Cloud Composer 1 | Cloud Composer 2
本页面介绍如何为您的环境启用 IP 伪装代理。
关于 Cloud Composer 中的 IP 伪装代理
Cloud Composer 支持为您的环境使用 IP 伪装代理。
IP 伪装是一种网络地址转换 (NAT) 形式,用于执行多对一 IP 地址转换。这允许多个客户端从一个 IP 地址访问一个目的地。
Cloud Composer 在 GKE 上运行工作负载。为正常运行,它需要节点(虚拟机)以及 GKE Pod 和服务的 IP 范围。当 Airflow DAG 和任务与其他服务通信时,它们使用 Pod IP,并且这些 Pod IP 范围需要与任务进行交互的任何目标可路由。
使用 IP Masquerade 代理,您可以选择将 Pod IP 地址转换为节点 IP 地址,以便以 Airflow DAG 和任务为目标的目的地和服务仅从节点 IP 地址(而不是 Pod IP 地址)接收数据包。这对于只需要接收来自节点 IP 地址数据包的环境或者 Pod IP 地址范围在集群外部无法路由的环境非常有用。
此外,您还可以使用 IP 伪装代理在网络配置中保存网络范围。例如,您可以为环境集群中的 Pod 使用单独的网络范围,并将此流量伪装成来自节点 IP 地址范围。通过这种方式,您可以将不同范围内的 IP 地址用于环境集群中的 Pod,从而节省一个范围内的 IP 地址空间。
例如:
您为虚拟机使用
10.0.0.0/8范围,并且防火墙规则仅允许此范围。如需保存网络范围,请对环境集群中的 Pod 使用其他范围(例如
192.168.0.0/16)。为了能够从 Pod(Airflow 工作器)连接到任何服务,需要使用 IP 伪装。否则,服务会接收来自
192.168.0.0/16的流量,并由于防火墙规则而被丢弃。启用并配置 IP 伪装代理后,服务会接收来自10.0.0.0/8的接受
准备工作
您无法在 Google Cloud 控制台中启用 IP 伪装代理。
为现有环境启用 IP 伪装代理
无法为现有环境启用 IP 伪装代理。
创建环境时启用 IP 伪装代理
您可以在创建环境时启用 IP 伪装代理。
如需详细了解如何创建 Cloud Composer 环境,请参阅创建环境。
控制台
您无法在 Google Cloud 控制台中启用 IP 伪装代理。
gcloud
创建环境时,--enable-ip-masq-agent 参数会启用 IP Masqerade 代理。您还必须使用 --enable-ip-alias 参数启用 IP 别名。
gcloud composer environments create ENVIRONMENT_NAME \
--location LOCATION \
--image-version composer-1.20.12-airflow-1.10.15 \
--enable-ip-alias \
--enable-ip-masq-agent
您需要将其中的:
ENVIRONMENT_NAME替换为环境的名称。LOCATION替换为环境所在的区域。
示例:
gcloud composer environments create example-environment \
--location us-central1 \
--image-version composer-1.20.12-airflow-1.10.15 \
--enable-ip-alias \
--enable-ip-masq-agent
API
构建 environments.create API 请求。在 Environment 资源中指定配置。
{
"name": "projects/PROJECT_ID/locations/LOCATION/environments/ENVIRONMENT_NAME",
"config": {
"softwareConfig": {
"imageVersion": "composer-1.20.12-airflow-1.10.15"
},
"nodeConfig": {
"ipAllocationPolicy": {
"useIpAliases": true,
},
"enableIpMasqAgent": true
}
}
}
您需要将其中的:
- 将
PROJECT_ID替换为项目 ID。 LOCATION替换为环境所在的区域。- 将
ENVIRONMENT_NAME替换为环境名称。
示例:
// POST https://composer.googleapis.com/v1/{parent=projects/*/locations/*}/environments
{
"name": "projects/example-project/locations/us-central1/environments/example-environment",
"config": {
"softwareConfig": {
"imageVersion": "composer-1.20.12-airflow-1.10.15"
},
"nodeConfig": {
"ipAllocationPolicy": {
"useIpAliases": true,
},
"enableIpMasqAgent": true
}
}
}
Terraform
创建环境时,node_config 块中的 enable_ip_masq_agent 字段启用 IP 伪装代理。您还必须在 ip_allocation_policy 块中使用 use_ip_aliases 字段启用 IP 别名。
resource "google_composer_environment" "example_environment" {
provider = google-beta
name = "ENVIRONMENT_NAME"
region = "LOCATION"
config {
software_config {
image_version = "composer-1.20.12-airflow-1.10.15"
}
node_config {
ip_allocation_policy = [{
use_ip_aliases = true
// Other networking configuration
}]
enable_ip_masq_agent = true
}
}
您需要将其中的:
ENVIRONMENT_NAME替换为环境的名称。LOCATION替换为环境所在的区域。
示例:
resource "google_composer_environment" "example_environment" {
provider = google-beta
name = "example-environment"
region = "us-central1"
config {
software_config {
image_version = "composer-1.20.12-airflow-1.10.15"
}
node_config {
ip_allocation_policy = [{
use_ip_aliases = true
// Other networking configuration
}]
enable_ip_masq_agent = true
}
}
}
配置 IP 伪装代理
如需详细了解如何在 Cloud Composer 1 中使用和配置 IP 伪装代理,请参阅在标准集群中配置 IP 伪装代理。