Entornos de IP privada

Cloud Composer 1 | Cloud Composer 2

En esta página, se proporciona información sobre los entornos de IP privada de Cloud Composer.

En entornos de IP privada, Cloud Composer solo asigna IP privadas (RFC 1918 direcciones a las VM administradas de Google Kubernetes Engine y Cloud SQL en tu entorno, lo que no genera acceso entrante a esas VM administradas desde la Internet pública. Como opción, también puedes usar direcciones IP públicas de uso privado.

De forma predeterminada, en un entorno de IP privada, los flujos de trabajo de Cloud Composer no tienen acceso saliente a Internet. El acceso a las API y los servicios de Google Cloud no se ve afectado por el enrutamiento a través de la red privada de Google.

Clúster de GKE nativo de la VPC

Cuando creas un entorno, Cloud Composer distribuye los recursos de tu entorno entre un proyecto de usuario administrado por Google y el proyecto de cliente.

En un entorno de IP privada, Cloud Composer crea un clúster de GKE nativo de la VPC para tu entorno en el proyecto de cliente.

Los clústeres nativos de la VPC usan el enrutamiento de IP de alias integrado en la red de VPC, lo que permite que la VPC administre el enrutamiento de los Pods. Cuando usas clústeres nativos de la VPC, GKE elige de forma automática un rango secundario. Para requisitos específicos de herramientas de redes, también puedes configurar los rangos secundarios para tus pods y servicios de GKE cuando creas un entorno.

Entorno de IP privada de Cloud Composer

Puedes seleccionar un entorno de IP privada cuando creas un entorno. Usar una IP privada significa que no se les asignen direcciones IP públicas a las VM de GKE y Cloud SQL en tu entorno y que solo se comuniquen a través de la red interna de Google.

Cuando creas un entorno de IP privada, el clúster de GKE para tu entorno sese configuró como clúster privado y la instancia de Cloud SQLse configuró para IP privada , Cloud Composer también crea una conexión de intercambio de tráfico entre la red de VPC del proyecto de tu cliente y la red de VPC del proyecto de tu usuario.

Con el intercambio de tráfico entre VPC y la IP privada habilitada para tu entorno, el tráfico de IP entre el clúster de GKE de tu entorno y la base de datos de Cloud SQL, a través de la conexión de intercambio de tráfico de VPC, es privado, por lo que se aíslan los flujos de trabajo del público.{ 101}Internet.

Esta capa adicional de seguridad afecta la forma en que te conectas a estos recursos y cómo tu entorno accede a los recursos externos. El uso de una IP privada no afecta la forma en que accedes a Cloud Storage o a tu servidor web de Airflow a través de la IP pública.

Clúster de GKE

El uso de un clúster de GKE privado te permite controlar el acceso al plano de control del clúster (los nodos del clúster no tienen direcciones IP públicas).

Cuando creas un entorno de IP privada de Cloud Composer, especificas si el acceso al plano de control es público y su rango de IP. El rango de IP del plano de control no debe superponerse con ninguna subred en la red de VPC.

Opción Descripción
Acceso al extremo público inhabilitado Para conectarte al clúster, debes conectarte desde una VM en la misma región y la misma red de VPC del entorno de IP privada. La instancia de VM desde la que te conectas requiere el permiso de acceso para permitir el acceso total a todas las API de Cloud.
Desde esa VM, puedes ejecutar comandos de Airflow mediante el comando gcloud composer environments run.
Acceso al extremo público habilitado, redes autorizadas de instancia principal habilitadas En esta configuración, los nodos del clúster se comunican con el plano de control a través de la red privada de Google. Los nodos pueden acceder a los recursos en tu entorno y en redes autorizadas. Puedes agregar redes autorizadas en GKE.
En redes autorizadas, puedes ejecutar comandos kubectl y gcloud composer environments run.

Cloud SQL

Debido a que la instancia de Cloud SQL no tiene una dirección IP pública, el tráfico de Cloud SQL dentro de tu entorno de IP privada no está expuesto a la Internet pública.

Cloud Composer configura Cloud SQL para que acepte conexiones entrantes a través del acceso privado a los servicios. Puedes acceder a la instancia de Cloud SQL en tu red de VPC mediante su dirección IP privada.

Acceso público a Internet para tus flujos de trabajo

Los operadores y las operaciones que requieren acceso a recursos en redes no autorizadas o en Internet pública pueden fallar. Por ejemplo, la operación de Python para Dataflow requiere una conexión a Internet pública a fin de descargar Apache Beam desde pip.

Permitir que las VM sin direcciones IP externas y clústeres privados de GKE se conecten a Internet requiere Cloud NAT.

Para usar Cloud NAT, crea una configuración de NAT con Cloud Router para la región y la red de VPC en la que se encuentra tu entorno de IP privada de Cloud Composer.

¿Qué sigue?