Cloud Composer 1 è in modalità post-manutenzione. Google non rilascia ulteriori aggiornamenti a Cloud Composer 1, incluse nuove versioni di Airflow, correzioni di bug e aggiornamenti della sicurezza. Ti consigliamo di pianificare la migrazione a Cloud Composer 2.

Questa pagina è stata tradotta dall'API Cloud Translation.

Configurazione dei Controlli di servizio VPC

Cloud Composer 1 | Cloud Composer 2 | Cloud Composer 3

I Controlli di servizio VPC consentono alle organizzazioni di definire un perimetro attorno alle risorse Google Cloud per mitigare i rischi di esfiltrazione dei dati.

Gli ambienti Cloud Composer possono essere dispiacchiati all'interno di un perimetro di servizio. Configurando l'ambiente con i Controlli di servizio VPC, puoi mantenere privati i dati sensibili e usufruire al contempo delle funzionalità di orchestrazione dei flussi di lavoro completamente gestite di Cloud Composer.

Il supporto di Controlli di servizio VPC per Cloud Composer significa che:

Ora Cloud Composer può essere selezionato come servizio protetto all'interno di un perimetro di Controlli di servizio VPC.
Tutte le risorse sottostanti utilizzate da Cloud Composer sono configurate in modo da supportano l'architettura dei Controlli di servizio VPC e ne seguono le regole.

Il deployment di ambienti Cloud Composer con Controlli di servizio VPC consente di:

Rischio ridotto di esfiltrazione di dati.
Protezione contro l'esposizione dei dati a causa di controlli di accesso configurati in modo errato.
Riduzione del rischio di utenti malintenzionati che copiano i dati in siti non autorizzati Risorse Google Cloud o utenti malintenzionati esterni che accedono delle risorse Google Cloud da internet.

di Gemini Advanced.

Server web Airflow in modalità Controlli di servizio VPC

In modalità Controlli di servizio VPC, l'accesso al server web è protetto dalla il perimetro e l'accesso dall'esterno del perimetro è bloccato.

Per consentire l'accesso dall'esterno del perimetro di servizio, configura il livello di accesso in modo appropriato.

Creazione di un perimetro di servizio

Consulta Creazione di un perimetro di servizio per scoprire come creare e configurare i perimetri di servizio. Assicurati di selezionare Cloud Composer come uno dei servizi protetti all'interno del perimetro.

Creazione di ambienti in un perimetro

Sono necessari ulteriori passaggi per eseguire il deployment di Cloud Composer un perimetro. Quando crei l'ambiente Cloud Composer:

Abilita l'API Access Context Manager e l'API Cloud Composer per il tuo progetto. Per riferimento, consulta Attivazione delle API.
Assicurati che il perimetro di servizio contenga i seguenti servizi accessibili da VPC, altrimenti la creazione dell'ambiente potrebbe non riuscire:
- API Cloud Composer (composer.googleapis.com)
- API Compute Engine (compute.googleapis.com)
- API Kubernetes Engine (container.googleapis.com)
- API Container Registry (containerregistry.googleapis.com)
- API Artifact Registry (artifactregistry.googleapis.com)
- API Cloud Storage (storage.googleapis.com)
- API Cloud SQL Admin (sqladmin.googleapis.com)
- API Cloud Logging (logging.googleapis.com)
- API Cloud Monitoring (monitoring.googleapis.com)
- API Cloud Pub/Sub (pubsub.googleapis.com)
- API Security Token Service (sts.googleapis.com)
- API Cloud Resource Manager (cloudresourcemanager.googleapis.com)
- API Service Directory (servicedirectory.googleapis.com)
- API Cloud Key Management Service (cloudkms.googleapis.com), se utilizzi chiavi Cloud KMS o CMEK
- API Secret Manager (secretmanager.googleapis.com), se utilizzi Secret Manager come backend per i segreti
Avviso: in Cloud Composer versione 2.0.*, se includi l'API Cloud Identity-Aware Proxy (iap.googleapis.com) o l'API TCP Identity-Aware Proxy (iaptunnel.googleapis.com) nel tuo perimetro, non è possibile creare ambienti Cloud Composer. Per risolvere il problema, consulta La creazione dell'ambiente non va a buon fine nei progetti con API Identity-Aware Proxy aggiunte al perimetro di Controlli di servizio VPC.
Crea un nuovo ambiente Cloud Composer con IP privato abilitato. Tieni presente che questa impostazione deve essere configurata durante la creazione dell'ambiente.
Per impostazione predefinita, l'accesso all'API e all'interfaccia utente di Airflow è consentito solo all'interno del perimetro di sicurezza. Se vuoi renderlo disponibile al di fuori del perimetro di sicurezza, configura il livello di accesso in modo appropriato, come descritto in Consentire l'accesso alle risorse protette dall'esterno di un perimetro.

