Configura herramientas de redes de IP privada

Cloud Composer 1 | Cloud Composer 2

En esta página, se proporciona información sobre la configuración de las herramientas de redes de tu proyecto de Google Cloud para entornos de IP privada.

Para entornos de IP privada, Cloud Composer solo asigna direcciones IP privadas (RFC 1918) a las VM administradas de Google Kubernetes Engine y Cloud SQL en tu entorno.

Para obtener información sobre cómo conectarse a recursos en el entorno, consulta IP privada.

Antes de comenzar

Asegúrate de tener los permisos de cuenta de servicio y de usuario adecuados para crear un entorno.

Paso 1: Verifica los requisitos de red

Verifica que la red de VPC de tu proyecto cumpla con los siguientes requisitos:

  • Asegúrate de que no haya conflictos de bloqueo de IP privadas. Si tu red de VPC y sus pares de VPC establecidos tienen bloques de IP que se superponen con la red de VPC en el proyecto de usuario administrado por Google, Cloud Composer no puede crear tu entorno. , Consulta la columna Rango de IP de servidor web en la tabla de rangos de IP predeterminados para conocer los valores predeterminados que se usan en cada región.

  • Asegúrate de que haya suficientes rangos de IP secundarios para los pods y los servicios de GKE de Cloud Composer. GKE busca rangos de IP secundarios para los alias de IP. Si GKE no puede encontrar un rango, Cloud Composer no podrá crear tu entorno.

  • Asegúrate de que la cantidad de conexiones de intercambio de tráfico de VPC en tu red de VPC no sea superior a 25. Ten en cuenta lo siguiente:

    • La cantidad máxima de entornos de IP privada que puedes crear depende de la cantidad de conexiones de intercambio de tráfico de VPC existentes en la red de VPC.
    • En cada entorno de IP privada, Cloud Composer crea una conexión de intercambio de tráfico para la red del proyecto de usuario.
    • Si tu entorno está ubicado en una zona diferente a la de otros entornos de la red de VPC, el clúster privado de GKE crea otra conexión de intercambio de tráfico de VPC.
    • Si todos los entornos en la red de VPC están en la misma zona, la cantidad máxima de entornos de IP privada que puede admitir Cloud Composer es 23.
    • Si todos los entornos de la red de VPC se encuentran en zonas diferentes, la cantidad máxima de entornos de IP privada es 12.
  • Asegúrate de que la cantidad de rangos secundarios en tu subred no supere los 30. Ten en cuenta lo siguiente:

    • El clúster de GKE para tu entorno de IP privada crea dos rangos secundarios en la subred. Puedes crear varias subredes en la misma región para la misma red de VPC.
    • La cantidad máxima de rangos secundarios admitidos es 30. Debido a que cada entorno de IP privada requiere dos rangos secundarios para los Pods y los servicios de GKE de Cloud Composer, cada subred admite hasta 15 entornos de IP privada.

Paso 2: Elige una red, una subred y rangos de red

Elige los rangos de red de tu entorno de IP privada (o usa los predeterminados). Usarás estos rangos de red más adelante cuando crees un entorno de IP privada.

Para crear un entorno de IP privada, debes tener la siguiente información:

  • Tu ID de red de VPC
  • Tu ID de subred de VPC
  • Dos rangos de IP secundarios en la subred de VPC:
    • Rango de IP secundario para Pods
    • Rango de IP secundario para servicios
  • Tres rangos de IP para los componentes del entorno:
    • Rango de IP del plano de control de GKE. Rango de IP para el plano de control de GKE.
    • Rango de IP del servidor web. Rango de IP para la instancia del servidor web de Airflow
    • Rango de IP de Cloud SQL. Rango de IP para la instancia de Cloud SQL.

Consulta la tabla de rangos de IP predeterminados para conocer los valores predeterminados que se usan en cada región.

Rangos de IP predeterminados

Región Rango de IP del plano de control de GKE Rango de IP del servidor web Rango de IP de Cloud SQL
asia-east2 172.16.0.0/23 172.31.255.0/24 10.0.0.0/12
asia-northeast1 172.16.2.0/23 172.31.254.0/24 10.0.0.0/12
asia-northeast2 172.16.32.0/23 172.31.239.0/24 10.0.0.0/12
asia-northeast3 172.16.30.0/23 172.31.240.0/24 10.0.0.0/12
asia-south1 172.16.4.0/23 172.31.253.0/24 10.0.0.0/12
australia-southeast1 172.16.6.0/23 172.31.252.0/24 10.0.0.0/12
europe-west1 172.16.8.0/23 172.31.251.0/24 10.0.0.0/12
europe-west2 172.16.10.0/23 172.31.250.0/24 10.0.0.0/12
europe-west3 172.16.12.0/23 172.31.249.0/24 10.0.0.0/12
europe-west6 172.16.14.0/23 172.31.248.0/24 10.0.0.0/12
europe-central2 172.16.36.0/23 172.31.237.0/24 10.0.0.0/12
northamerica-northeast1 172.16.16.0/23 172.31.247.0/24 10.0.0.0/12
southamerica-east1 172.16.18.0/23 172.31.246.0/24 10.0.0.0/12
us-central1 172.16.20.0/23 172.31.245.0/24 10.0.0.0/12
us-east1 172.16.22.0/23 172.31.244.0/24 10.0.0.0/12
us-east4 172.16.24.0/23 172.31.243.0/24 10.0.0.0/12
us-west2 172.16.34.0/23 172.31.238.0/24 10.0.0.0/12
us-west3 172.16.26.0/23 172.31.242.0/24 10.0.0.0/12
us-west4 172.16.28.0/23 172.31.241.0/24 10.0.0.0/12

Paso 3: Configura reglas de firewall

Configura tu red de VPC para permitir que el tráfico de tu entorno de IP privada llegue a los destinos requeridos.

  1. En Google Cloud Console, ve a la página Firewall.

    Ir a Firewall

  2. Configura las siguientes reglas de firewall:

    • Permite la salida del rango de IP de nodo de GKE a cualquier destino (0.0.0.0/0), puerto TCP/UDP 53.
    • Permite la salida del rango de IP de nodo de GKE al rango de IP de nodo de GKE, todos los puertos.
    • Permite la salida del rango de IP de nodo de GKE al rango de IP de los pods de GKE, todos los puertos.
    • Permite la salida del rango de IP de nodo de GKE al rango de IP del plano de control de GKE, todos los puertos.
    • Permite la entrada de las verificaciones de estado 130.211.0.0/22 y 35.191.0.0/16 de GCP al rango de IP de nodo de GKE, los puertos TCP 80 y 443.
    • Permite la salida del rango de IP de nodo de GKE a las verificaciones de estado 130.211.0.0/22 de GCP, 35.191.0.0/16, los puertos TCP 80 y 443.
    • Permite la salida del rango de IP de nodo de GKE al rango de IP del servidor web, los puertos TCP 3306 y 3307.

    Consulta Usa reglas de firewall a fin de obtener información sobre cómo verificar, agregar y actualizar reglas para tu red de VPC.

Configuración nativa de VPC

Cloud Composer admite clústeres de GKE nativos de VPC en tu entorno.

Durante la creación del entorno, puedes habilitar la VPC nativa (con un alias de IP) y configurar herramientas de redes, como la asignación de IP, sin habilitar una IP privada.

Dado que se requiere un clúster nativo de la VPC para que las tareas de Airflow se comuniquen con otras VM a las que se puede acceder a través de IP privadas, también debes habilitar nativos de VPC a fin de configurar un entorno de IP privada.