Cloud Composer 3 | Cloud Composer 2 | Cloud Composer 1
Halaman ini menjelaskan cara mengonfigurasi jaringan yang diotorisasi untuk lingkungan Anda.
Tentang jaringan yang diizinkan di Cloud Composer
Jaringan yang diizinkan memungkinkan Anda menentukan rentang CIDR yang dapat mengakses bidang kontrol cluster lingkungan menggunakan HTTPS.
Misalnya, di Cloud Composer 1, akses tersebut ke cluster lingkungan Anda
diperlukan di lingkungan IP Pribadi untuk
menjalankan perintah CLI Airflow(gcloud composer environments run
).
Jaringan tempat permintaan tersebut berasal harus diberi otorisasi untuk mengakses
panel kontrol cluster lingkungan Anda.
Jaringan resmi di lingkungan IP Pribadi dan Publik
Anda dapat menentukan jaringan resmi untuk lingkungan IP Publik dan IP Pribadi.
Di lingkungan IP Pribadi, Anda dapat mengonfigurasi jaringan yang diizinkan untuk mengizinkan rentang alamat IP tertentu mengakses bidang kontrol cluster lingkungan Anda. Misalnya, untuk mengizinkan rentang IP tertentu menjalankan perintah
kubectl
dan Airflow CLI. Secara default, di lingkungan IP Pribadi, Anda hanya dapat menjalankan perintah ini dari VM di subjaringan VPC lingkungan IP Pribadi.Di lingkungan IP Publik, Anda dapat mengonfigurasi jaringan yang diizinkan untuk membatasi rentang alamat IP yang dapat mengakses bidang kontrol cluster lingkungan Anda. Secara default, di lingkungan IP Publik, tidak ada batasan pada rentang IP yang dapat menjalankan perintah
kubectl
dan Airflow CLI.
Sebelum memulai
Anda dapat menentukan jaringan yang diizinkan hanya menggunakan
gcloud
, Terraform, dan REST API.Anda dapat menentukan jaringan yang diotorisasi saat membuat lingkungan, atau untuk lingkungan yang ada.
Membuat lingkungan dengan jaringan yang diizinkan
gcloud
Untuk membuat lingkungan dengan jaringan yang diizinkan, gunakan
argumen --enable-master-authorized-networks
saat Anda membuat
lingkungan. Kemudian, berikan daftar rentang CIDR yang dipisahkan koma dalam
argumen --master-authorized-networks
.
Untuk menentukan jaringan yang diizinkan untuk lingkungan IP Pribadi:
gcloud composer environments create ENVIRONMENT_NAME \
--location LOCATION \
--image-version composer-1.20.12-airflow-1.10.15 \
--enable-ip-alias \
--enable-private-environment \
--enable-master-authorized-networks \
--master-authorized-networks AUTHORIZED_NETWORKS_IP_RANGES
Ganti:
ENVIRONMENT_NAME
dengan nama lingkungan.LOCATION
dengan region tempat lingkungan berada.AUTHORIZED_NETWORKS_IP_RANGES
dengan daftar rentang alamat IP yang dipisahkan koma dalam notasi CIDR. Rentang ini ditambahkan sebagai jaringan yang diizinkan untuk cluster lingkungan Anda.
Contoh (Lingkungan IP pribadi):
gcloud composer environments create example-environment \
--location us-central1 \
--image-version composer-1.20.12-airflow-1.10.15 \
--enable-ip-alias \
--enable-private-environment \
--enable-privately-used-public-ips \
--enable-master-authorized-networks \
--master-authorized-networks 192.0.2.0/23,192.0.4.0/23
API
Buat
permintaan API environments.create
. Di resource Environment, tentukan parameter konfigurasi untuk lingkungan dengan jaringan yang diizinkan.
Untuk menentukan jaringan yang diizinkan untuk lingkungan IP Pribadi:
// POST https://composer.googleapis.com/v1/{parent=projects/*/locations/*}/environments
{
"name": "ENVIRONMENT_NAME",
"config": {
"nodeConfig": {
"ipAllocationPolicy": {
"useIpAliases": true,
}
},
"privateEnvironmentConfig": {
"enablePrivateEnvironment": true,
},
"masterAuthorizedNetworksConfig": {
"enabled": true,
"cidrBlocks": [
{
"displayName": "AUTHORIZED_NETWORK_NAME",
"cidrBlock": "AUTHORIZED_NETWORK_RANGE"
}
]
}
}
}
Ganti:
ENVIRONMENT_NAME
dengan nama lingkungan.AUTHORIZED_NETWORK_NAME
dengan nama untuk rentang IP jaringan yang diizinkan. Anda menggunakan nama ini untuk mengidentifikasi blok ini. Kolom ini bersifat opsional.AUTHORIZED_NETWORK_RANGE
dengan rentang alamat IP dalam notasi CIDR. Rentang ini ditambahkan sebagai jaringan yang diizinkan untuk cluster lingkungan Anda.- Jika Anda ingin menggunakan beberapa rentang IP, tambahkan rentang tambahan ke
cidrBlocks
.