Configurazione di ambienti esistenti con Controlli di servizio VPC

Puoi aggiungere al perimetro il progetto contenente il tuo ambiente se:

Hai creato il perimetro come descritto nella sezione precedente.
I tuoi ambienti sono ambienti IP privati.

Installazione dei pacchetti PyPI

Nella configurazione predefinita di VPC Service Controls, Cloud Composer supporta solo l'installazione di pacchetti PyPI da repository privati accessibili dallo spazio di indirizzi IP interno della rete VPC.

Installazione da un repository privato

La configurazione consigliata prevede di impostare un repository PyPI privato, compilare con pacchetti verificati utilizzati dalla tua organizzazione, e configurare Cloud Composer installare le dipendenze Python da un repository privato.

Installazione da un repository pubblico

Repository remoto

Questo è l'approccio consigliato per installare i pacchetti da un repository pubblico.

Per installare pacchetti PyPI da repository esterni allo spazio IP privato: segui questi passaggi:

Crea un Repository remoto di Artifact Registry.
Concedi a questo repository l'accesso alle origini upstream.
Configura Airflow per installare pacchetti da un repository Artifact Registry.

Connessioni esterne

Per installare i pacchetti PyPI da repository esterni allo spazio IP privato, segui questi passaggi:

Configura Cloud NAT per consentire Cloud Composer in esecuzione nello spazio IP privato per connettersi a un indirizzo PyPI esterno repository.
Configura le regole firewall per consentire l'uscita in uscita di connessioni dal cluster Composer al repository.

L'account di servizio utilizzato per il piano dati di Cloud Composer deve avere i seguenti ruoli di autorizzazione: Composer.Worker e iam.serviceAccountUser.

Configurare la connettività con i servizi e le API di Google

In una configurazione di Controlli di servizio VPC, per controllare il traffico di rete, configura l'accesso alle API e ai servizi Google tramite restricted.googleapis.com. Questo dominio blocca l'accesso alle API di Google e che non supportano Controlli di servizio VPC.

Gli ambienti Cloud Composer utilizzano i seguenti domini:

L'app *.googleapis.com viene utilizzata per accedere ad altri servizi Google.
*.composer.cloud.google.com viene utilizzato per rendere il server web Airflow del tuo accessibile all'ambiente di gestione. Questa regola deve essere applicata prima di creare un ambiente.
- In alternativa, puoi creare una regola per una regione specifica. Per farlo, usa REGION.composer.cloud.google.com. Sostituisci REGION con la regione in cui si trova l'ambiente, per ad esempio us-central1.
(Facoltativo) *.composer.googleusercontent.com viene utilizzato per accedere alla il server web Airflow del tuo ambiente. Questa regola è obbligatoria solo se al server web Airflow da un'istanza in esecuzione rete VPC, altrimenti non è richiesta. Uno scenario comune per questa regola è quando vuoi chiamare l'API REST di Airflow dalla rete VPC.

