Cloud Composer 1 | Cloud Composer 2 | Cloud Composer 3
Controlli di servizio VPC: consentono alle organizzazioni di definire un perimetro Risorse Google Cloud per mitigare i rischi di esfiltrazione di dati.
È possibile eseguire il deployment degli ambienti Cloud Composer all'interno di un servizio perimetrale. Configurando il tuo ambiente con Controlli di servizio VPC, può mantenere privati i dati sensibili, sfruttando al contempo i vantaggi dell'ambiente di orchestrazione dei flussi di lavoro di Cloud Composer.
Il supporto dei Controlli di servizio VPC per Cloud Composer significa che:
- Ora Cloud Composer può essere selezionato come servizio sicuro all'interno di un Perimetro Controlli di servizio VPC.
- Tutte le risorse sottostanti utilizzate da Cloud Composer sono configurate in modo da supportano l'architettura dei Controlli di servizio VPC e ne seguono le regole.
Deployment di ambienti Cloud Composer con i Controlli di servizio VPC che offre:
- Riduzione del rischio di esfiltrazione di dati.
- Protezione dall'esposizione dei dati dovuta a controlli di accesso configurati in modo errato.
- Riduzione del rischio di utenti malintenzionati che copiano i dati in siti non autorizzati Risorse Google Cloud o utenti malintenzionati esterni che accedono delle risorse Google Cloud da internet.
Server web Airflow in modalità Controlli di servizio VPC
In modalità Controlli di servizio VPC, Cloud Composer esegue due istanze del server web Airflow. Identity-Aware Proxy bilancia il carico del traffico degli utenti tra queste istanze. I server web di Airflow vengono eseguiti in sola lettura che indica che:
La Serializzazione DAG è abilitata. Come Di conseguenza, il server web di Airflow non analizza i file di definizione dei DAG.
I plug-in non vengono sincronizzati con il server web, quindi non è possibile modificare o estendere i dei server web con plug-in.
Il server web di Airflow utilizza un'immagine container predefinita il servizio Cloud Composer. Se installi immagini PyPI queste immagini non sono installate nel container del server web dell'immagine.
Creazione di un perimetro di servizio
Consulta Creazione di un perimetro di servizio per scoprire come creare e configurare i perimetri di servizio. Assicurati di selezionare Cloud Composer come uno dei servizi protetti all'interno del perimetro.
Creazione di ambienti in un perimetro
Sono necessari ulteriori passaggi per eseguire il deployment di Cloud Composer un perimetro. Quando crei il tuo ambiente Cloud Composer:
Abilita l'API Access Context Manager e l'API Cloud Composer per del progetto. Per riferimento, consulta Attivazione delle API.
Assicurati che il perimetro di servizio abbia i seguenti servizi accessibili da VPC: altrimenti il tuo ambiente potrebbe non creare:
- API Cloud Composer (composer.googleapis.com)
- API Compute Engine (compute.googleapis.com)
- API Kubernetes Engine (container.googleapis.com)
- API Container Registry (containerregistry.googleapis.com)
- API Artifact Registry (artifactregistry.googleapis.com)
- API Cloud Storage (storage.googleapis.com)
- API Cloud SQL Admin (sqladmin.googleapis.com)
- API Cloud Build (cloudbuild.googleapis.com)
- API Cloud Logging (logging.googleapis.com)
- API Cloud Monitoring (monitoring.googleapis.com)
- API Cloud Pub/Sub (pubsub.googleapis.com)
- API Cloud Cloud Resource Manager (cloudresourcemanager.googleapis.com)
- API Service Directory (servicedirectory.googleapis.com)
- API Cloud Key Management Service (cloudkms.googleapis.com), se utilizzi chiavi Cloud KMS o CMEK
- API Secret Manager (secretmanager.googleapis.com), se utilizzi Secret Manager come backend secret
Utilizza la versione composer-1.10.4 o successiva.
Assicurati che la serie di serializzazione dei DAG sia in un bucket con il controllo delle versioni attivo. Se il tuo ambiente utilizza Cloud Composer versione 1.15.0 e in seguito, la serializzazione è abilitata per impostazione predefinita.
Crea un nuovo ambiente Cloud Composer con IP privato abilitato. Tieni presente che questa impostazione deve essere configurata durante la creazione dell'ambiente.
