Ambientes de IP privados

Cloud Composer 1 | Cloud Composer 2

Nesta página, você encontra informações sobre ambientes de IP particular do Cloud Composer.

Para ambientes de IP particular, o Cloud Composer atribui apenas endereços IP particulares (RFC 1918) às VMs gerenciadas do Google Kubernetes Engine e do Cloud SQL no ambiente. Isso não gera acessos de entrada a essas VMs gerenciadas da Internet pública. Como opção, também é possível usar endereços IP públicos usados de modo particular e o agente de mascaramento de IP para salvar o espaço de endereço IP e usar endereços não RFC 1918.

Por padrão, em um ambiente de IP particular, os fluxos de trabalho do Cloud Composer não têm acesso de saída à Internet. O acesso às APIs e aos serviços do Google Cloud não é afetado pelo roteamento na rede particular do Google.

Cluster do GKE nativo de VPC

Quando você cria um ambiente, o Cloud Composer distribui os recursos dele entre um projeto de locatário gerenciado pelo Google e o de cliente.

Para um ambiente de IP particular, o Cloud Composer cria um cluster do GKE nativo de VPC para seu ambiente no projeto do cliente.

Os clusters nativos de VPC usam o roteamento de IP de alias integrado à rede VPC. Assim, a VPC pode gerenciar o roteamento nos pods. Quando são usados clusters nativos de VPC, o GKE escolhe automaticamente um intervalo secundário. Para requisitos de rede específicos, também é possível configurar os intervalos secundários para os pods e serviços do GKE quando você cria um ambiente.

Ambiente de IP privado do Cloud Composer

Selecione um ambiente de IP particular ao criá-lo. O uso do IP particular significa que as VMs do GKE e do Cloud SQL no seu ambiente não terão endereços IP públicos atribuídos e se comunicarão apenas pela rede interna do Google.

Quando você cria um ambiente de IP privado, o cluster do GKE para esse ambiente é configurado como um cluster privado, e a instância do Cloud SQL é configurada para IP privado.

O Cloud Composer cria uma conexão de peering entre a rede VPC do projeto do cliente e a rede VPC do projeto de locatário.

Com o IP particular ativado no ambiente, o tráfego IP entre o cluster do GKE do ambiente e o banco de dados do Cloud SQL é particular, isolando os fluxos de trabalho da Internet pública.

Essa camada extra de segurança afeta a maneira como você se conecta aos recursos e como o ambiente acessa recursos externos. O uso do IP privado não afeta o modo como você acessa o Cloud Storage ou o servidor da Web do Airflow pelo IP público.

Cluster do GKE

Com um cluster particular do GKE, é possível controlar o acesso ao plano de controle do cluster. Os nós do cluster não têm endereços IP públicos.

Ao criar um ambiente de IP particular do Cloud Composer, você especifica se o acesso ao plano de controle é ou não é público e o intervalo de IPs dele. O intervalo de IP do plano de controle não pode se sobrepor a nenhuma sub-rede na sua rede VPC.

Opção Descrição
Acesso ao endpoint público desativado Para se conectar ao cluster, você precisa conectar a partir de uma VM na mesma região e na mesma rede VPC do ambiente de IP particular. A instância de VM que você usa para se conectar requer o escopo de acesso Permitir acesso total a todas as APIs do Cloud.
Nessa VM, é possível executar comandos kubectl no cluster do ambiente
Acesso ao endpoint público ativado, redes mestres autorizadas ativadas Nessa configuração, os nós do cluster se comunicam com o plano de controle na rede particular do Google. Os nós podem acessar recursos no ambiente e em redes autorizadas. É possível adicionar redes autorizadas no GKE.
Em redes autorizadas, é possível executar comandos kubectl no cluster do ambiente

Cloud SQL

Como a instância do Cloud SQL não tem um endereço IP público, o tráfego do Cloud SQL no ambiente de IP particular não é exposto à Internet pública.

O Cloud Composer configura o Cloud SQL para aceitar conexões de entrada por meio de acesso particular a serviços. Use o endereço IP particular para acessar a instância do Cloud SQL na rede VPC.

Acesso à Internet pública em fluxos de trabalho

Os operadores e as operações que exigem acesso a recursos em redes não autorizadas ou na Internet pública podem falhar. Por exemplo, a operação Python do Dataflow requer uma conexão com a Internet pública para fazer o download do Apache Beam do pip.

Para permitir que VMs sem endereços IP externos e clusters particulares do GKE se conectem à Internet, o Cloud NAT é necessário.

Para usar o Cloud NAT, crie uma configuração NAT usando o Cloud Router para a rede e a região VPC em que o ambiente de IP particular do Cloud Composer está.

A seguir