Cloud Composer 1 è in modalità post-manutenzione. Google non rilascia ulteriori aggiornamenti a Cloud Composer 1, tra cui nuove versioni di Airflow, correzioni di bug e aggiornamenti della sicurezza. Ti consigliamo di pianificare la migrazione a Cloud Composer 2.

Questa pagina è stata tradotta dall'API Cloud Translation.

Configura il networking VPC condiviso

Cloud Composer 1 | Cloud Composer 2 | Cloud Composer 3

Questa pagina descrive i requisiti della rete VPC condiviso e del progetto host per con Cloud Composer.

Un VPC condiviso consente alle organizzazioni di stabilire della definizione del budget e controllo dell'accesso a livello di progetto, consentendo una comunicazione sicura ed efficiente IP privati al di là di questi confini. Nella configurazione del VPC condiviso, Cloud Composer può richiamare servizi ospitati in altri progetti Google Cloud nella stessa organizzazione senza esporre servizi alla rete internet pubblica.

Linee guida per il VPC condiviso

. **Figura 1.** Progetti di servizio e host per Cloud Composer

Il VPC condiviso richiede che tu designi un progetto host a cui le reti e le subnet appartengono a un progetto di servizio, che è collegato progetto host. Quando Cloud Composer partecipa a un VPC condiviso, l'ambiente Cloud Composer è nel progetto di servizio.
Per configurare un VPC condiviso, seleziona i seguenti intervalli IP nel progetto host:
- Intervallo IP principale della subnet utilizzata dai nodi GKE che Cloud Composer utilizza come livello di Compute Engine.
- Intervallo IP secondario per i servizi GKE.
- Intervallo IP secondario per i pod GKE.
Gli intervalli IP secondari non possono sovrapporsi a nessun altro intervallo secondario in questo VPC.
Assicurati che gli intervalli secondari siano abbastanza grandi adeguare le dimensioni del cluster e la scalabilità del tuo ambiente.

Consulta la pagina relativa alla creazione di un cluster nativo di VPC per le linee guida su e configurare intervalli secondari per i pod servizi.

Attenzione: puoi creare intervalli secondari gestiti dall'utente con valori di maschera fino a /28. Questo fornisce un intervallo con solo 16 indirizzi IP, che non è sufficiente per i pod del cluster dell'ambiente. Per in un ambiente Cloud Composer, l'intervallo minimo consigliato per i pod è /23. Questo intervallo può supporta un solo ambiente di piccole dimensioni con un unico scheduler e tre worker. L'intervallo minimo non consente di fare lo scale up dell'ambiente in un secondo momento o utilizzare lo stesso intervallo per più di un encoder-decoder. Valuta la possibilità di utilizzare un intervallo più ampio (meno di /23). Devi e utilizzare almeno un intervallo /27 per i servizi. Intervallo 172.17.0.0/16 è prenotato in Cloud SQL.
L'intervallo di indirizzi principali della subnet deve supportare la crescita prevista e tenere conto indirizzi IP inutilizzabili.
Se utilizzi l'agente di mascheramento IP e la configurazione dell'IP privato per i tuoi ambienti, aggiungi gli intervalli IP di nodi e pod alla sezione nonMasqueradeCIDRs di il ip-masq-agent ConfigMap. Per ulteriori informazioni, vedi Configurazione di un agente di mascheramento IP.

preparazione

Trova i seguenti ID e numeri di progetto:
- Progetto host: il progetto che contiene la rete VPC condiviso.
- Progetto di servizio: il progetto che contiene dell'ambiente Cloud Composer.
Prepara l'organizzazione.
Abilita l'API GKE in dai tuoi progetti host e di servizio.
Se crei un ambiente nel progetto di servizio utilizzando Google Cloud, il tuo account deve avere l'autorizzazione compute.subnetworks.use nel progetto host. In caso contrario, l'elenco delle subnet disponibili non contiene subnet. del progetto host. Se crei un ambiente utilizzando gcloud, API, o Terraform, il tuo account non ha bisogno di questa autorizzazione aggiuntiva.

configura il progetto di servizio

Se non sono mai stati creati ambienti Cloud Composer nel servizio del progetto, quindi esegui il provisioning dell'account dell'agente di servizio Composer nel progetto di servizio:

gcloud beta services identity create --service=composer.googleapis.com`

Configura il progetto host

Configura il progetto host come descritto ulteriormente.

(IP privato) Abilita accesso privato Google

Se prevedi di utilizzare ambienti IP privati, quindi abilita l'accesso privato Google per la subnet nell'host progetto. Puoi farlo nel passaggio successivo, quando configuri il networking le risorse per una subnet nuova o già esistente.

Se prevedi di utilizzare ambienti IP pubblici, ti consigliamo comunque abilitazione dell'accesso privato Google per la subnet nell'host progetto. Se scegli di non utilizzare l'accesso privato Google, assicurati di avere non bloccando il traffico che altrimenti La regola firewall di autorizzazione in uscita IPv4 implicita potrebbe consentire. Questa operazione è necessaria per raggiungere correttamente *.googleapis.com endpoint.