Quando crei il tuo ambiente, ricordati di e configurare l'accesso al server web Airflow. Per la massima protezione, consentire l'accesso al server web da intervalli IP specifici. Per maggiori dettagli, vedi Configura l'accesso di rete al server web.
Configurazione di ambienti esistenti con Controlli di servizio VPC
Puoi aggiungere al perimetro il progetto contenente il tuo ambiente se:
Hai creato il perimetro come descritto nella sezione precedente.
I tuoi ambienti sono ambienti IP privati.
- Nei tuoi ambienti è abilitata la serie DAG.
Installazione dei pacchetti PyPI
Nella configurazione predefinita dei Controlli di servizio VPC, Cloud Composer supporta solo l'installazione di pacchetti PyPI da repository privati raggiungibile dallo spazio di indirizzi IP privati della rete VPC. La la configurazione consigliata per questo processo è impostare un PyPI privato un repository, compilarlo con pacchetti verificati utilizzati dalla tua organizzazione, e configurare Cloud Composer per installare le dipendenze Python da un repository privato.
È anche possibile installare pacchetti PyPI da repository al di fuori con lo spazio IP privato. Segui questi passaggi:
- Configura Cloud NAT per consenti a Cloud Composer in esecuzione nello spazio IP privato di connettersi con repository PyPI esterni.
- Configura le regole firewall per consentire l'uscita in uscita di connessioni dal cluster Composer al repository.
Quando utilizzi questa configurazione, assicurati di comprendere i rischi associati all'utilizzo di repository. Assicurati di fidarti dei contenuti e dell'integrità di qualsiasi repository, perché queste connessioni potrebbero potenzialmente essere utilizzate come vettore di esfiltrazione.
Configura la connettività alle API e ai servizi Google
In una configurazione dei Controlli di servizio VPC, per controllare il traffico di rete
e configurare l'accesso alle API e ai servizi Google tramite
restricted.googleapis.com. Questo dominio blocca l'accesso alle API di Google e
che non supportano Controlli di servizio VPC.
Gli ambienti Cloud Composer utilizzano i domini seguenti:
L'app
*.googleapis.comviene utilizzata per accedere ad altri servizi Google.*.pkg.devviene utilizzato per ottenere immagini dell'ambiente, ad esempio durante la creazione o aggiornare un ambiente.*.gcr.ioGKE richiede la connettività a Dominio Container Registry indipendentemente dalla versione di Cloud Composer.
Configura la connettività all'endpoint restricted.googleapis.com:
| Dominio | Nome DNS | Record CNAME | Record A |
|---|---|---|---|
*.googleapis.com
|
googleapis.com. |
Nome DNS: *.googleapis.com.Tipo di record di risorse: CNAMENome canonico: googleapis.com. |
Tipo di record di risorse: AIndirizzi IPv4: 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7
|
*.pkg.dev
|
pkg.dev. |
Nome DNS: *.pkg.dev.Tipo di record di risorse: CNAMENome canonico: pkg.dev. |
Tipo di record di risorse: AIndirizzi IPv4: 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7
|
*.gcr.io
|
gcr.io. |
Nome DNS: *.gcr.io.Tipo di record di risorse: CNAMENome canonico: gcr.io. |
Tipo di record di risorse: AIndirizzi IPv4: 199.36.153.4, 199.36.153.5, 199.36.153.6, 199.36.153.7
|
Per creare una regola DNS:
Crea una nuova zona DNS e utilizza un nome DNS come nome DNS. di questa zona.
Esempio:
pkg.dev.Aggiungi un set di record per il record CNAME.
Esempio:
- Nome DNS:
*.pkg.dev. - Tipo di record di risorse:
CNAME - Nome canonico:
pkg.dev.
- Nome DNS:
Aggiungi un set di record per A Record (Record A):
Esempio:
- Tipo di record di risorse:
A - Indirizzi IPv4:
199.36.153.4,199.36.153.5,199.36.153.6e199.36.153.7
- Tipo di record di risorse:
Per ulteriori informazioni, vedi Configurazione della connettività privata alle API e ai servizi Google.
Configurazione delle regole del firewall
Se il tuo progetto ha regole firewall non predefinite, come regole che hanno la precedenza regole firewall implicite oppure modificare le regole precompilate in la rete predefinita, quindi verifica che le seguenti regole firewall siano configurato.
Ad esempio, Cloud Composer potrebbe non creare un ambiente se
esiste una regola firewall che nega tutto il traffico in uscita. Per evitare problemi,
definisci regole allow selettive che seguono l'elenco e hanno una priorità più elevata
rispetto alla regola deny globale.
