プライベート IP Cloud Composer 環境

このページには、プライベート IP Cloud Composer 環境の使用に関する情報が記載されています。

プライベート IP を有効にすると、Cloud Composer では、環境内のマネージド Google Kubernetes Engine と Cloud SQL VM にプライベート IP(RFC 1918)アドレスのみが割り当てられるため、公共のインターネット接続からのマネージド VM へのインバウンド アクセスはなくなります。

デフォルトでは、Cloud Composer ワークフローにはアウトバウンド インターネット アクセスはありません。GCP API とサービスへのアクセスは、Google のプライベート ネットワーク経由のルーティングによる影響を受けません。以降のセクションでは、プライベート IP Cloud Composer 環境と構成オプションを有効にする機能について説明します。

VPC ネイティブの GKE クラスタ

環境が作成されると、Google 管理のテナント プロジェクトと顧客プロジェクトの間で、Cloud Composer により、その環境のリソースが分配されます。

プライベート IP Cloud Composer 環境を有効にすると、Cloud Composer によって顧客プロジェクトの環境に VPC ネイティブの GKE クラスタが作成されます。VPC ネイティブのクラスタでは、VPC ネットワークに組み込まれたエイリアス IP ルーティングを使用して、VPC がポッドのルーティングを管理できるようになります。VPC ネイティブのクラスタを使用する場合、GKE は自動的にセカンダリ範囲を選択します。特定のネットワーク要件に合わせて、GKE クラスタと GKE サービスのセカンダリ範囲を構成することもできます。

プライベート IP Cloud Composer 環境

環境を作成する際に、プライベート IP Cloud Composer 環境を有効にできます。プライベート IP を有効にすると、環境内の GKE と Cloud SQL VM に IP アドレスとしてパブリック IP アドレスが割り当てられなくなり、Google の内部ネットワーク経由でのみ通信するようになります。

プライベート IP Cloud Composer 環境を作成すると、環境の GKE クラスタはプライベート クラスタとして構成され、Cloud SQL インスタンスはプライベート IP 用に構成されます。また、顧客プロジェクトの VPC ネットワークとテナント プロジェクトの VPC ネットワークの間に、Cloud Composer によってピアリング接続が作成されます。

VPC ピアリングとプライベート IP が環境で有効になっている場合、環境の GKE クラスタと VPC ピアリング接続を介した Cloud SQL データベースの間の IP トラフィックは非公開となり、公共のインターネット接続からワークフローが分離されます。

このセキュリティ強化は、リソースへどのように接続するか、および、環境がどのように外部リソースにアクセスするかに影響を与えます。ただし、プライベート IP の使用は、パブリック IP 経由で Cloud Storage や Airflow ウェブサーバーへどのようにアクセスするかには影響を与えません。

GKE クラスタ

プライベート GKE クラスタを使用することにより、クラスタのマスター エンドポイント(クラスタノードがパブリック IP アドレスを持っていない)へのアクセスが制御できるようになります。

プライベート IP Cloud Composer 環境を作成する際に、マスター エンドポイントへのアクセスを公開にするかどうかとその IP 範囲を指定します。マスター IP 範囲は、VPC ネットワーク内のどのサブネットワークとも重複しないようにしてください。

オプション 説明
パブリック エンドポイント アクセスが無効 クラスタに接続するには、プライベート IP Cloud Composer 環境の同じリージョンかつ同じ VPC ネットワークで VM から接続する必要があります。

接続元の VM インスタンスには、アクセス スコープを [すべての Cloud API に完全アクセス権を許可] に設定する必要があります。

その VM から、gcloud beta composer environment run コマンドを使用して Airflow コマンドを実行できます。
パブリック エンドポイント アクセスが有効、マスター認証済みネットワークが有効 この構成で、クラスタノードは Google のプライベート ネットワークを介してマスターと通信します。ノードは Cloud Composer 環境と認証済みネットワークでリソースにアクセスできます。承認済みネットワークを GKE に追加できます。

承認済みネットワークでは、次を行うことができます。
  • gcloud beta composer environments run command を使用して Airflow コマンドを実行する。
  • マスターに SSH 接続する。
  • kubectl コマンドを実行する。

Cloud SQL

Cloud SQL インスタンスはパブリック IP アドレスを持っていないため、プライベート IP Cloud Composer 環境内の Cloud SQL トラフィックは公共インターネット接続を介しません。Cloud Composer により、プライベート サービス アクセスを介して受信接続を受け入れるように Cloud SQL が構成されます。プライベート IP アドレスを使用すると、VPC ネットワーク上の Cloud SQL インスタンスにアクセスできます。

ワークフローの公共インターネット アクセス

未承認ネットワーク上または公共インターネット上のリソースへのアクセスを必要とする演算子やオペレーションは失敗する可能性があります。たとえば、Dataflow Python のオペレーションでは、Apache Beam を pip からダウンロードするのに公共インターネット接続が必要になります。

外部 IP アドレスと限定公開 GKE クラスタを持たない VM からインターネットへの接続を許可するには、クラウド NAT が必要です。

クラウド NAT を使用するには、プライベート IP Cloud Composer 環境が存在する VPC ネットワークとリージョンに対して Cloud Router を使用して NAT 構成を作成する必要があります。

次のステップ

このページは役立ちましたか?評価をお願いいたします。

フィードバックを送信...