Cloud Composer 1 è in modalità post-manutenzione. Google non rilascia ulteriori aggiornamenti a Cloud Composer 1, tra cui nuove versioni di Airflow, correzioni di bug e aggiornamenti della sicurezza. Ti consigliamo di pianificare la migrazione a Cloud Composer 2.

Questa pagina è stata tradotta dall'API Cloud Translation.

Ambienti IP privati

Cloud Composer 1 | Cloud Composer 2 | Cloud Composer 3

Questa pagina fornisce informazioni sugli ambienti Cloud Composer con IP privato.

Per gli ambienti IP privati, Cloud Composer assegna solo IP privato (RFC 1918) alla versione gestita di Google Kubernetes Engine e VM di Cloud SQL nel tuo ambiente, che non consentono l'accesso in entrata e gestire le VM gestite dalla rete internet pubblica. Come opzione, puoi anche utilizzare indirizzi IP pubblici utilizzati privatamente e l'agente di mascheramento IP per salvare l'indirizzo IP e di utilizzare indirizzi non RFC 1918.

Per impostazione predefinita, in un ambiente IP privato, i flussi di lavoro di Cloud Composer non hanno accesso a internet in uscita. Accesso alle API Google Cloud e non è influenzato dal routing sulla rete privata di Google.

Cluster GKE nativo di VPC

Quando crei un ambiente, Cloud Composer distribuisce le risorse del tuo ambiente tra un progetto tenant gestito da Google e il progetto del tuo cliente.

Per un ambiente IP privato, Cloud Composer crea un cluster GKE VPC nativo per il tuo ambiente nel progetto del tuo cliente.

I cluster nativi di VPC utilizzano il routing IP alias creato nella rete VPC, permettendo al VPC e gestire il routing per i pod. Quando utilizzi cluster nativi di VPC, GKE sceglie automaticamente un intervallo secondario. Per specifiche requisiti di rete, puoi anche configurare gli intervalli secondari per i tuoi pod GKE e servizi GKE per la creazione di un ambiente.

Ambiente Cloud Composer con IP privato

Puoi selezionare un ambiente IP privato quando crei un ambiente. L'uso dell'IP privato implica che GKE e Cloud SQL Alle VM nel tuo ambiente non vengono assegnati indirizzi IP pubblici comunicare solo sulla rete interna di Google.

Quando crei un ambiente IP privato, il cluster GKE l'ambiente è configurato come cluster privato, e l'istanza Cloud SQL è configurata per l'IP privato.

Se il tuo ambiente IP privato utilizza Private Service Connect, della rete VPC del progetto del cliente e del progetto tenant La rete VPC si connette tramite un endpoint PSC.

Se il tuo ambiente IP privato utilizza i peering VPC, Cloud Composer crea una connessione in peering tra il progetto del cliente rete VPC e VPC del progetto tenant in ogni rete.

Se l'IP privato è abilitato per il tuo ambiente, il traffico IP tra i tuoi del cluster GKE dell'ambiente e Cloud SQL privato è privato, così isolando i flussi di lavoro dal pubblico internet.

Questo livello aggiuntivo di sicurezza influisce sul modo in cui ti connetti a queste risorse e il modo in cui il tuo ambiente accede alle risorse esterne. Utilizzo dell'IP privato non influisce sulla modalità di accesso a Cloud Storage o al server web Airflow tramite l'IP pubblico.

Cluster GKE

L'utilizzo di un cluster GKE privato consente di controllare l'accesso al piano di controllo del cluster (i nodi cluster non hanno indirizzi IP pubblici).

Quando crei un ambiente Cloud Composer con IP privato, specifichi se l'accesso al piano di controllo sia pubblico e al suo intervallo IP. Il gruppo di controllo l'intervallo IP del piano non deve sovrapporsi ad alcuna subnet nel rete VPC.

Opzione	Descrizione
Accesso agli endpoint pubblico disabilitato	Per connetterti al cluster, devi connettiti da una VM nella stessa regione e nello stesso VPC dell'ambiente IP privato. L'istanza VM da cui ti stai connettendo richiede in Accesso Consenti l'accesso completo a tutte le API Cloud. Da questa VM, puoi eseguire comandi `kubectl` cluster
Accesso agli endpoint pubblico abilitato, reti autorizzate master abilitate	Nel configurazione, i nodi dei cluster comunicano con il piano di controllo rete privata di Google. I nodi possono accedere alle risorse nel tuo ambiente e nelle reti autorizzate. Puoi aggiungi reti autorizzate in con GKE. Sulle reti autorizzate puoi eseguire comandi `kubectl` sul tuo cluster dell'ambiente

Cloud SQL

Poiché l'istanza Cloud SQL non dispone un indirizzo IP pubblico, il traffico Cloud SQL all'interno del tuo IP privato non è esposto alla rete internet pubblica.

Cloud Composer configura Cloud SQL per accettare le richieste in entrata tramite l'accesso privato ai servizi. Puoi accedere ai Istanza Cloud SQL sulla tua rete VPC utilizzando l'IP privato .

Accesso a internet pubblico per i tuoi flussi di lavoro

Operatori e operazioni che richiedono l'accesso a risorse su di rete o sulla rete internet pubblica. Ad esempio, il file Dataflow Python richiede una connessione a internet pubblica per scaricare Apache Beam da pip.

VM consentite senza indirizzi IP esterni e GKE privato per la connessione a internet richiedono Cloud NAT.

Per utilizzare Cloud NAT, crea una configurazione NAT utilizzando il router Cloud per la rete VPC e la regione l'ambiente Cloud Composer con IP privato.