPC condiviso.
- Progetto di servizio: il progetto che contiene l'ambiente Cloud Composer.
Prepara la tua organizzazione.
Abilita l'API GKE in nei tuoi progetti host e di servizio.
Se crei un ambiente nel progetto di servizio utilizzando la console Google Cloud, il tuo account deve disporre dell'autorizzazione compute.subnetworks.use nel progetto host. In caso contrario, l'elenco delle subnet disponibili non contiene le subnet del progetto host. Se crei un ambiente utilizzando gcloud, API o Terraform, il tuo account non ha bisogno di questa autorizzazione aggiuntiva.

Configura il progetto del servizio

Se non sono mai stati creati ambienti Cloud Composer nel servizio del progetto, quindi esegui il provisioning dell'account dell'agente di servizio Composer nel progetto di servizio:

gcloud beta services identity create --service=composer.googleapis.com`

Configura il progetto host

Configura il progetto host come descritto di seguito.

(IP privato) Abilita accesso privato Google

Se prevedi di utilizzare ambienti IP privati, quindi abilita l'accesso privato Google per la subnet nell'host progetto. Puoi farlo nel passaggio successivo, quando configuri le risorse di rete per una subnet nuova o già esistente.

Se prevedi di utilizzare ambienti IP pubblici, ti consigliamo comunque di abilitare l'accesso privato Google per la sottorete nel progetto dell'host. Se scegli di non utilizzare l'accesso privato Google, assicurati di avere non bloccando il traffico che altrimenti La regola firewall di autorizzazione in uscita IPv4 implicita potrebbe consentire. Questo è necessario per raggiungere correttamente gli endpoint *.googleapis.com.

Configura le risorse di rete

Scegli una delle seguenti opzioni per allocare e configurare il networking Google Cloud. Per ogni opzione, devi assegnare un nome agli intervalli IP secondari per i pod e i servizi.

Opzione 1. Crea una nuova rete VPC, una subnet e due intervalli IP secondari.
- Quando crei la subnet, utilizza l'intervallo IP principale seguendo le linee guida.
- Quando definisci la subnet, definisci due intervalli IP secondari per i pod i servizi di machine learning.
Opzione 2. Crea una subnet e due intervalli IP secondari in un VPC esistente.
- Quando crei la subnet, utilizza l'intervallo IP principale rispettino le linee guida.
- Quando definisci la subnet, definisci due intervalli IP secondari per i pod e i servizi.
Opzione 3. Crea due intervalli IP secondari in una subnet e una rete VPC esistenti.
- Definisci due intervalli IP secondari per pod e servizi le linee guida. Evita conflitti di nome e intervallo IP con gli intervalli secondari esistenti.

Configura un VPC condiviso e collega il progetto di servizio

Se non l'hai ancora fatto, configura la VPC condivisa. Se hai già configurato la rete VPC condivisa, vai al passaggio successivo.
Collega il progetto di servizio, che utilizzi per ospitare gli ambienti Cloud Composer.

Quando colleghi un progetto, lascia invariate le autorizzazioni della rete VPC predefinite.

Concedi le autorizzazioni all'account dell'agente di servizio Composer

Nel progetto host:

Modifica le autorizzazioni per l'account agente di servizio Composer, service-SERVICE_PROJECT_NUMBER@cloudcomposer-accounts.iam.gserviceaccount.com
Per questo account, aggiungi un altro ruolo a livello di progetto:
- Per gli ambienti IP privato, aggiungi il ruolo Composer Shared VPC Agent.
- Per gli ambienti IP pubblico, aggiungi il ruolo Compute Network User.

Concedi le autorizzazioni all'account dell'agente di servizio API di Google

Nel progetto host:

Modificare le autorizzazioni per l'account dell'agente di servizio API di Google. SERVICE_PROJECT_NUMBER@cloudservices.gserviceaccount.com.
Aggiungi un altro ruolo, Utente di rete Compute (compute.networkUser) a livello di progetto. Si tratta di un requisito per i gruppi di istanze gestite utilizzati con il VPC condiviso perché questo tipo di account di servizio esegue attività come la creazione di istanze.

Modifica le autorizzazioni per gli account di servizio GKE

Nel progetto host, modifica le autorizzazioni per gli account di servizio GKE.service-SERVICE_PROJECT_NUMBER@container-engine-robot.iam.gserviceaccount.com

Per ogni account di servizio, aggiungi un altro ruolo, compute.networkUser utilizzando uno dei le seguenti opzioni:

Concedi questo ruolo a livello di sottorete per consentire a un account di servizio di configurare i peering VPC richiesti da Cloud Composer. In questo caso, specifica esplicitamente la subnet da utilizzare dall'ambiente, perché il cluster dell'ambiente potrebbe non disporre delle autorizzazioni per trovare la subnet all'interno della rete.
Concedi questo ruolo a livello di progetto per l'intero progetto host. In questo caso, l'account di servizio GKE del progetto di servizio ha le autorizzazioni per utilizzare qualsiasi subnet nel progetto host.

Modifica le autorizzazioni per l'account di servizio GKE del progetto di servizio

Nel progetto host, modifica le autorizzazioni per Account di servizio GKE del progetto di servizio.

Per questo account aggiungi un altro ruolo a livello di progetto Utente agente di servizio host Kubernetes Engine (roles/container.hostServiceAgentUser).

In questo modo, l'account di servizio GKE del progetto di servizio può utilizzare l'account di servizio GKE del progetto host per configurare le risorse di rete condivise.

(IP privato, facoltativo) Configura le regole del firewall e la connettività ai domini Google

In una configurazione VPC condiviso con ambienti IP privati, come opzione, potresti voler instradare tutto il traffico verso le API e i servizi Google tramite diversi indirizzi IP appartenenti al dominio private.googleapis.com e configurare le regole del firewall corrispondenti. In questa configurazione, accede alle API e ai servizi Google solo tramite indirizzi IP instradabile dall'interno di Google Cloud. Se la configurazione del VPC condiviso utilizza Controlli di servizio VPC, quindi instrada il traffico attraverso restricted.googleapis.com .

Se la configurazione del VPC condiviso utilizza ambienti IP privati:

(Facoltativo) Configura la connettività alle API e ai servizi Google.
(Facoltativo) Configura le regole del firewall.

Se la configurazione della VPC condivisa utilizza i Controlli di servizio VPC, segui invece le istruzioni per gli ambienti con i Controlli di servizio VPC:

Conclusione

Hai completato la configurazione della rete VPC condivisa sia per i progetti di servizio che per i progetti host.

Ora puoi creare nuovi ambienti nel progetto di servizio che utilizzano alla rete VPC del progetto.

Passaggi successivi

Crea un ambiente Cloud Composer e fornisci la rete e la sottorete del progetto host come parametri di configurazione.