A 15 de setembro de 2026, todos os ambientes do Cloud Composer 1 e do Cloud Composer 2 versão 2.0.x vão atingir o fim da vida útil planeado e não vai poder usá-los. Recomendamos que planeie a migração para o Cloud Composer 3.

Esta página foi traduzida pela API Cloud Translation.

Ambientes de IP privado

Cloud Composer 3 | Cloud Composer 2 | Cloud Composer 1

Esta página fornece informações sobre os ambientes do Cloud Composer de IP privado.

Para ambientes de IP privado, o Cloud Composer atribui apenas endereços IP privados (RFC 1918) às VMs do Google Kubernetes Engine e do Cloud SQL geridas no seu ambiente, o que resulta na ausência de acesso de entrada a essas VMs geridas a partir da Internet pública. Em alternativa, também pode usar endereços IP públicos usados de forma privada e o agente de máscara de IP para poupar espaço de endereços IP e usar endereços não RFC 1918.

Por predefinição, num ambiente de IP privado, os fluxos de trabalho do Cloud Composer não têm acesso à Internet de saída. O acesso às Google Cloud APIs e aos serviços não é afetado pelo encaminhamento através da rede privada da Google.

Cluster do GKE nativo de VPC

Quando cria um ambiente, o Cloud Composer distribui os recursos do seu ambiente entre um projeto de inquilino gerido pela Google e o seu projeto de cliente.

Para um ambiente de IP privado, o Cloud Composer cria um cluster do GKE nativo da VPC para o seu ambiente no projeto do cliente.

Os clusters nativos de VPC usam o encaminhamento de IP alternativo incorporado na rede VPC, o que permite à VPC gerir o encaminhamento para pods. Quando usa clusters nativos da VPC, o GKE escolhe automaticamente um intervalo secundário. Para requisitos de rede específicos, também pode configurar os intervalos secundários para os seus pods do GKE e serviços do GKE quando cria um ambiente.

Ambiente do Cloud Composer de IP privado

Pode selecionar um ambiente de IP privado quando cria um ambiente. A utilização de um IP privado significa que às VMs do GKE e do Cloud SQL no seu ambiente não são atribuídos endereços IP públicos e que comunicam apenas através da rede interna da Google.

Quando cria um ambiente de IP privado, o cluster do GKE para o seu ambiente é configurado como um cluster privado e a instância do Cloud SQL é configurada para IP privado.

Se o seu ambiente de IP privado usar o Private Service Connect, a rede VPC do projeto do cliente e a rede VPC do projeto do inquilino estabelecem ligação através de um ponto final do PSC.

Se o seu ambiente de IP privado usar interligações de VPC, o Cloud Composer cria uma ligação de interligação entre a rede VPC do seu projeto de cliente e a rede VPC do seu projeto de inquilino.

Com o IP privado ativado para o seu ambiente, o tráfego IP entre o cluster do GKE do seu ambiente e a base de dados do Cloud SQL é privado, isolando assim os seus fluxos de trabalho da Internet pública.

Esta camada adicional de segurança afeta a forma como se liga a estes recursos e como o seu ambiente acede a recursos externos. A utilização de um IP privado não afeta a forma como acede ao Cloud Storage ou ao seu servidor Web do Airflow através do IP público.

Cluster do GKE

A utilização de um cluster privado do GKE permite-lhe controlar o acesso ao plano de controlo do cluster (os nós do cluster não têm endereços IP públicos).

Quando cria um ambiente do Cloud Composer de IP privado, especifica se o acesso ao plano de controlo é público e o respetivo intervalo de IP. O intervalo de IPs do plano de controlo não pode sobrepor-se a nenhuma sub-rede na sua rede VPC.

Opção	Descrição
Acesso ao ponto final público desativado	Para se ligar ao cluster, tem de se ligar a partir de uma VM na mesma região e na mesma rede VPC do ambiente de IP privado. A instância de VM a partir da qual está a estabelecer ligação requer o Âmbito de acesso Permitir acesso total a todas as APIs Cloud. A partir dessa VM, pode executar comandos `kubectl` no cluster do seu ambiente
Acesso ao ponto final público ativado, redes autorizadas principais ativadas	Nesta configuração, os nós do cluster comunicam com o plano de controlo através da rede privada da Google. Os nós podem aceder a recursos no seu ambiente e em redes autorizadas. Pode adicionar redes autorizadas no GKE. Nas redes autorizadas, pode executar comandos `kubectl` no cluster do seu ambiente

Cloud SQL

Uma vez que a instância do Cloud SQL não tem um endereço IP público, o tráfego do Cloud SQL no seu ambiente de IP privado não é exposto à Internet pública.

O Cloud Composer configura o Cloud SQL para aceitar ligações recebidas através do acesso privado ao serviço. Pode aceder à instância do Cloud SQL na sua rede VPC através do respetivo endereço IP privado.

Acesso público à Internet para os seus fluxos de trabalho

Os operadores e as operações que requerem acesso a recursos em redes não autorizadas ou na Internet pública podem falhar. Por exemplo, a operação do Python do Dataflow requer uma ligação pública à Internet para transferir o Apache Beam do pip.

Permitir que as VMs sem endereços IP externos e os clusters GKE privados se liguem à Internet requer o Cloud NAT.

Para usar o Cloud NAT, crie uma configuração de NAT com o Cloud Router para a rede VPC e a região em que o seu ambiente Cloud Composer de IP privado se encontra.