O Cloud Composer 1 está no modo pós-manutenção. O Google não lança mais atualizações para o Cloud Composer 1, incluindo novas versões do Airflow, correções de bugs e atualizações de segurança. Recomendamos planejar a migração para o Cloud Composer 2.

Esta página foi traduzida pela API Cloud Translation.

Modelo de responsabilidade compartilhada do Cloud Composer

Cloud Composer 3 | Cloud Composer 2 | Cloud Composer 1

A execução de um aplicativo essencial para os negócios no Cloud Composer exige que várias partes tenham responsabilidades diferentes. Embora não seja uma lista completa, este documento lista as responsabilidades do Google e do cliente.

Responsabilidades do Google

Proteção e correção de bugs nos componentes e na infraestrutura subjacente do ambiente do Cloud Composer, incluindo cluster do Google Kubernetes Engine, banco de dados do Cloud SQL (que hospeda o banco de dados do Airflow), Pub/Sub, Artifact Registry e outros elementos do ambiente. Isso inclui o upgrade automático da infraestrutura subjacente, incluindo o cluster do GKE e a instância do Cloud SQL de um ambiente.

Observação: o Cloud Composer 1 está no modo pós-manutenção, e novas versões do Cloud Composer 1 com correções de segurança não são mais publicadas. Migrar para o Cloud Composer 2 e receber as atualizações da versão mais recente com melhorias de segurança.
Proteção do acesso a ambientes do Cloud Composer por meio da incorporação do controle de acesso fornecido pelo IAM, criptografando dados em repouso por padrão, oferecendo criptografia de armazenamento gerenciada pelo cliente, criptografando dados em trânsito.
Fornecer Google Cloud integrações para o Identity and Access Management, os Registros de auditoria do Cloud e o Cloud Key Management Service.
Restringir e registrar o acesso administrativo do Google aos clusters de clientes para fins de suporte contratual com a Transparência no acesso e a Aprovação de acesso.
Publicação de informações sobre mudanças incompatíveis com versões anteriores entre as versões do Cloud Composer e do Airflow nas Notas da versão do Cloud Composer.
Mantenha a documentação do Cloud Composer atualizada:
- Fornecer a descrição de todas as funcionalidades fornecidas pelo Cloud Composer.
- Fornecer instruções de solução de problemas que ajudam a manter os ambientes em um estado saudável.
- Publicação de informações sobre problemas conhecidos com soluções alternativas (se existirem).
Resolução de incidentes de segurança críticos relacionados a ambientes do Cloud Composer e imagens do Airflow fornecidas pelo Cloud Composer (exceto pacotes Python instalados pelo cliente) com a entrega de novas versões de ambiente que abordam os incidentes.
Dependendo do plano de suporte do cliente, a solução de problemas de integridade do ambiente do Cloud Composer.
Manter e expandir a funcionalidade do provedor do Terraform do Cloud Composer.
Cooperar com a comunidade do Apache Airflow para manter e desenvolver operadores do Google Airflow.

Observação: o Google não corrige nem soluciona problemas em provedores de operadoras para serviços ou produtos de terceiros.
Solucionar problemas e, se possível, corrigir problemas nas funcionalidades principais do Airflow.

Responsabilidades do cliente

Fazer upgrade para novas versões do Cloud Composer e do Airflow para manter o suporte ao produto e resolver problemas de segurança quando o serviço do Cloud Composer publicar uma versão que resolva os problemas.
Manter o código dos DAGs para que ele seja compatível com a versão do Airflow usada.
Mantenha as permissões adequadas no IAM para a conta de serviço do ambiente. Mantenha as permissões necessárias pelo Agente do Cloud Composer e pela conta de serviço do ambiente. Mantenha a permissão necessária para a chave CMEK usada para criptografia do ambiente do Cloud Composer e gire-a de acordo com suas necessidades.