Configura la rete VPC per consentire il traffico dal tuo ambiente:
- Consulta Utilizzo delle regole firewall per scoprire come controllare, aggiungere e aggiornare le regole della rete VPC.
- Utilizza le funzionalità di Strumento di connettività per convalidare la connettività tra intervalli IP.
- Puoi utilizzare i tag di networking per limitare l'accesso. Puoi impostare questi tag quando crei un ambiente.
| Descrizione | Direzione | Azione | Origine o destinazione | Protocolli | Porte |
|---|---|---|---|---|---|
| DNS Configura come descritto in Supporto dei Controlli di servizio VPC per Cloud DNS |
- | - | - | - | - |
| API e servizi Google | In uscita | Consenti | Indirizzi IPv4 di restricted.googleapis.com che utilizzi per le API e i servizi Google. |
TCP | 443 |
| Nodi del cluster dell'ambiente | In uscita | Consenti | Intervallo di indirizzi IP principali della subnet dell'ambiente | TCP, UDP | tutte |
| Pod del cluster dell'ambiente | In uscita | Consenti | Intervallo di indirizzi IP secondari per i pod nella subnet dell'ambiente | TCP, UDP | tutte |
| Piano di controllo del cluster dell'ambiente | In uscita | Consenti | Intervallo IP del piano di controllo GKE | TCP, UDP | tutte |
| Server web | In uscita | Consenti | Intervallo IP di rete server web | TCP | 3306, 3307 |
Per ottenere gli intervalli IP:
Gli intervalli di indirizzi di pod, servizi e piano di controllo sono disponibili la pagina Cluster del cluster del tuo ambiente:
Nella console Google Cloud, vai alla pagina Ambienti.
Nell'elenco degli ambienti, fai clic sul nome dell'ambiente. Si apre la pagina Dettagli ambiente.
Vai alla scheda Configurazione dell'ambiente.
Segui il link per visualizzare i dettagli del cluster.
Puoi vedere i dati sull'ambiente intervallo IP del server web nella scheda Configurazione dell'ambiente.
Puoi vedere i dati sull'ambiente ID rete nella scheda Configurazione dell'ambiente. Per ottenere l'IP per una subnet, vai alla pagina Reti VPC e fai clic nome della rete per visualizzare i dettagli:
Log dei Controlli di servizio VPC
Durante la risoluzione dei problemi relativi alla creazione dell'ambiente, puoi analizzare gli audit log generate dai Controlli di servizio VPC.
Oltre ad altri messaggi di log, puoi controllare i log per informazioni su
cloud-airflow-prod@system.gserviceaccount.com e
service-PROJECT_ID@cloudcomposer-accounts.iam.gserviceaccount.com
che configurano i componenti degli ambienti.
Il servizio Cloud Composer utilizza
cloud-airflow-prod@system.gserviceaccount.com account di servizio da gestire
componenti del progetto tenant dei tuoi ambienti.
La
service-PROJECT_ID@cloudcomposer-accounts.iam.gserviceaccount.com
dell'account di servizio, noto anche come Composer Service Agent Service Account gestisce
componenti dell'ambiente
progetti di servizio e host.
Limitazioni
- Tutti i vincoli di rete dei Controlli di servizio VPC si applicano anche Ambienti Cloud Composer. Consulta per maggiori dettagli, consulta la documentazione relativa a Controlli di servizio VPC.
Visualizzazione di un modello visualizzato con funzioni nella UI web con DAG la serializzazione abilitata è supportata per gli ambienti che eseguono Cloud Composer 1.12.0 o versioni successive e versione di Airflow 1.10.9 o versioni successive.
L'impostazione del flag
async_dagbag_loadersuTruenon è supportata durante il DAG la serializzazione sia abilitata.L'abilitazione della serializzazione dei DAG disabilita tutti i plug-in dei server web di Airflow, che potrebbero mettere a rischio la sicurezza della rete VPC in cui Cloud Composer viene eseguito il deployment. Questo non influisce sul comportamento dello scheduler o del worker plug-in, inclusi operatori Airflow, sensori e così via
- Quando Cloud Composer è in esecuzione all'interno di un perimetro, i repository PyPI pubblici sono soggetti a restrizioni. Consulta Installare le dipendenze Python per apprendere come installare i moduli PyPI in modalità IP privato.