Ambiente de IP privado do Cloud Composer

Nesta página, você encontra informações sobre o uso de um ambiente de IP privado do Cloud Composer.

Quando você ativa o IP privado, o Cloud Composer atribui apenas endereços IP privados (RFC 1918) às VMs gerenciadas do Cloud SQL e Google Kubernetes Engine no ambiente. Isso não gera acessos de entrada a essas VMs a partir da Internet pública.

Por padrão, os fluxos de trabalho do Cloud Composer não têm acesso de saída à Internet. O roteamento na rede privada do Google não afeta o acesso aos serviços e APIs do GCP. Nas seções a seguir, você encontra descrições sobre os recursos que possibilitam as opções de configuração e o ambiente de IP privado do Cloud Composer.

Cluster do GKE nativo de VPC

Quando você cria um ambiente, o Cloud Composer distribui os recursos dele entre um projeto de locatário gerenciado pelo Google e o de cliente.

Quando você ativa um ambiente de IP privado, o Cloud Composer cria um cluster do GKE nativo de VPC no ambiente do seu projeto de cliente. Esse cluster usa o roteamento de IP de alias integrado à rede VPC. Assim, a VPC pode gerenciar o roteamento nos pods. Ao usar clusters nativos de VPC, o GKE escolhe automaticamente um intervalo secundário. Para atender a requisitos específicos de rede, também é possível configurar os intervalos secundários dos clusters e serviços do GKE.

Ambiente de IP privado do Cloud Composer

É possível ativar um ambiente de IP privado do Cloud Composer ao criar um ambiente. O uso do IP privado significa que as VMs do GKE e do Cloud SQL no seu ambiente não terão endereços IP públicos atribuídos e se comunicarão apenas pela rede interna do Google.

Quando você cria um ambiente de IP privado do Cloud Composer, o cluster do GKE nele é definido como um cluster privado, e a instância do Cloud SQL é configurada para o IP privado. O Cloud Composer também gera uma conexão de peering entre a rede VPC do projeto de cliente e de locatário.

Com o peering VPC e o IP privado ativados no ambiente, o tráfego IP entre o cluster do GKE e o banco de dados do Cloud SQL será privado pela conexão do peering VPC. Isso isola os fluxos de trabalho da Internet pública.

Essa camada extra de segurança afeta a maneira como você se conecta aos recursos e como o ambiente acessa recursos externos. O uso do IP privado não afeta o modo como você acessa o Cloud Storage ou o servidor da Web do Airflow pelo IP público.

Cluster do GKE

Com um cluster particular do GKE, é possível controlar o acesso ao endpoint do mestre dele. Os nós do cluster não têm endereços IP públicos.

Ao criar um ambiente de IP privado do Cloud Composer, você especifica se o acesso ao endpoint do mestre é público e o intervalo de IPs dele. Esse intervalo não pode se sobrepor a qualquer sub-rede na rede VPC.

Opção Descrição
Acesso ao endpoint público desativado Para se conectar ao cluster, você precisa usar uma VM na mesma região e na mesma rede VPC do ambiente de IP privado do Cloud Composer.

A instância de VM que você usa para se conectar requer este escopo de acesso: permitir acesso total a todas as APIs do Cloud.

Nessa VM, é possível executar comandos do Airflow. Basta usar o "gcloud beta composer environments run command".
Acesso ao endpoint público ativado, redes mestres autorizadas ativadas Nessa configuração, os nós do cluster se comunicam com o mestre pela rede privada do Google. Eles podem acessar recursos no ambiente do Cloud Composer e em redes autorizadas. É possível adicionar redes autorizadas no GKE.

Nas redes autorizadas, é possível:
  • executar comandos do Airflow usando o gcloud beta composer environments run command;
  • executar o SSH para o mestre;
  • executar comandos kubectl.

Cloud SQL

Como a instância do Cloud SQL não tem um endereço IP público, o tráfego do Cloud SQL no ambiente de IP privado do Cloud Composer não é exposto à Internet pública. O Cloud Composer configura o Cloud SQL para aceitar conexões de entrada por meio de acesso privado a serviços. Use o endereço IP privado para acessar a instância do Cloud SQL na rede VPC.

Acesso à Internet pública em fluxos de trabalho

Os operadores e as operações que exigem acesso a recursos em redes não autorizadas ou na Internet pública podem falhar. Por exemplo, a operação Python do Dataflow requer uma conexão com a Internet pública para fazer o download do Apache Beam do pip.

Para permitir que VMs sem endereços IP externos e clusters particulares do GKE se conectem à Internet, o Cloud NAT é necessário.

Para usar o Cloud NAT, você precisa criar uma configuração NAT utilizando o Cloud Router na região e rede VPC do ambiente de IP privado do Cloud Composer.

A seguir

Esta página foi útil? Conte sua opinião sobre:

Enviar comentários sobre…