Cloud Composer 1 | Cloud Composer 2 | Cloud Composer 3
Apache Airflow include Un'interfaccia utente web (UI) che puoi utilizzare per gestire i flussi di lavoro (DAG), l'ambiente Airflow, ed eseguire azioni amministrative. Ad esempio, puoi utilizzare l'interfaccia web per esaminare l'avanzamento di un DAG, configurare una nuova connessione dati o esaminare i log delle esecuzioni precedenti del DAG.
Server web Airflow
Ogni ambiente Cloud Composer ha un server web che esegue l'interfaccia web di Airflow. Il server web fa parte dell'architettura dell'ambiente Cloud Composer.
Prima di iniziare
Devi disporre di un ruolo che consenta di visualizzare gli ambienti Cloud Composer. Per ulteriori informazioni, consulta Controllo dell'accesso.
Durante la creazione dell'ambiente, Cloud Composer configura l'URL per il server web che esegue l'interfaccia web di Airflow. L'URL è non personalizzabili.
Cloud Composer 2 supporta la funzionalità di controllo dell'accesso all'interfaccia utente di Airflow (controllo dell'accesso basato sui ruoli di Airflow) per l'interfaccia web di Airflow.
Se l'opzione Controlli API > App di terze parti non configurate > Non consentire agli utenti di accedere alle app di terze parti è attivata in Google Workspace e l'app Apache Airflow in Cloud Composer non è consentita esplicitamente, gli utenti non possono accedere all'interfaccia utente di Airflow, a meno che non consentano esplicitamente l'applicazione. Per consentire l'accesso, svolgi i passaggi descritti in Consentire l'accesso all'interfaccia utente di Airflow in Google Workspace.
Accesso all'interfaccia web di Airflow
Il server web di Airflow viene eseguito
come carico di lavoro nel cluster del tuo ambiente. Il server web è
distribuito sul dominio composer.googleusercontent.com e fornisce accesso a
l'interfaccia web di Airflow.
Cloud Composer 2 fornisce l'accesso all'interfaccia in base alle identità utente e alle associazioni di criteri IAM definite per gli utenti. Rispetto a Cloud Composer 1, Cloud Composer 2 utilizza un meccanismo diverso che non si affidano a Identity-Aware Proxy.
Accesso all'interfaccia web dalla console Google Cloud
Per accedere all'interfaccia web di Airflow dalla console Google Cloud:
Nella console Google Cloud, vai alla pagina Ambienti.
Nella colonna Server web Airflow, segui il link Airflow per il tuo ambiente.
Limitazione dell'accesso al server web Airflow
Gli ambienti Composer ti consentono di limitare l'accesso al server web Airflow:
- Puoi bloccare completamente gli accessi o consentire l'accesso da indirizzi IPv4 o IPv6 esterni specifici intervalli IP.
- Non è possibile configurare gli intervalli IP consentiti utilizzando indirizzi IP privati.
Recupero dell'URL dell'interfaccia web tramite lo strumento a riga di comando gcloud
Puoi accedere all'interfaccia web di Airflow da qualsiasi browser web. Per ottenere l'URL
per l'interfaccia web, inserisci il seguente comando gcloud:
gcloud composer environments describe ENVIRONMENT_NAME \
--location LOCATION
Sostituisci quanto segue:
ENVIRONMENT_NAME: il nome del tuo ambiente.LOCATION: la regione in cui si trova l'ambiente.
Il comando gcloud mostra le proprietà di un ambiente Cloud Composer, inclusi gli URL per l'interfaccia web. Gli URL sono elencati come airflowUri e airflowByoidUri:
- L'indirizzo URL
airflowUriviene utilizzato dagli Account Google. - L'indirizzo URL
airflowByoidUriviene utilizzato dalle identità esterne se devi configurare la federazione delle identità per la forza lavoro nel tuo progetto.
config:
airflowUri: https://example-dot-us-central1.composer.googleusercontent.com
airflowByoidUri: https://example-dot-us-central1.composer.byoid.googleusercontent.com
Riavvio del server web
Durante il debug o la risoluzione dei problemi degli ambienti Cloud Composer, alcuni problemi
possono essere risolti riavviando il server web Airflow. Puoi riavviare il web
utilizzando l'API restartWebServer
oppure il comando gcloud restart-web-server:
gcloud beta composer environments restart-web-server ENVIRONMENT_NAME \
--location=LOCATION
Configurazione dell'accesso di rete al server web
I parametri di accesso al server web di Airflow non dipendono dal tipo di completamente gestito di Google Cloud. Devi, invece, configurare l'accesso al server web separatamente. Per Ad esempio, un ambiente IP privato può comunque avere la UI di Airflow accessibile da internet.
Non è possibile configurare gli intervalli IP consentiti utilizzando indirizzi IP privati.
Console
Nella console Google Cloud, vai alla pagina Ambienti.
Nell'elenco degli ambienti, fai clic sul nome dell'ambiente. Si apre la pagina Dettagli ambiente.