Nota: se il tuo ambiente utilizza Controlli di servizio VPC e un utente possono accedere al perimetro dall'esterno della rete VPC, non è necessaria per accedere alla UI di Airflow.
- In alternativa, puoi creare una regola per un ambiente specifico. Per farlo, usa ENVIRONMENT_WEB_SERVER_NAME.composer.googleusercontent.com. Sostituisci ENVIRONMENT_WEB_SERVER_NAME con la parte univoca dell'URL dell'interfaccia utente di Airflow del tuo ambiente, ad esempio bffe6ce6c4304c55acca0e57be23128c-dot-us-central1.
*.pkg.dev viene utilizzato per ottenere immagini dell'ambiente, ad esempio quando crei o aggiorni un ambiente.
*.gcr.io GKE richiede la connettività al dominio Container Registry indipendentemente dalla versione di Cloud Composer.

Configura la connettività all'endpoint restricted.googleapis.com:

Dominio	Nome DNS	Record CNAME	Record A
`*.googleapis.com`	`googleapis.com.`	Nome DNS: `*.googleapis.com.` Tipo di record di risorse: `CNAME` Nome canonico: `googleapis.com.`	Tipo di record di risorse: `A` Indirizzi IPv4: `199.36.153.4`, `199.36.153.5`, `199.36.153.6`, `199.36.153.7`
`*.composer.cloud.google.com`	`composer.cloud.google.com.`	Nome DNS: `*.composer.cloud.google.com.` Tipo di record di risorse: `CNAME` Nome canonico: `composer.cloud.google.com.`	Tipo di record di risorse: `A` Indirizzi IPv4: `199.36.153.4`, `199.36.153.5`, `199.36.153.6`, `199.36.153.7`
`*.composer.googleusercontent.com` (facoltativo, vedi descrizione)	`composer.googleusercontent.com.`	Nome DNS: `*.composer.googleusercontent.com.` Tipo di record di risorse: `CNAME` Nome canonico: `composer.googleusercontent.com.`	Tipo di record di risorse: `A` Indirizzi IPv4: `199.36.153.4`, `199.36.153.5`, `199.36.153.6`, `199.36.153.7`
`*.pkg.dev`	`pkg.dev.`	Nome DNS: `*.pkg.dev.` Tipo di record di risorse: `CNAME` Nome canonico: `pkg.dev.`	Tipo di record di risorse: `A` Indirizzi IPv4: `199.36.153.4`, `199.36.153.5`, `199.36.153.6`, `199.36.153.7`
`*.gcr.io`	`gcr.io.`	Nome DNS: `*.gcr.io.` Tipo di record di risorse: `CNAME` Nome canonico: `gcr.io.`	Tipo di record di risorse: `A` Indirizzi IPv4: `199.36.153.4`, `199.36.153.5`, `199.36.153.6`, `199.36.153.7`

Per creare una regola DNS:

Crea una nuova zona DNS e utilizza un nome DNS come nome DNS. di questa zona.

Esempio: pkg.dev.
Aggiungi un insieme di record per il record CNAME.

Esempio:
- Nome DNS: *.pkg.dev.
- Tipo di record di risorse: CNAME
- Nome canonico: pkg.dev.
Aggiungi un set di record con un record A:

Esempio:
- Tipo di record di risorse: A
- Indirizzi IPv4: 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7

Per ulteriori informazioni, vedi Configurazione della connettività privata alle API e ai servizi Google.

Configurazione delle regole del firewall

Se il tuo progetto ha regole firewall non predefinite, come regole che hanno la precedenza regole firewall implicite oppure modificare le regole precompilate in la rete predefinita, quindi verifica che le seguenti regole firewall siano configurato.

Ad esempio, Cloud Composer potrebbe non riuscire a creare un ambiente se hai una regola firewall che nega tutto il traffico in uscita. Per evitare problemi, definisci regole allow selettive che seguono l'elenco e hanno una priorità più elevata rispetto alla regola deny globale.