Configura le risorse di networking

Scegli una delle seguenti opzioni per allocare e configurare il networking Google Cloud. Per ogni opzione, devi assegnare un nome agli intervalli IP secondari per i pod e servizi.

Opzione 1. Crea una nuova rete VPC, una nuova subnet e due intervalli IP secondari.
- Quando crei la subnet, utilizza l'intervallo IP principale seguente le linee guida.
- Quando definisci la subnet, definisci due intervalli IP secondari per i pod i servizi di machine learning.
Opzione 2. Crea una subnet e due intervalli IP secondari in un VPC esistente.
- Quando crei la subnet, utilizza l'intervallo IP principale rispettino le linee guida.
- Quando definisci la subnet, definisci due intervalli IP secondari per i pod e servizi.
Opzione 3. Crea due intervalli IP secondari in una subnet e una rete VPC esistenti.
- Definisci due intervalli IP secondari per pod e servizi le linee guida. Evita nome e intervallo IP sono in conflitto con intervalli secondari esistenti.

Configura un VPC condiviso e collega il progetto di servizio

Se necessario, configura il VPC condiviso. Se hai già configurato un VPC condiviso, vai al passaggio successivo.
Collega il progetto di servizio, che per ospitare gli ambienti Cloud Composer.

Quando colleghi un progetto, lascia le autorizzazioni di rete VPC predefinite in funzione.

Concedi le autorizzazioni all'account dell'agente di servizio Composer

Nel progetto host:

Modifica le autorizzazioni per l'account dell'agente di servizio Composer, service-SERVICE_PROJECT_NUMBER@cloudcomposer-accounts.iam.gserviceaccount.com)
Per questo account, aggiungi un altro ruolo a livello di progetto:
- Per gli ambienti IP privati, aggiungi il ruolo Composer Shared VPC Agent.
- Per gli ambienti IP pubblici, aggiungi il ruolo Compute Network User.

Concedi le autorizzazioni all'account dell'agente di servizio API di Google

Nel progetto host:

Modificare le autorizzazioni per l'account dell'agente di servizio API di Google. SERVICE_PROJECT_NUMBER@cloudservices.gserviceaccount.com.
Aggiungi un altro ruolo, Utente di rete Compute (compute.networkUser) a livello di progetto. Si tratta di un requisito per i gruppi di istanze gestite utilizzati con il VPC condiviso poiché questo tipo di account di servizio esegue attività come per la creazione di contenuti.

Modifica le autorizzazioni per gli account di servizio GKE

Nel progetto host, modifica le autorizzazioni per GKE account di servizio, service-SERVICE_PROJECT_NUMBER@container-engine-robot.iam.gserviceaccount.com.

Per ogni account di servizio, aggiungi un altro ruolo, compute.networkUser utilizzando uno dei le seguenti opzioni:

Concedi questo ruolo a livello di subnet per consentire a un account di servizio di configurare Peering VPC richiesti da Cloud Composer. In questo caso, specifica la subnet che deve essere utilizzata dall'ambiente, poiché potrebbe non disporre delle autorizzazioni per trovare la subnet all'interno in rete.
Concedi questo ruolo a livello di progetto per l'intero progetto host. In questo nel caso specifico, l'account di servizio GKE del progetto di servizio le autorizzazioni per utilizzare qualsiasi subnet nel progetto host.

Modifica le autorizzazioni per l'account di servizio GKE del progetto di servizio

Nel progetto host, modifica le autorizzazioni per Account di servizio GKE del progetto di servizio.

Per questo account aggiungi un altro ruolo a livello di progetto Utente agente di servizio host Kubernetes Engine (roles/container.hostServiceAgentUser).

Ciò consente all'account di servizio GKE del progetto di servizio di usa l'account di servizio GKE del progetto host per configurare di risorse di rete condivise.

(IP privato, facoltativo) Configura le regole del firewall e la connettività ai domini Google

In una configurazione VPC condiviso con ambienti IP privati, come opzione, ti consigliamo di indirizzare tutto il traffico alle API e ai servizi Google diversi indirizzi IP che appartengono al dominio private.googleapis.com e e configurare le regole firewall corrispondenti. In questa configurazione, accede alle API e ai servizi Google solo tramite indirizzi IP instradabile dall'interno di Google Cloud. Se la configurazione del VPC condiviso utilizza Controlli di servizio VPC, quindi instrada il traffico attraverso restricted.googleapis.com .

Se la configurazione del VPC condiviso utilizza ambienti IP privati:

(Facoltativo) Configura la connettività alle API e ai servizi Google.
(Facoltativo) Configura le regole del firewall.

Se la configurazione del VPC condiviso utilizza Controlli di servizio VPC, utilizza istruzioni per gli ambienti con Controlli di servizio VPC:

Conclusione

Hai completato la configurazione della rete VPC condiviso per il servizio e l'host in modo programmatico a gestire i progetti.

Ora puoi creare nuovi ambienti nel progetto di servizio che utilizzano alla rete VPC del progetto.

Passaggi successivi

Crea un ambiente Cloud Composer e fornisci la rete e la subnet del progetto host come parametri di configurazione.