Ambientes de IP privados

Cloud Composer 1 | Cloud Composer 2

Nesta página, você encontra informações sobre ambientes de IP privado do Cloud Composer.

Para ambientes de IP particular, o Cloud Composer atribui apenas endereços IP privados (RFC 1918) às VMs gerenciadas do Google Kubernetes Engine e Cloud SQL no ambiente, o que resulta em acesso de entrada a {. 101}essas VMs gerenciadas pela Internet pública. Também é possível usar endereços IP públicos de uso privado.

Por padrão, em um ambiente de IP privado, os fluxos de trabalho do Cloud Composer não têm acesso de saída à Internet. O acesso aos serviços e APIs do Google Cloud não é afetado pelo roteamento pela rede privada do Google.

Cluster do GKE nativo de VPC

Quando você cria um ambiente, o Cloud Composer distribui os recursos dele entre um projeto de locatário gerenciado pelo Google e o de cliente.

Para um ambiente de IP privado, o Cloud Composer cria um cluster do GKE nativo de VPC para seu ambiente no projeto do cliente.

Os clusters nativos de VPC usam o roteamento de IP de alias integrado à rede VPC. Isso permite que a VPC gerencie o roteamento nos pods. Quando você usa clusters nativos de VPC, o GKE escolhe automaticamente um intervalo secundário. Para requisitos de rede específicos, também é possível configurar os intervalos secundários para os pods e serviços do GKE ao criar um ambiente.

Ambiente de IP privado do Cloud Composer

Selecione um ambiente de IP privado ao criá-lo. Usar um IP privado significa que as VMs do GKE e do Cloud SQL no seu ambiente não recebem endereços IP públicos e se comunicam apenas pela rede interna do Google.

Quando você cria um ambiente de IP privado, o cluster do GKE para o ambiente é configurado como um cluster particular. A instância do Cloud SQL é configurada para um IP privado } O Cloud Composer também cria uma conexão de peering entre a rede VPC do projeto do cliente e a rede VPC do projeto de locatário.

Com o peering de VPC e o IP privados ativados para o ambiente, o tráfego IP entre o cluster do GKE do ambiente e o banco de dados do Cloud SQL pela conexão de peering da VPC é particular, isolando os fluxos de trabalho do público{ 101}Internet.

Essa camada extra de segurança afeta a maneira como você se conecta aos recursos e como o ambiente acessa recursos externos. O uso do IP privado não afeta o modo como você acessa o Cloud Storage ou o servidor da Web do Airflow pelo IP público.

Cluster do GKE

O uso de um cluster particular do GKE permite controlar o acesso ao plano de controle do cluster (os nós do cluster não têm endereços IP públicos).

Ao criar um ambiente de IP privado do Cloud Composer, você especifica se o acesso ao plano de controle é público ou não e o intervalo de IPs dele. O intervalo de IP do plano de controle não pode se sobrepor a nenhuma sub-rede na sua rede VPC.

Opção Descrição
Acesso ao endpoint público desativado Para se conectar ao cluster, é necessário se conectar de uma VM na mesma região e na mesma rede VPC do ambiente de IP particular. A instância de VM da qual você está se conectando exige o escopo de acesso Permitir acesso total a todas as APIs do Cloud.
Nessa VM, é possível executar comandos do Airflow usando o comando gcloud composer environments run.
Acesso ao endpoint público ativado, redes mestres autorizadas ativadas Nessa configuração, os nós do cluster se comunicam com o plano de controle na rede particular do Google. Os nós podem acessar recursos no ambiente e em redes autorizadas. É possível adicionar redes autorizadas no GKE.
Em redes autorizadas, é possível executar comandos kubectl e gcloud composer environments run.

Cloud SQL

Como a instância do Cloud SQL não tem um endereço IP público, o tráfego do Cloud SQL dentro do seu ambiente de IP particular não é exposto à Internet pública.

O Cloud Composer configura o Cloud SQL para aceitar conexões de entrada por meio do acesso a serviços privados. É possível acessar a instância do Cloud SQL na sua rede VPC usando o endereço IP privado.

Acesso à Internet pública em fluxos de trabalho

Os operadores e as operações que exigem acesso a recursos em redes não autorizadas ou na Internet pública podem falhar. Por exemplo, a operação Python do Dataflow requer uma conexão com a Internet pública para fazer o download do Apache Beam do pip.

Para permitir que VMs sem endereços IP externos e clusters particulares do GKE se conectem à Internet, o Cloud NAT é necessário.

Para usar o Cloud NAT, crie uma configuração NAT usando o Cloud Router para a rede e a região VPC em que o ambiente de IP privado do Cloud Composer está.

A seguir