Configura la rete VPC in modo da consentire il traffico dal tuo ambiente:

Consulta Utilizzo delle regole firewall per scoprire come controllare, aggiungere e aggiornare le regole della rete VPC.
Utilizza lo strumento di connettività per convalidare la connettività tra gli intervalli IP.
Puoi utilizzare i tag di rete per limitare ulteriormente l'accesso. Puoi impostare questi tag quando crei un ambiente.

Descrizione	Direzione	Azione	Origine o destinazione	Protocolli	Porte
DNS Configura come descritto in Supporto dei Controlli di servizio VPC per Cloud DNS	-	-	-	-	-
API e servizi Google	In uscita	Consenti	Indirizzi IPv4 di `restricted.googleapis.com` che utilizzi per le API e i servizi Google.	TCP	443
Nodi del cluster dell'ambiente	In uscita	Consenti	Intervallo di indirizzi IP principali della subnet dell'ambiente	TCP, UDP	tutte
Pod del cluster dell'ambiente	In uscita	Consenti	Intervallo di indirizzi IP secondari per i pod nella subnet dell'ambiente	TCP, UDP	tutte
Control plane del cluster dell'ambiente	In uscita	Consenti	Intervallo IP del piano di controllo GKE	TCP, UDP	tutte
(Se il tuo ambiente utilizza Private Service Connect) Subnet di connessione	In uscita	Consenti	Intervallo di subnet di connessione Cloud Composer	TCP	3306, 3307
(Se il tuo ambiente utilizza i peering VPC) Rete del tenant	In uscita	Consenti	Intervallo IP della rete tenant di Cloud Composer	TCP	3306, 3307

Per ottenere gli intervalli IP:

Gli intervalli di indirizzi di pod, servizi e piano di controllo sono disponibili la pagina Cluster del cluster del tuo ambiente:
1. Nella console Google Cloud, vai alla pagina Ambienti.
  
  Vai ad Ambienti
2. Nell'elenco degli ambienti, fai clic sul nome dell'ambiente. Viene visualizzata la pagina Dettagli dell'ambiente.
3. Vai alla scheda Configurazione dell'ambiente.
4. Segui il link per visualizzare i dettagli del cluster.
Puoi vedere l'intervallo IP della rete del tenant Cloud Composer dell'ambiente nella scheda Configurazione dell'ambiente.
Puoi vedere i dati sull'ambiente l'ID subnet e l'ID subnet della connessione Cloud Composer nella scheda Configurazione dell'ambiente. Per ottenere l'IP per una subnet, vai alla pagina Reti VPC e fai clic nome della rete per visualizzare i dettagli:

Vai a Reti VPC

Log di Controlli di servizio VPC

Per risolvere i problemi di creazione dell'ambiente, puoi analizzare i log di controllo generati da Controlli di servizio VPC.

Oltre ad altri messaggi di log, puoi controllare i log per informazioni sugli account servizio cloud-airflow-prod@system.gserviceaccount.com e service-PROJECT_ID@cloudcomposer-accounts.iam.gserviceaccount.com che configurano i componenti dei tuoi ambienti.

Il servizio Cloud Composer utilizza l'account di servizio cloud-airflow-prod@system.gserviceaccount.com per gestire i componenti del progetto del tenant dei tuoi ambienti.

L'account di servizio service-PROJECT_ID@cloudcomposer-accounts.iam.gserviceaccount.com, noto anche come Composer Service Agent Service Account, gestisce i componenti dell'ambiente nei progetti di servizio e host.

Limitazioni

Tutti i vincoli di rete di VPC Service Controls si applicano anche ai tuoi ambienti Cloud Composer. Per maggiori dettagli, consulta la documentazione di VPC Service Controls.

Quando Cloud Composer è in esecuzione all'interno di un perimetro, l'accesso ai repository PyPI pubblici è limitato. Consulta Installare le dipendenze Python per apprendere come installare i moduli PyPI in modalità IP privato.