Il 15 settembre 2026, tutti gli ambienti Cloud Composer 1 e Cloud Composer 2 versione 2.0.x raggiungeranno la fine del ciclo di vita pianificata e non potrai più utilizzarli. Ti consigliamo di pianificare la migrazione a Cloud Composer 3.

Questa pagina è stata tradotta dall'API Cloud Translation.

Configurazione dei Controlli di servizio VPC

Cloud Composer 3 | Cloud Composer 2 | Cloud Composer 1

I Controlli di servizio VPC consentono alle organizzazioni di definire un perimetro attorno alle risorseGoogle Cloud per mitigare i rischi di esfiltrazione di dati.

Gli ambienti Cloud Composer possono essere implementati all'interno di un service perimeter. Configurando l'ambiente con i Controlli di servizio VPC, puoi mantenere privati i dati sensibili, sfruttando le funzionalità di orchestrazione del flusso di lavoro completamente gestite di Cloud Composer.

Il supporto di Controlli di servizio VPC per Cloud Composer significa che:

Ora Cloud Composer può essere selezionato come servizio protetto all'interno di un perimetro di Controlli di servizio VPC.
Tutte le risorse sottostanti utilizzate da Cloud Composer sono configurate per supportare l'architettura dei Controlli di servizio VPC e rispettarne le regole.

Il deployment di ambienti Cloud Composer con i Controlli di servizio VPC ti offre:

Riduzione del rischio di esfiltrazione di dati.
Protezione dall'esposizione dei dati dovuta a controlli dell'accesso configurati in modo errato.
Rischio ridotto che utenti malintenzionati copino dati in risorseGoogle Cloud non autorizzate o che malintenzionati esterni accedano a risorseGoogle Cloud da internet.

Informazioni sui Controlli di servizio VPC in Cloud Composer

Tutti i vincoli di rete dei Controlli di servizio VPC si applicano anche ai tuoi ambienti Cloud Composer. Per maggiori dettagli, consulta la documentazione sui controlli di servizio VPC.

Se un ambiente Cloud Composer è protetto da un perimetro, l'accesso ai repository PyPI pubblici è limitato. Per ulteriori informazioni, consulta la sezione Installare pacchetti PyPI nei Controlli di servizio VPC.
Se il tuo ambiente utilizza il networking con IP privato, tutto il traffico interno viene indirizzato alla tua rete VPC, ad eccezione del traffico verso API, servizi e domini Google che sono disponibili per gli ambienti con IP privato tramite l'accesso privato Google.
A seconda di come configuri la rete VPC, un ambiente con IP privato può accedere a internet tramite la rete VPC.
Cloud Composer non supporta l'utilizzo di identità di terze parti nelle regole di ingresso e di uscita per consentire le operazioni dell'interfaccia utente di Apache Airflow. Tuttavia, puoi utilizzare il tipo di identità ANY_IDENTITY nelle regole di ingresso e di uscita per consentire l'accesso a tutte le identità, incluse quelle di terze parti. Per ulteriori informazioni sul tipo di identità ANY_IDENTITY, vedi Regole di ingresso e di uscita.
In modalità Controlli di servizio VPC, l'accesso al server web è protetto dal perimetro e l'accesso dall'esterno del perimetro è bloccato. Per consentire l'accesso dall'esterno del perimetro di servizio, configura i livelli di accesso o le regole di ingresso e di uscita in base alle necessità. Inoltre, puoi limitare l'accesso al server web a intervalli IP specifici.

Informazioni sulla connettività alle API e ai servizi Google nei Controlli di servizio VPC

Cloud Composer 3 indirizza il traffico ai servizi Google tramite restricted.googleapis.com, che consente l'accesso ad API, servizi e domini Google supportati da questo intervallo.

Per ulteriori informazioni e l'elenco dei servizi e dei domini disponibili tramite restricted.googleapis.com, consulta Configurazione di rete nella documentazione di Virtual Private Cloud.

Cloud Composer 3 blocca le chiamate ad API, servizi e domini Google che non sono presenti nell'elenco di API e servizi richiesti. Se vuoi chiamare un'API da un DAG, assicurati di:

Aggiungi il servizio ai servizi limitati
Aggiungi il servizio ai servizi accessibili da VPC

Ad esempio, se utilizzi un operatore VertexAI, aggiungi aiplatform.googleapis.com sia ai servizi limitati sia ai servizi accessibili tramite VPC.

Per saperne di più, consulta Gestire i perimetri di servizio nella documentazione dei Controlli di servizio VPC.

