Cloud Composer 1 处于维护后模式。Google 无法发布 Cloud Composer 1 的进一步更新，包括新版 Airflow、问题修复和安全更新。我们建议您规划迁移到 Cloud Composer 2。

此页面由 Cloud Translation API 翻译。

配置共享 VPC 网络

Cloud Composer 1 |Cloud Composer 2 |Cloud Composer 3

本页面介绍了 Cloud Composer 的共享 VPC 网络和宿主项目要求。

通过共享 VPC，组织可以在项目级层建立预算和访问权限控制边界，并使用专用 IP 跨这些边界进行安全高效的通信。在共享 VPC 配置中，Cloud Composer 可以调用同一组织中其他 Google Cloud 项目中托管的服务，而无需将服务公开给公共互联网。

共享 VPC 的准则

适用于 Cloud Composer 的服务和宿主项目 — **图 1.** 以下各项的服务和宿主项目： Cloud Composer

共享 VPC 要求您指定网络和子网所属的宿主项目以及与该宿主项目关联的服务项目。当 Cloud Composer 参与共享 VPC 时，Cloud Composer 环境位于服务项目中。
如需设置共享 VPC，请在宿主项目中选择以下 IP 范围：
- Cloud Composer 用作其 Compute Engine 层的 GKE 节点所用子网的主要 IP 范围
- GKE 服务的次要 IP 范围
- GKE pod 的次要 IP 范围
次要 IP 范围不能与此 VPC 中的任何其他次要范围重叠。
确保次要范围足以适应集群大小和环境扩缩需求。

请参阅创建 VPC 原生集群，了解有关如何配置 pod 的次要范围和服务的次要范围的准则。

注意：您可以创建用户管理的次要范围，其掩码值最多为 /28。这会生成只有 16 个 IP 地址的范围这对于环境集群的 Pod 而言是不够的。对于 Cloud Composer 环境， Pod 的推荐最小范围是 /23。此范围仅支持一个包含单个调度器和三个工作器的小型环境。最小范围不允许稍后扩大环境规模，或将同一范围用于多个环境环境。建议使用更大的范围（小于 /23）。您必须还至少为服务使用 /27 范围。172.17.0.0/16 范围在 Cloud SQL 中预留。
子网的主要地址范围应该能够满足预期的增长，并考虑到不可用的 IP 地址。
如果您使用 IP 伪装代理和为您的环境配置专用 IP 配置，然后将节点和 Pod 的 IP 地址范围添加到nonMasqueradeCIDRs ip-masq-agent ConfigMap。如需了解详情，请参阅配置 IP 伪装代理。

准备工作

找到以下项目 ID 和项目编号：
- 宿主项目：共享 VPC 网络所属的项目。
- 服务项目：Cloud Composer 环境所属的项目。
让您的组织做好准备。
在宿主项目和服务项目中启用 GKE API。
如果您使用 Google Cloud 控制台，那么您的账号必须在宿主项目中具有 compute.subnetworks.use 权限。否则，可用子网列表不包含宿主项目中的子网。如果您使用 gcloud、API、或 Terraform，则您的账号就不需要此额外的权限。

配置服务项目

如果服务项目中从未创建过 Cloud Composer 环境，请在服务项目中预配 Composer Service Agent 账号：

gcloud beta services identity create --service=composer.googleapis.com`

配置宿主项目

按照下文所述配置宿主项目。

（专用 IP）启用专用 Google 访问权限

如果您打算使用专用 IP 环境，然后为主机中的子网启用专用 Google 访问通道项目。您可以在下一步为新子网或现有子网配置网络资源时执行此操作。

如果您打算使用公共 IP 环境，我们仍建议您使用为主机中的子网启用专用 Google 访问通道项目。如果您选择不使用专用 Google 访问通道，请确保您不会阻止隐式 IPv4 允许出站流量防火墙规则原本会允许的流量。必须执行此操作才能成功访问 *.googleapis.com 端点。

