Entornos de IP privada

Cloud Composer 1 | Cloud Composer 2

En esta página, se proporciona información sobre los entornos de IP privada de Cloud Composer.

En los entornos de IP privada, Cloud Composer solo asigna direcciones IP privadas (RFC 1918) a las VM administradas de Google Kubernetes Engine y Cloud SQL en tu entorno, lo que no genera acceso entrante a esas VM administradas desde Internet pública. Como opción, también puedes usar direcciones IP públicas de uso privado y el agente de enmascaramiento de IP para guardar el espacio de direcciones IP y usar direcciones que no sean RFC 1918.

De forma predeterminada, en un entorno de IP privada, los flujos de trabajo de Cloud Composer no tienen acceso saliente a Internet. El acceso a las API y los servicios de Google Cloud no se ve afectado por el enrutamiento a través de la red privada de Google.

Clúster de GKE nativo de la VPC

Cuando creas un entorno, Cloud Composer distribuye los recursos de tu entorno entre un proyecto de usuario administrado por Google y el proyecto de cliente.

En el caso de un entorno de IP privada, Cloud Composer crea un clúster de GKE nativo de VPC para tu entorno en el proyecto de cliente.

Los clústeres nativos de la VPC usan el enrutamiento de IP de alias integrado en la red de VPC, lo que permite que la VPC administre el enrutamiento para pods. Cuando usas clústeres nativos de la VPC, GKE elige automáticamente un rango secundario. Para requisitos específicos de redes, también puedes configurar los rangos secundarios para tus pods y servicios de GKE cuando creas un entorno.

Entorno de IP privada de Cloud Composer

Puedes seleccionar un entorno de IP privada cuando crees un entorno. El uso de IP privada significa que las VM de GKE y Cloud SQL de tu entorno no tienen asignadas direcciones IP públicas y solo se comunican a través de la red interna de Google.

Cuando creas un entorno de IP privada, el clúster de GKE para tu entorno se configura como un clúster privado y la instancia de Cloud SQL seconfigura para la IP privada.

Cloud Composer crea una conexión de intercambio de tráfico entre la red de VPC del proyecto de tu cliente y la red de VPC del proyecto de usuario.

Cuando la IP privada está habilitada en tu entorno, el tráfico de IP entre el clúster de GKE de tu entorno y la base de datos de Cloud SQL es privado, lo que aísla tus flujos de trabajo de la Internet pública.

Esta capa adicional de seguridad afecta la forma en que te conectas a estos recursos y cómo tu entorno accede a los recursos externos. El uso de una IP privada no afecta la forma en que accedes a Cloud Storage o a tu servidor web de Airflow a través de la IP pública.

Clúster de GKE

El uso de un clúster de GKE privado te permite controlar el acceso al plano de control del clúster (los nodos del clúster no tienen direcciones IP públicas).

Cuando creas un entorno de IP privada de Cloud Composer, debes especificar si el acceso al plano de control es público y su rango de IP. El rango de IP del plano de control no debe superponerse con ninguna subred en tu red de VPC.

Opción Descripción
Acceso al extremo público inhabilitado Para conectarte con el clúster, debes conectarte desde una VM en la misma región y red de VPC del entorno de IP privada. La instancia de VM desde la que te conectas requiere el permiso de acceso Permitir el acceso total a todas las API de Cloud.
Desde esa VM, puedes ejecutar comandos kubectl en el clúster de tu entorno
Acceso al extremo público habilitado, redes autorizadas de instancia principal habilitadas En esta configuración, los nodos del clúster se comunican con el plano de control a través de la red privada de Google. Los nodos pueden acceder a los recursos en tu entorno y a las redes autorizadas. Puedes agregar redes autorizadas en GKE.
En las redes autorizadas, puedes ejecutar comandos kubectl en el clúster de tu entorno.

Cloud SQL

Debido a que la instancia de Cloud SQL no tiene una dirección IP pública, el tráfico de Cloud SQL dentro de tu entorno de IP privada no está expuesto a Internet pública.

Cloud Composer configura Cloud SQL para que acepte conexiones entrantes mediante el acceso privado al servicio. Puedes acceder a la instancia de Cloud SQL en tu red de VPC mediante su dirección IP privada.

Acceso público a Internet para tus flujos de trabajo

Los operadores y las operaciones que requieren acceso a recursos en redes no autorizadas o en Internet pública pueden fallar. Por ejemplo, la operación de Python para Dataflow requiere una conexión a Internet pública a fin de descargar Apache Beam desde pip.

Permitir que las VM sin direcciones IP externas y clústeres privados de GKE se conecten a Internet requiere Cloud NAT.

Para usar Cloud NAT, crea una configuración de NAT con Cloud Router para la red de VPC y la región en la que se encuentra tu entorno de IP privada de Cloud Composer.

¿Qué sigue?