Contoh (Lingkungan IP pribadi):
// POST https://composer.googleapis.com/v1/{parent=projects/*/locations/*}/environments
{
"name": "example-environment",
"config": {
"nodeConfig": {
"ipAllocationPolicy": {
"useIpAliases": true,
}
},
"privateEnvironmentConfig": {
"enablePrivateEnvironment": true,
},
"masterAuthorizedNetworksConfig": {
"enabled": true,
"cidrBlocks": [
{
"displayName": "example_range_1",
"cidrBlock": "192.0.2.0/23"
},
{
"displayName": "example_range_2",
"cidrBlock": "192.0.4.0/23"
}
]
}
}
}
Terraform
Saat Anda membuat lingkungan, blok master_authorized_networks_config
di blok config
akan mengontrol jaringan yang diotorisasi untuk
lingkungan Anda.
Untuk menentukan jaringan yang diizinkan untuk lingkungan IP Pribadi:
resource "google_composer_environment" "example_environment" {
provider = google-beta
name = "ENVIRONMENT_NAME"
region = "LOCATION"
config {
node_config {
ip_allocation_policy = [{
use_ip_aliases = true
}]
}
private_environment_config {
// Private environment parameters
}
master_authorized_networks_config {
enabled = true
cidr_blocks {
cidr_block = "AUTHORIZED_NETWORK_RANGE"
display_name = "AUTHORIZED_NETWORK_NAME"
}
}
}
}
Ganti:
ENVIRONMENT_NAME
dengan nama lingkungan.LOCATION
dengan region tempat lingkungan berada.AUTHORIZED_NETWORK_RANGE
dengan rentang alamat IP dalam notasi CIDR. Rentang ini ditambahkan sebagai jaringan yang diizinkan untuk cluster lingkungan Anda.AUTHORIZED_NETWORK_NAME
dengan nama untuk rentang IP jaringan yang diizinkan. Anda menggunakan nama ini untuk mengidentifikasi blok ini.- Jika Anda ingin menggunakan beberapa rentang IP, tambahkan blok
cidr_blocks
tambahan kemaster_authorized_networks_config
.
Contoh (Lingkungan IP pribadi):
resource "google_composer_environment" "example_environment" {
provider = google-beta
name = "example-environment"
region = "us-central1"
config {
node_config {
// Specify your network and subnetwork
network = google_compute_network.example_network.id
subnetwork = google_compute_subnetwork.example_subnet.id
ip_allocation_policy = [{
use_ip_aliases = true
}]
}
private_environment_config {
// Private environment parameters
}
master_authorized_networks_config {
enabled = true
cidr_blocks {
cidr_block = "192.0.2.0/23"
display_name = "example_range_1"
}
cidr_blocks {
cidr_block = "192.0.4.0/23"
display_name = "example_range_2"
}
}
}
}
Menentukan jaringan yang diizinkan untuk lingkungan yang ada
Anda dapat menentukan jaringan yang diizinkan untuk lingkungan yang ada.
gcloud
Untuk menentukan jaringan yang diizinkan, gunakan argumen
--enable-master-authorized-networks
. Kemudian, berikan daftar rentang CIDR yang dipisahkan koma dalam
argumen --master-authorized-networks
.
gcloud composer environments update ENVIRONMENT_NAME \
--location LOCATION \
--enable-master-authorized-networks \
--master-authorized-networks AUTHORIZED_NETWORKS_IP_RANGES
Ganti:
ENVIRONMENT_NAME
dengan nama lingkungan.LOCATION
dengan region tempat lingkungan berada.AUTHORIZED_NETWORKS_IP_RANGES
dengan daftar rentang alamat IP yang dipisahkan koma dalam notasi CIDR. Rentang ini ditambahkan sebagai jaringan yang diizinkan untuk cluster lingkungan Anda.
Contoh:
gcloud composer environments update example-environment \
--location us-central1 \
--enable-master-authorized-networks \
--master-authorized-networks 192.0.2.0/23,192.0.4.0/23
API
Buat permintaan API
environments.patch
.Dalam permintaan ini:
Dalam parameter
updateMask
, tentukan maskconfig.softwareConfig.masterAuthorizedNetworksConfig
.Dalam isi permintaan, tentukan rentang CIDR untuk jaringan yang diizinkan.
