Cloud Composer 1 | Cloud Composer 2 | Cloud Composer 3
Vous trouverez sur cette page des informations sur les environnements Cloud Composer d'adresse IP privée.
Pour les environnements d'adresse IP privée, Cloud Composer n'attribue que des adresses IP privées (RFC 1918) aux VM Cloud SQL et Google Kubernetes Engine gérées de votre environnement, ce qui évite tout accès entrant à ces VM gérées depuis l'Internet public. Vous pouvez également avoir recours à des adresses IP publiques utilisées en mode privé et à l'agent de masquage d'adresses IP pour enregistrer l'espace d'adresse IP et utiliser des adresses non RFC 1918.
Par défaut, dans un environnement d'adresse IP privée, les workflows Cloud Composer n'ont pas d'accès Internet sortant. L'accès aux API et aux services Google Cloud n'est pas affecté par le routage via le réseau privé de Google.
Cluster GKE de VPC natif
Lorsque vous créez un environnement, Cloud Composer répartit les ressources de votre environnement entre votre projet client et un projet locataire géré par Google.
Pour un environnement d'adresse IP privée, Cloud Composer crée un cluster GKE de VPC natif pour votre environnement dans le projet client.
Les clusters de VPC natif utilisent le routage d'adresses IP d'alias intégré au réseau VPC, ce qui permet au VPC de gérer le routage des pods. Lorsque vous utilisez des clusters de VPC natif, GKE sélectionne automatiquement une plage secondaire. Pour des exigences de mise en réseau spécifiques, vous pouvez également configurer les plages secondaires pour vos pods et services GKE lorsque vous créez un environnement.
Environnement Cloud Composer d'adresse IP privée
Vous pouvez sélectionner un environnement d'adresse IP privée lors de la création d'un environnement. L'utilisation d'une adresse IP privée signifie que les VM GKE et Cloud SQL de votre environnement ne disposent pas d'adresses IP publiques attribuées et ne communiquent que via le réseau interne de Google.
Lorsque vous créez un environnement IP privé, le cluster GKE Votre environnement est configuré en tant que cluster privé. et l'instance Cloud SQL est configurée pour une adresse IP privée.
Si votre environnement d'adresses IP privées utilise Private Service Connect, le réseau VPC de votre projet client et le réseau VPC de votre projet locataire se connectent via un point de terminaison PSC.
Si votre environnement IP privé utilise des appairages de VPC, Cloud Composer crée une connexion d'appairage entre les ressources réseau VPC et le VPC de votre projet locataire réseau.
Lorsque l'adresse IP privée est activée pour votre environnement, le trafic IP entre vos cluster GKE de l'environnement et Cloud SQL de votre base de données est privée, isolant ainsi vos workflows à Internet.
Cette couche de sécurité supplémentaire affecte la manière dont vous vous connectez à ces ressources et dont votre environnement accède aux ressources externes. L'utilisation d'une adresse IP privée n'affecte pas la manière dont vous accédez à Cloud Storage ou à votre serveur Web Airflow sur une adresse IP publique.
Cluster GKE
L'utilisation d'un cluster GKE privé vous permet de contrôler l'accès au plan de contrôle du cluster (les nœuds de cluster ne disposent pas d'adresses IP publiques).
Lorsque vous créez un environnement Cloud Composer d'adresse IP privée, vous indiquez si l'accès au plan de contrôle est public ou non, ainsi que sa plage d'adresses IP. La plage d'adresses IP du plan de contrôle ne doit pas chevaucher un sous-réseau de votre réseau VPC.
Option | Description |
---|---|
Accès public aux points de terminaison désactivé | Pour vous connecter au cluster, vous devez vous connecter à partir d'une VM de la même région et du même réseau VPC de l'environnement d'adresse IP privée.
L'instance de VM à partir de laquelle vous vous connectez doit bénéficier du niveau d'accès
Autoriser l'accès complet à l'ensemble des API Cloud. À partir de cette VM, vous pouvez exécuter des commandes kubectl sur le
un cluster |
Accès public aux points de terminaison activé, réseaux autorisés maître activés | Dans cette configuration, les nœuds de cluster communiquent avec le plan de contrôle via le réseau privé de Google. Les nœuds peuvent accéder aux ressources situées dans votre environnement et dans les réseaux autorisés. Vous pouvez ajouter des réseaux autorisés dans GKE. Sur les réseaux autorisés, vous pouvez exécuter les commandes kubectl sur votre
cluster de l'environnement |
Cloud SQL
Comme l'instance Cloud SQL ne dispose pas d'adresse IP publique, le trafic Cloud SQL au sein de votre environnement d'adresse IP privée n'est pas exposé à l'Internet public.
Cloud Composer configure Cloud SQL pour l'acceptation des connexions entrantes via un accès à un service privé. Vous pouvez accéder à l'instance Cloud SQL sur le réseau VPC en utilisant son adresse IP privée.
Accès à l'Internet public pour vos workflows
Les opérateurs et les opérations nécessitant un accès aux ressources sur des réseaux non autorisés ou sur l'Internet public peuvent échouer. Par exemple, l'opération Dataflow pour Python nécessite une connexion Internet publique pour télécharger Apache Beam à partir de pip.
Cloud NAT permet aux VM sans adresses IP externes et sans clusters GKE privés de se connecter à Internet.
Pour utiliser Cloud NAT, vous devez créer une configuration NAT à l'aide de Cloud Router pour le réseau VPC et la région dans laquelle se trouve votre environnement Cloud Composer d'adresse IP privée.