Atenção: recomendamos configurar uma conta de serviço gerenciada pelo usuário para ambientes do Cloud Composer que tenham apenas o conjunto necessário de permissões para executar o ambiente e realizar as operações definidas nos DAGs. O papel Worker do Composer (composer.worker) fornece esse conjunto de permissões necessárias na maioria dos casos. Adicione permissões extras a essa conta de serviço somente quando for necessário para a operação dos DAGs.

Embora não recomendemos o uso dessa abordagem, se você não especificar a conta de serviço de um ambiente, o ambiente do Cloud Composer usará a conta de serviço padrão do Compute Engine. A conta de serviço padrão do Compute Engine geralmente tem o papel básico de Editor, que contém muito mais permissões do que o necessário para executar ambientes do Cloud Composer e, portanto, cria um risco de DAGs usando permissões mais amplas do que o pretendido.
Mantenha as permissões adequadas no IAM para o bucket do ambiente.
Atenção:usuários com acesso de leitura e gravação aos seguintes componentes:
- Bucket do seu ambiente
- Repositórios do Artifact Registry com imagens de contêiner usadas por: GKEPodOperator ou GKEStartPodOperator
podem implantar suas próprias versões de DAGs ou imagens de contêineres em um ambiente, mesmo sem permissões explícitas relacionadas ao Cloud Composer. Essas DAGs ou imagens podem ser executadas mais tarde no seu ambiente com as permissões da conta de serviço do ambiente do Cloud Composer.
Manter as permissões adequadas do IAM para uma conta de serviço que realiza instalações de pacotes PyPI. Para mais informações, consulte Controle de acesso.

Atenção:usuários com acesso de leitura e gravação ao bucket do ambiente ou que podem iniciar instalações de pacotes PyPI podem inibir o processo de criação de imagens em nome de uma conta de serviço usada para realizar essas builds. Essa conta de serviço é chamada de conta de serviço do ambiente especificada durante a criação do ambiente. Ela pode ser uma conta de serviço fornecida pelo usuário ou a conta de serviço padrão.
Mantenha as permissões adequadas do usuário final na configuração de controle de acesso da IU do Airflow e do IAM.
Mantenha o tamanho do banco de dados do Airflow abaixo de 20 GB usando o DAG de manutenção.
Resolva todos os problemas de análise de DAG antes de abrir casos de suporte para o Cloud Customer Care.
Nomear DAGs de maneira adequada (por exemplo, sem usar caracteres invisíveis como ESPAÇO ou TAB nos nomes de DAGs) para que as métricas possam ser informadas corretamente para DAGs.
Faça upgrade do código das DAGs para que elas não usem operadores descontinuados e migre para as alternativas atualizadas. Os operadores descontinuados podem ser removidos dos provedores do Airflow, o que pode afetar seus planos de upgrade para uma versão mais recente do Cloud Composer ou do Airflow. Os operadores descontinuados também não são mantidos e precisam ser usados "como estão".
Configurar as permissões adequadas do IAM ao usar back-ends de segredos, como o Secret Manager, para que a conta de serviço do ambiente tenha acesso a eles.
Ajuste de parâmetros do ambiente do Cloud Composer (como CPU e memória para componentes do Airflow) e configurações do Airflow para atender às expectativas de desempenho e carga dos ambientes do Cloud Composer usando o guia de otimização do Cloud Composer e o guia de escalonamento de ambiente.
Evite remover as permissões necessárias pelo agente do Cloud Composer e pelas contas de serviço do ambiente. A remoção dessas permissões pode levar a falhas nas operações de gerenciamento ou em DAGs e tarefas.
Mantenha todos os serviços e APIs necessários pelo Cloud Composer sempre ativados. Essas dependências precisam ter cotas configuradas nos níveis exigidos para o Cloud Composer.
Siga as recomendações e práticas recomendadas para implementar DAGs.
Resolver falhas de DAG e tarefas usando instruções para solução de problemas do programador, solução de problemas do DAG e solução de problemas do acionador.

Modelo de responsabilidade compartilhada do Cloud Composer

Responsabilidades do Google

Responsabilidades do cliente

A seguir