"config": {
"masterAuthorizedNetworksConfig": {
"enabled": true,
"cidrBlocks": [
{
"displayName": "AUTHORIZED_NETWORK_NAME",
"cidrBlock": "AUTHORIZED_NETWORK_RANGE"
}
]
}
}
Ganti:
AUTHORIZED_NETWORK_NAME
dengan nama untuk rentang IP jaringan yang diizinkan. Anda menggunakan nama ini untuk mengidentifikasi blok ini. Kolom ini bersifat opsional.AUTHORIZED_NETWORK_RANGE
dengan rentang alamat IP dalam notasi CIDR. Rentang ini ditambahkan sebagai jaringan yang diizinkan untuk cluster lingkungan Anda.- Jika Anda ingin menggunakan beberapa rentang IP, tambahkan rentang tambahan ke
cidrBlocks
.
Contoh:
// PATCH https://composer.googleapis.com/v1/projects/example-project/
// locations/us-central1/environments/example-environment?updateMask=
// config.softwareConfig.masterAuthorizedNetworksConfig
"config": {
"masterAuthorizedNetworksConfig": {
"enabled": true,
"cidrBlocks": [
{
"displayName": "example_range_1",
"cidrBlock": "192.0.2.0/23"
},
{
"displayName": "example_range_2",
"cidrBlock": "192.0.4.0/23"
}
]
}
}
Terraform
Blok master_authorized_networks_config
di blok config
mengontrol jaringan resmi untuk lingkungan Anda.
Untuk menambahkan jaringan yang diotorisasi untuk lingkungan IP Pribadi, tambahkan blok ini ke definisi lingkungan Anda:
resource "google_composer_environment" "example_environment" {
provider = google-beta
name = "example_environment"
region = "us-central1"
config {
// Other environment parameters
master_authorized_networks_config {
enabled = true
cidr_blocks {
cidr_block = "AUTHORIZED_NETWORK_RANGE"
display_name = "AUTHORIZED_NETWORK_NAME"
}
}
}
}
Ganti:
AUTHORIZED_NETWORK_RANGE
dengan rentang alamat IP dalam notasi CIDR. Rentang ini ditambahkan sebagai jaringan yang diizinkan untuk cluster lingkungan Anda.AUTHORIZED_NETWORK_NAME
dengan nama untuk rentang IP jaringan yang diizinkan. Anda menggunakan nama ini untuk mengidentifikasi blok ini.- Jika Anda ingin menggunakan beberapa rentang IP, tambahkan blok
cidr_blocks
tambahan kemaster_authorized_networks_config
.
Contoh:
resource "google_composer_environment" "example_environment" {
provider = google-beta
name = "example-environment"
region = "us-central1"
config {
// Other environment parameters
master_authorized_networks_config {
enabled = true
cidr_blocks {
cidr_block = "192.0.2.0/23"
display_name = "example_range_1"
}
cidr_blocks {
cidr_block = "192.0.4.0/23"
display_name = "example_range_2"
}
}
}
}
Nonaktifkan jaringan yang diizinkan
Anda dapat menonaktifkan jaringan yang diizinkan untuk lingkungan yang ada:
- Untuk lingkungan IP Pribadi, tindakan ini akan menghapus akses untuk rentang yang sebelumnya ditambahkan sebagai jaringan yang diizinkan.
Untuk lingkungan IP Publik, tindakan ini akan menghapus batasan yang dikonfigurasi sebelumnya.
gcloud
Untuk menonaktifkan jaringan yang diizinkan, gunakan argumen
--disable-master-authorized-networks
.
gcloud composer environments update ENVIRONMENT_NAME \
--location LOCATION \
--disable-master-authorized-networks
Ganti:
ENVIRONMENT_NAME
dengan nama lingkungan.LOCATION
dengan region tempat lingkungan berada.
Contoh:
gcloud composer environments update example-environment \
--location us-central1 \
--disable-master-authorized-networks
API
Buat permintaan API
environments.patch
.Dalam permintaan ini:
Dalam parameter
updateMask
, tentukan maskconfig.softwareConfig.masterAuthorizedNetworksConfig
.Dalam isi permintaan, tentukan
false
di kolomenabled
.
"config": {
"masterAuthorizedNetworksConfig": {
"enabled": false
}
}
Contoh:
// PATCH https://composer.googleapis.com/v1/projects/example-project/
// locations/us-central1/environments/example-environment?updateMask=
// config.softwareConfig.masterAuthorizedNetworksConfig
"config": {
"masterAuthorizedNetworksConfig": {
"enabled": false,
}
}
Terraform
Blok master_authorized_networks_config
di blok config
mengontrol jaringan resmi untuk lingkungan Anda.
Untuk menonaktifkan jaringan yang diizinkan, tetapkan kolom enabled
di
blok master_authorized_networks_config
ke false
.
Contoh:
resource "google_composer_environment" "example_environment" {
provider = google-beta
name = "example_environment"
region = "us-central1"
config {
// Other environment parameters
master_authorized_networks_config {
enabled = false
}
}
}