Vai alla scheda Configurazione dell'ambiente.
Nella sezione Configurazione di rete, individua il parametro Elemento Controllo dell'accesso al server web e fai clic su Modifica.
Nella finestra di dialogo Controllo dell'accesso di rete al server web:
Per fornire l'accesso al server web Airflow da tutti gli indirizzi IP, seleziona Consenti l'accesso da tutti gli indirizzi IP.
Per limitare l'accesso solo a intervalli IP specifici, seleziona Consenti l'accesso solo da indirizzi IP specifici. Nell'intervallo IP specifica un intervallo IP nella notazione CIDR. Nella nel campo Description (Descrizione), specifica una descrizione facoltativa intervallo. Se vuoi specificare più di un intervallo, fai clic su Aggiungi IP intervallo.
Per vietare l'accesso per tutti gli indirizzi IP, seleziona Consenti l'accesso solo da indirizzi IP specifici, quindi fai clic su Elimina elemento accanto al campo voce di intervallo.
gcloud
Quando aggiorni un ambiente, i seguenti argomenti controllano il server web parametri di accesso:
--web-server-allow-allfornisce l'accesso ad Airflow da tutti gli indirizzi IP. Questa è l'opzione predefinita.--web-server-allow-iplimita l'accesso solo a un IP di origine specifico intervalli di tempo. Per specificare più intervalli IP, utilizza questo argomento più volte.--web-server-deny-allvieta l'accesso per tutti gli indirizzi IP.
gcloud composer environments update ENVIRONMENT_NAME \
--location LOCATION \
--web-server-allow-ip ip_range=WS_IP_RANGE,description=WS_RANGE_DESCRIPTION
Sostituisci quanto segue:
ENVIRONMENT_NAME: il nome del tuo ambiente.LOCATION: la regione in cui si trova l'ambiente.WS_IP_RANGE: l'intervallo IP, nella notazione CIDR, che può accedere all'interfaccia utente di Airflow.WS_RANGE_DESCRIPTION: la descrizione dell'intervallo IP.
Esempio:
gcloud composer environments update example-environment \
--location us-central1 \
--web-server-allow-ip ip_range=192.0.2.0/24,description="office net 1" \
--web-server-allow-ip ip_range=192.0.4.0/24,description="office net 3"
API
Crea una richiesta API [
environments.patch][api-patch].In questa richiesta:
Nel parametro
updateMask, specifica Mascheraconfig.webServerNetworkAccessControl.Nel corpo della richiesta, specifica come devono essere i log delle attività Airflow risparmiati:
Per fornire l'accesso ad Airflow da tutti gli indirizzi IP, specifica un'opzione elemento
configvuoto (ilwebServerNetworkAccessControlnon deve essere presente).Per limitare l'accesso solo a intervalli IP specifici, specifica uno o più intervalli in
allowedIpRanges.Per vietare l'accesso per tutti gli indirizzi IP, specifica un elemento
webServerNetworkAccessControlvuoto. La L'elementowebServerNetworkAccessControldeve essere presente, ma non deve contenere un elementoallowedIpRanges.
{
"config": {
"webServerNetworkAccessControl": {
"allowedIpRanges": [
{
"value": "WS_IP_RANGE",
"description": "WS_RANGE_DESCRIPTION"
}
]
}
}
}
Sostituisci quanto segue:
WS_IP_RANGE: l'intervallo IP, nella notazione CIDR, che può accedere all'interfaccia utente di Airflow.WS_RANGE_DESCRIPTION: la descrizione dell'intervallo IP.
Esempio:
// PATCH https://composer.googleapis.com/v1/projects/example-project/
// locations/us-central1/environments/example-environment?updateMask=
// config.webServerNetworkAccessControl
{
"config": {
"webServerNetworkAccessControl": {
"allowedIpRanges": [
{
"value": "192.0.2.0/24",
"description": "office net 1"
},
{
"value": "192.0.4.0/24",
"description": "office net 3"
}
]
}
}
}
Terraform
Nel blocco allowed_ip_range, in web_server_network_access_control
specificare intervalli IP che possono accedere al server web.
resource "google_composer_environment" "example" {
provider = google-beta
name = "ENVIRONMENT_NAME"
region = "LOCATION"
config {
web_server_network_access_control {
allowed_ip_range {
value = "WS_IP_RANGE"
description = "WS_RANGE_DESCRIPTION"
}
}
}
}
Sostituisci:
WS_IP_RANGEcon l'intervallo IP, in notazione CIDR, che può accedere all'interfaccia utente di Airflow.WS_RANGE_DESCRIPTIONcon la descrizione dell'intervallo IP.
Esempio:
resource "google_composer_environment" "example" {
provider = google-beta
name = "example-environment"
region = "us-central1"
config {
web_server_network_access_control {
allowed_ip_range {
value = "192.0.2.0/24"
description = "office net 1"
},
allowed_ip_range {
value = "192.0.4.0/24"
description = "office net 3"
}
}
}