Cloud Composer 1 dalam mode pasca-pemeliharaan. Google tidak merilis update lebih lanjut untuk Cloud Composer 1, termasuk versi baru Airflow, perbaikan bug, dan update keamanan. Sebaiknya rencanakan migrasi ke Cloud Composer 2.

Halaman ini diterjemahkan oleh Cloud Translation API.

Lingkungan IP pribadi

Cloud Composer 1 | Cloud Composer 2 | Cloud Composer 3

Halaman ini memberikan informasi tentang lingkungan Cloud Composer IP Pribadi.

Untuk lingkungan IP Pribadi, Cloud Composer hanya menetapkan alamat IP pribadi (RFC 1918) ke VM Google Kubernetes Engine dan Cloud SQL terkelola di lingkungan Anda, sehingga tidak ada akses masuk ke VM terkelola tersebut dari internet publik. Sebagai opsi, Anda juga dapat menggunakan alamat IP publik yang digunakan secara pribadi dan agen Penyamaran IP untuk menghemat ruang alamat IP dan menggunakan alamat non-RFC 1918.

Secara default, di lingkungan IP Pribadi, alur kerja Cloud Composer tidak memiliki akses internet keluar. Akses ke Google Cloud API dan layanan Google tidak terpengaruh oleh pemilihan rute melalui jaringan pribadi Google.

Cluster GKE native VPC

Saat Anda membuat lingkungan, Cloud Composer mendistribusikan resource lingkungan Anda antara project tenant yang dikelola Google dan project pelanggan Anda.

Untuk lingkungan IP Pribadi, Cloud Composer membuat cluster GKE native VPC untuk lingkungan Anda di project pelanggan.

Cluster VPC native menggunakan Pemilihan rute IP Alias yang diintegrasikan ke dalam jaringan VPC, sehingga VPC dapat mengelola pemilihan rute untuk pod. Saat Anda menggunakan cluster native VPC, GKE akan otomatis memilih rentang sekunder. Untuk persyaratan jaringan tertentu, Anda juga dapat mengonfigurasi rentang sekunder untuk pod GKE dan layanan GKE saat membuat lingkungan.

Lingkungan Cloud Composer IP Pribadi

Anda dapat memilih lingkungan IP Pribadi saat membuat lingkungan. Menggunakan IP pribadi berarti VM GKE dan Cloud SQL di lingkungan Anda tidak diberi alamat IP publik dan hanya berkomunikasi melalui jaringan internal Google.

Saat Anda membuat lingkungan IP Pribadi, cluster GKE untuk lingkungan Anda akan dikonfigurasi sebagai cluster pribadi, dan instance Cloud SQL akan dikonfigurasi untuk IP pribadi.

Cloud Composer membuat koneksi peering antara jaringan VPC project pelanggan dan jaringan VPC project tenant.

Dengan mengaktifkan IP pribadi untuk lingkungan Anda, traffic IP antara database Cloud SQL dan cluster GKE lingkungan Anda bersifat pribadi, sehingga mengisolasi alur kerja Anda dari internet publik.

Lapisan keamanan tambahan ini memengaruhi cara Anda terhubung ke resource ini dan cara lingkungan Anda mengakses resource eksternal. Penggunaan IP pribadi tidak memengaruhi cara Anda mengakses Cloud Storage atau server web Airflow melalui IP publik.

Cluster GKE

Dengan menggunakan cluster GKE pribadi, Anda dapat mengontrol akses ke bidang kontrol cluster (node cluster tidak memiliki alamat IP publik).

Saat membuat lingkungan Cloud Composer IP pribadi, Anda menentukan apakah akses ke panel kontrol bersifat publik atau tidak dan rentang IP-nya. Rentang IP platform kontrol tidak boleh tumpang tindih dengan subnetwork apa pun di jaringan VPC Anda.

Opsi	Deskripsi
Akses endpoint publik dinonaktifkan	Untuk terhubung ke cluster, Anda harus terhubung dari VM di region dan jaringan VPC yang sama dari lingkungan IP Pribadi. Instance VM tempat Anda terhubung memerlukan Cakupan akses Izinkan akses penuh ke semua Cloud API. Dari VM tersebut, Anda dapat menjalankan perintah `kubectl` di cluster lingkungan
Akses endpoint publik diaktifkan, jaringan yang diizinkan master diaktifkan	Dalam konfigurasi ini, node cluster berkomunikasi dengan bidang kontrol melalui jaringan pribadi Google. Node dapat mengakses resource di lingkungan Anda dan di jaringan yang diotorisasi. Anda dapat menambahkan jaringan yang diizinkan di GKE. Di jaringan yang diizinkan, Anda dapat menjalankan perintah `kubectl` di cluster lingkungan

Cloud SQL

Karena instance Cloud SQL tidak memiliki alamat IP publik, traffic Cloud SQL di dalam lingkungan Private IP Anda tidak terekspos ke internet publik.

Cloud Composer mengonfigurasi Cloud SQL untuk menerima koneksi masuk melalui akses layanan pribadi. Anda dapat mengakses instance Cloud SQL di jaringan VPC menggunakan alamat IP pribadinya.

Akses internet publik untuk alur kerja Anda

Operator dan operasi yang memerlukan akses ke resource di jaringan yang tidak sah atau di internet publik dapat gagal. Misalnya, operasi Dataflow Python memerlukan koneksi internet publik untuk mendownload Apache Beam dari pip.

Untuk mengizinkan VM tanpa alamat IP eksternal dan cluster GKE pribadi terhubung ke internet, Anda memerlukan Cloud NAT.

Untuk menggunakan Cloud NAT, buat konfigurasi NAT menggunakan Cloud Router untuk jaringan dan region VPC tempat lingkungan Cloud Composer IP pribadi Anda berada.