配置网络资源

选择以下选项之一，以分配和配置网络资源。对于每个选项，您必须为 pod 和服务的次要 IP 地址范围命名。

方法 1. 创建一个新的 VPC 网络、子网和两个次要 IP 范围。
- 创建子网时，请按照相关准则使用主要 IP 范围。
- 定义子网时，请为 pod 和服务定义两个次要 IP 范围。
方法 2. 在现有 VPC 中创建子网和两个次要 IP 范围。
- 创建子网时，请按照相关准则使用主要 IP 范围。
- 定义子网时，请为 pod 和服务定义两个次要 IP 范围。
选项 3：在现有子网和 VPC 网络中创建两个次要 IP 范围。
- 按照相关准则为 Pod 和服务定义两个次要 IP 范围。避免名称和 IP 范围与现有次要范围冲突。

设置共享 VPC 并关联服务项目

如果您尚未这样做，请设置共享 VPC。如果您已经设置了共享 VPC，请跳到下一步。
关联服务项目，以用于托管 Cloud Composer 环境。

关联项目时，保留默认的 VPC 网络权限。

向 Composer 服务代理账号授予权限

在宿主项目中：

修改 Composer Service Agent 账号的权限， service-SERVICE_PROJECT_NUMBER@cloudcomposer-accounts.iam.gserviceaccount.com)
对于此账号，请在项目级别添加其他角色：
- 对于专用 IP 环境，请添加 Composer Shared VPC Agent 角色。
- 对于公共 IP 环境，请添加 Compute Network User 角色。

向 Google API 服务代理账号授予权限

在宿主项目中：

拥有 Google API 服务代理账号 SERVICE_PROJECT_NUMBER@cloudservices.gserviceaccount.com 的修改权限。
添加另一个角色，即 Compute Network User (compute.networkUser) 在项目级管理这是一个与共享 VPC 一起使用的代管式实例组的要求因为这种类型的服务账号可执行创建过程。

拥有 GKE 服务账号的修改权限

在宿主项目中，拥有 GKE 服务账号 service-SERVICE_PROJECT_NUMBER@container-engine-robot.iam.gserviceaccount.com 的修改权限。

对于每个服务账号添加其他角色（compute.networkUser）以下选项：

在子网级授予此角色，以允许服务账号设置 Cloud Composer 所需的 VPC 对等互连。在这种情况下，指定环境要使用的子网，因为环境的集群可能无权在网络。
在项目级别为整个宿主项目授予此角色。在本课中，则服务项目的 GKE 服务账号具有使用宿主项目中的任何子网的权限。

拥有服务项目的 GKE 服务账号的修改权限

在宿主项目中，拥有服务项目的 GKE 服务账号的修改权限。

对于此账号，请在项目级再添加一个角色 Kubernetes Engine 主机服务代理用户 (roles/container.hostServiceAgentUser)。

这样，服务项目的 GKE 服务账号就可以使用宿主项目的 GKE 服务账号来配置共享网络资源。

（专用 IP，可选）配置防火墙规则和与 Google 网域的连接

在包含专用 IP 环境的共享 VPC 配置中，您可以选择通过属于 private.googleapis.com 网域的多个 IP 地址将所有流量路由到 Google API 和服务，并配置相应的防火墙规则。在此配置中，您的环境仅通过 IP 地址访问 Google API 和服务可在 Google Cloud 内部路由如果您的共享 VPC 配置使用 VPC Service Controls，然后通过 restricted.googleapis.com 路由流量。

如果您的共享 VPC 配置使用专用 IP 环境：

（可选）配置与 Google API 和服务的连接。
（可选）配置防火墙规则。

如果您的共享 VPC 配置使用 VPC Service Controls，请改用适用于使用 VPC Service Controls 的环境的说明：

总结

您已完成服务和主机的共享 VPC 网络配置项目。

现在，您可以在使用主机的服务项目中创建新环境项目的 VPC 网络

后续步骤

创建 Cloud Composer 环境，并以配置参数的形式提供宿主项目的网络和子网。