Cloud Composer 1 | Cloud Composer 2
Halaman ini memberikan informasi tentang lingkungan Cloud Composer IP Pribadi.
Untuk lingkungan IP Pribadi, Cloud Composer hanya menetapkan alamat IP pribadi (RFC 1918) ke VM Google Kubernetes Engine dan Cloud SQL terkelola di lingkungan Anda, sehingga tidak ada akses masuk ke VM terkelola tersebut dari internet publik. Sebagai opsi, Anda juga dapat menggunakan alamat IP publik yang digunakan secara pribadi dan agen IP Masquerade untuk menyimpan ruang alamat IP dan menggunakan alamat non-RFC 1918.
Secara default, dalam lingkungan IP Pribadi, alur kerja Cloud Composer tidak memiliki akses internet keluar. Akses ke API dan layanan Google Cloud tidak terpengaruh dengan perutean melalui jaringan pribadi Google.
Cluster GKE native VPC
Saat Anda membuat lingkungan, Cloud Composer mendistribusikan resource lingkungan Anda antara project tenant yang dikelola Google dan project pelanggan Anda.
Untuk lingkungan IP Pribadi, Cloud Composer membuat cluster GKE berbasis VPC untuk lingkungan Anda dalam project pelanggan.
Cluster VPC native menggunakan perutean IP Alias bawaan ke dalam jaringan VPC, yang memungkinkan VPC untuk mengelola perutean untuk pod. Saat Anda menggunakan cluster VPC native, GKE otomatis memilih rentang sekunder. Untuk persyaratan jaringan tertentu, Anda juga dapat mengonfigurasi rentang sekunder untuk pod GKE dan layanan GKE saat membuat lingkungan.
Lingkungan Cloud Composer IP Pribadi
Anda dapat memilih lingkungan IP Pribadi saat membuat lingkungan. Menggunakan IP pribadi berarti VM GKE dan Cloud SQL di lingkungan Anda tidak diberi alamat IP publik dan hanya berkomunikasi melalui jaringan internal Google.
Saat Anda membuat lingkungan IP Pribadi, cluster GKE untuk lingkungan Anda dikonfigurasi sebagai cluster pribadi, dan instance Cloud SQL dikonfigurasi untuk IP pribadi.
Jika lingkungan IP Pribadi Anda menggunakan Private Service Connect, jaringan VPC project pelanggan dan jaringan VPC project tenant Anda akan terhubung melalui endpoint PSC.
Jika lingkungan IP Pribadi Anda menggunakan peering VPC, Cloud Composer akan membuat koneksi peering antara jaringan VPC project pelanggan dan jaringan VPC project tenant Anda.
Dengan mengaktifkan IP pribadi untuk lingkungan Anda, traffic IP antara cluster GKE lingkungan Anda dan database Cloud SQL bersifat pribadi, sehingga mengisolasi alur kerja Anda dari internet publik.
Lapisan keamanan tambahan ini memengaruhi cara Anda terhubung ke resource ini dan cara lingkungan Anda mengakses resource eksternal. Menggunakan IP pribadi tidak memengaruhi cara Anda mengakses Cloud Storage atau server web Airflow Anda melalui IP publik.
Cluster GKE
Dengan cluster GKE pribadi, Anda dapat mengontrol akses ke bidang kontrol cluster (node cluster tidak memiliki alamat IP publik).
Saat membuat lingkungan Cloud Composer IP pribadi, Anda menentukan apakah akses ke bidang kontrol bersifat publik dan rentang IP-nya atau tidak. Rentang IP bidang kontrol tidak boleh tumpang tindih dengan subnetwork apa pun di jaringan VPC Anda.
Opsi | Deskripsi |
---|---|
Akses endpoint publik dinonaktifkan | Untuk terhubung ke cluster, Anda harus terhubung dari VM di region yang sama dan jaringan VPC yang sama di lingkungan IP Pribadi.
Instance VM yang Anda hubungkan memerlukan Cakupan akses
Izinkan akses penuh ke semua Cloud API. Dari VM tersebut, Anda dapat menjalankan perintah kubectl di cluster
lingkungan Anda |
Akses endpoint publik diaktifkan, jaringan yang diizinkan master diaktifkan | Dalam
konfigurasi ini, node cluster berkomunikasi dengan bidang kontrol melalui
jaringan pribadi Google. Node dapat mengakses resource di lingkungan Anda dan dalam jaringan yang diizinkan. Anda dapat
menambahkan jaringan resmi di
GKE. Di jaringan yang diizinkan, Anda dapat menjalankan perintah kubectl di cluster lingkungan Anda |
Cloud SQL
Karena instance Cloud SQL tidak memiliki alamat IP publik, traffic Cloud SQL di dalam lingkungan IP Pribadi Anda tidak akan diekspos ke internet publik.
Cloud Composer mengonfigurasi Cloud SQL untuk menerima koneksi masuk melalui akses layanan pribadi. Anda dapat mengakses instance Cloud SQL di jaringan VPC menggunakan alamat IP pribadinya.
Akses internet publik untuk alur kerja Anda
Operator dan operasi yang memerlukan akses ke resource di jaringan tidak resmi atau di internet publik dapat mengalami kegagalan. Misalnya, operasi Dataflow Python memerlukan koneksi internet publik untuk mendownload Apache Beam dari pip.
Cloud NAT diperlukan agar VM tanpa alamat IP eksternal dan cluster GKE pribadi dapat terhubung ke internet.
Untuk menggunakan Cloud NAT, buat konfigurasi NAT menggunakan Cloud Router untuk jaringan VPC dan region tempat lingkungan Cloud Composer IP pribadi Anda berada.