Cloud Composer 1 | Cloud Composer 2 | Cloud Composer 3
Nesta página, você encontra informações sobre ambientes de IP particular do Cloud Composer.
Para ambientes de IP particular, o Cloud Composer atribui apenas endereços IP particulares (RFC 1918) às VMs gerenciadas do Google Kubernetes Engine e do Cloud SQL no ambiente. Isso não gera acessos de entrada a essas VMs gerenciadas da Internet pública. Como opção, também é possível usar endereços IP públicos de uso particular e o agente de mascaramento de IP para salvar o espaço de endereço IP e usar endereços não RFC 1918.
Por padrão, em um ambiente de IP particular, os fluxos de trabalho do Cloud Composer não têm acesso de saída à Internet. O acesso às APIs e aos serviços do Google Cloud não é afetado pelo roteamento na rede particular do Google.
Cluster do GKE nativo de VPC
Quando você cria um ambiente, o Cloud Composer distribui os recursos dele entre um projeto de locatário gerenciado pelo Google e o de cliente.
Para um ambiente de IP particular, o Cloud Composer cria um cluster do GKE nativo de VPC para seu ambiente no projeto do cliente.
Os clusters nativos de VPC usam o roteamento de IP de alias integrado à rede VPC. Assim, a VPC pode gerenciar o roteamento nos pods. Quando são usados clusters nativos de VPC, o GKE escolhe automaticamente um intervalo secundário. Para requisitos de rede específicos, também é possível configurar os intervalos secundários para os pods e serviços do GKE quando você cria um ambiente.
Ambiente de IP privado do Cloud Composer
Selecione um ambiente de IP particular ao criá-lo. O uso do IP particular significa que as VMs do GKE e do Cloud SQL no seu ambiente não terão endereços IP públicos atribuídos e se comunicarão apenas pela rede interna do Google.
Quando você cria um ambiente de IP privado, o cluster do GKE o ambiente está configurado como um cluster privado; e a instância do Cloud SQL estiver configurada para IP privado.
Se o ambiente de IP privado usa o Private Service Connect, da rede VPC do projeto do cliente e do projeto de locatário Conexão de rede VPC por um endpoint PSC.
Se o ambiente de IP privado usar peerings de VPC, o Cloud Composer cria uma conexão de peering entre a rede a rede VPC e a VPC do projeto de locatário em uma rede VPC.
Com o IP particular ativado no ambiente, o tráfego IP entre o cluster do GKE e o banco de dados do Cloud SQL do ambiente é particular, isolando os fluxos de trabalho da Internet pública.
Essa camada extra de segurança afeta a maneira como você se conecta aos recursos e como o ambiente acessa recursos externos. O uso do IP privado não afeta o modo como você acessa o Cloud Storage ou o servidor da Web do Airflow pelo IP público.
Cluster do GKE
Com um cluster particular do GKE, é possível controlar o acesso ao plano de controle do cluster. Os nós do cluster não têm endereços IP públicos.
Ao criar um ambiente de IP particular do Cloud Composer, você especifica se o acesso ao plano de controle é ou não é público e o intervalo de IPs dele. O intervalo de IP do plano de controle não pode se sobrepor a nenhuma sub-rede na sua rede VPC.
Opção | Descrição |
---|---|
Acesso ao endpoint público desativado | Para se conectar ao cluster, você precisa
conectar a partir de uma VM na mesma região e na mesma rede VPC
do ambiente de IP particular.
A instância de VM que você usa para se conectar requer
o escopo de acesso
Permitir acesso total a todas as APIs do Cloud. Nessa VM, é possível executar comandos kubectl nos
cluster |
Acesso ao endpoint público ativado, redes mestres autorizadas ativadas | Nessa
configuração, os nós do cluster se comunicam com o plano de controle na
rede particular do Google. Os nós podem acessar recursos no ambiente
e em redes autorizadas. É possível
adicionar redes autorizadas no
GKE. Em redes autorizadas, é possível executar comandos kubectl no cluster do seu ambiente. |
Cloud SQL
Como a instância do Cloud SQL não tem um endereço IP público, o tráfego do Cloud SQL no ambiente de IP particular não é exposto à Internet pública.
O Cloud Composer configura o Cloud SQL para aceitar conexões de entrada por meio de acesso particular a serviços. Use o endereço IP particular para acessar a instância do Cloud SQL na rede VPC.
Acesso à Internet pública em fluxos de trabalho
Os operadores e as operações que exigem acesso a recursos em redes não autorizadas ou na Internet pública podem falhar. Por exemplo, a operação Python do Dataflow requer uma conexão com a Internet pública para fazer o download do Apache Beam do pip.
Para permitir que VMs sem endereços IP externos e clusters particulares do GKE se conectem à Internet, o Cloud NAT é necessário.
Para usar o Cloud NAT, crie uma configuração NAT usando o Cloud Router para a rede e a região VPC em que o ambiente de IP particular do Cloud Composer está.