Creare ambienti in un perimetro

Per eseguire il deployment di Cloud Composer all'interno di un perimetro sono necessari i seguenti passaggi:

Abilita l'API Access Context Manager e l'API Cloud Composer per il tuo progetto. Per riferimento, consulta Attivazione delle API.
Crea un perimetro seguendo le istruzioni di configurazione del perimetro nella documentazione dei Controlli di servizio VPC. Assicurati che l'elenco dei servizi con limitazioni includa tutti i servizi utilizzati da Cloud Composer, oltre ad altri servizi che vuoi limitare:
- API Cloud Composer (composer.googleapis.com)
- API Artifact Registry (artifactregistry.googleapis.com)
- API Compute Engine (compute.googleapis.com)
- API Kubernetes Engine (container.googleapis.com)
- API Container File System (containerfilesystem.googleapis.com)
- API Cloud DNS (dns.googleapis.com)
- API Service Account Credentials (iamcredentials.googleapis.com)
- API Cloud Logging (logging.googleapis.com)
- API Cloud Monitoring (monitoring.googleapis.com)
- API Cloud Pub/Sub (pubsub.googleapis.com)
- API Cloud SQL Admin (sqladmin.googleapis.com)
- API Cloud Storage (storage.googleapis.com)
- Per tutti gli altri servizi utilizzati dai tuoi DAG:
  1. Aggiungi il servizio ai servizi limitati.
  2. Aggiungi il servizio ai servizi accessibili da VPC.
Crea un nuovo ambiente Cloud Composer:
1. Utilizza Google Cloud CLI per creare l'ambiente.
2. Abilita l'IP privato con l'argomento --enable-private-environment.
3. Specifica i parametri di accesso per il server web con gli argomenti --web-server-allow-all, --web-server-allow-ip o --web-server-deny-all. Per saperne di più sull'utilizzo di questi argomenti, vedi Creare ambienti. Per migliorare la protezione, consenti l'accesso al server web solo da intervalli IP specifici.
4. Non consentire l'installazione di pacchetti da repository nella rete internet pubblica con l'argomento --enable-private-builds-only.
  
  Esempio:
```
gcloud composer environments create example-environment \
  --location us-central1 \
  --enable-private-environment \
  --web-server-allow-all \
  --enable-private-builds-only
```
Per impostazione predefinita, l'accesso all'API e all'interfaccia utente di Airflow è consentito solo dall'interno del perimetro di sicurezza. Se vuoi renderlo disponibile al di fuori del perimetro di sicurezza, configura i livelli di accesso o le regole di ingresso e uscita.

Aggiungere un ambiente esistente al perimetro

Puoi aggiungere il progetto contenente il tuo ambiente a un perimetro se i tuoi ambienti utilizzano l'IP privato e l'installazione di pacchetti PyPI da repository pubblici è disattivata.

Per aggiornare un ambiente Cloud Composer 3 esistente a questa configurazione:

Assicurati di aver già creato o configurato il perimetro come descritto nella sezione precedente.
Utilizza Google Cloud CLI per aggiornare l'ambiente.
Abilita l'IP privato con l'argomento --enable-private-environment.
Non consentire l'installazione di pacchetti da repository nella rete internet pubblica con l'argomento --enable-private-builds-only.
Se necessario, configura l'accesso al server web Airflow. Per migliorare la protezione, consenti l'accesso al server web solo da intervalli IP specifici.

Esempio:

gcloud composer environments update example-environment \
  --location us-central1 \
  --enable-private-environment \
  --enable-private-builds-only

Installare i pacchetti PyPI nei Controlli di servizio VPC

Nella configurazione predefinita dei Controlli di servizio VPC, Cloud Composer supporta solo l'installazione di pacchetti PyPI da repository privati raggiungibili dallo spazio di indirizzi IP interni della rete VPC.

Per impostazione predefinita, tutti gli ambienti Cloud Composer all'interno di un perimetro dei Controlli di servizio VPC non hanno accesso ai repository PyPI pubblici.

Installare da un repository privato

La configurazione consigliata prevede la configurazione di un repository PyPI privato:

Compilalo con i pacchetti verificati utilizzati dalla tua organizzazione, poi configura Cloud Composer per installare le dipendenze Python da un repository privato.

Installare da un repository pubblico

Per installare i pacchetti PyPI da un repository esterno:

Crea un repository remoto Artifact Registry.
Concedi a questo repository l'accesso alle origini upstream.
Configura Airflow in modo da installare i pacchetti da un repository Artifact Registry.

Log dei controlli di servizio VPC

Quando risolvi i problemi di creazione dell'ambiente, puoi analizzare i log di controllo generati da Controlli di servizio VPC.

Oltre ad altri messaggi di log, puoi controllare i log per informazioni su cloud-airflow-prod@system.gserviceaccount.com e service-PROJECT_ID@cloudcomposer-accounts.iam.gserviceaccount.com account di servizio che configurano i componenti dei tuoi ambienti.

Il servizio Cloud Composer utilizza l'account di servizio cloud-airflow-prod@system.gserviceaccount.com per gestire i componenti del progetto tenant dei tuoi ambienti.

L'account di servizio service-PROJECT_ID@cloudcomposer-accounts.iam.gserviceaccount.com, noto anche come service account dell'agente di servizio Composer, gestisce i componenti dell'ambiente nei progetti di servizio e host.