プライベート IP ネットワークを構成する

Cloud Composer 1 | Cloud Composer 2

このページでは、プライベート IP 環境用の Google Cloud プロジェクト ネットワークの構成について説明します。

プライベート IP 環境の場合、Cloud Composer では、環境内のマネージド Google Kubernetes Engine と Cloud SQL VM にプライベート IP(RFC 1918)アドレスのみが割り当てられます。

オプションとして、プライベートで使用されるパブリック IP アドレスIP マスカレード エージェントを使用して IP アドレス空間を節約することもできます。

環境内のリソースへの接続については、プライベート IP をご覧ください。

始める前に

環境を作成するために、適切なユーザー アカウントとサービス アカウントの権限があることを確認してください。

手順 1. ネットワーク要件を確認する

プロジェクトの VPC ネットワークが次の要件を満たしていることを確認してください。

  • プライベート IP ブロックの競合がないことを確認します。Google 管理のテナント プロジェクトで、VPC ネットワークとその確立された VPC ピアに、VPC ネットワークと重複する IP ブロックが存在すると、Cloud Composer で環境の作成ができません。各リージョンで使用されるデフォルト値については、デフォルトの IP 範囲の表で、ウェブサーバーの IP 範囲の列をご覧ください。

  • Cloud Composer GKE Pod と Service に対して十分な大きさのセカンダリ IP 範囲が設定されていることを確認します。GKE では、IP エイリアス設定のためにセカンダリ IP 範囲が検索されます。GKE で範囲が見つからないと、Cloud Composer で環境の作成ができません。

  • VPC ネットワークの VPC ピアリング接続の数は、25 を超えないようにします。次の点を考慮してください。

    • 作成できるプライベート IP 環境の最大数は、VPC ネットワークにすでに存在している VPC ピアリング接続の数によって異なります。
    • プライベート IP 環境ごとに、Cloud Composer により、テナント プロジェクト ネットワークに対して 1 つのピアリング接続が作成されます。
    • 環境が VPC ネットワーク内の他の環境とは異なるゾーンにある場合、限定公開 GKE クラスタでは、別の VPC ピアリング接続が作成されます。
    • VPC ネットワーク内のすべての環境が同じゾーンにある場合、Cloud Composer でサポートできるプライベート IP 環境の最大数は 23 です。
    • VPC ネットワーク内のすべての環境が異なるゾーンにある場合、プライベート IP 環境の最大数は 12 です。
  • サブネットワーク内のセカンダリ範囲の数は、30 を超えないようにしてください。次の点を考慮してください。

    • プライベート IP 環境用の GKE クラスタでは、サブネットワーク内に 2 つのセカンダリ範囲を作成します。同じ VPC ネットワークの同じリージョンに複数のサブネットワークを作成できます。
    • サポート対象のセカンダリ範囲の最大数は 30 です。各プライベート IP 環境では Cloud Composer GKE Pod と Service 用に 2 つのセカンダリ範囲が必要なため、各サブネットワークは、最大 15 個のプライベート IP 環境をサポートします。

ステップ 2. ネットワーク、サブネットワーク、ネットワーク範囲を選択する

プライベート IP 環境のネットワーク範囲を選択(またはデフォルトの範囲を使用)します。これらのネットワーク範囲は、後でプライベート IP 環境を作成するときに使用します。

プライベート IP 環境を作成するには、次の情報が必要です。

  • VPC ネットワーク ID
  • VPC サブネットワーク ID
  • VPC サブネットワーク内の 2 つのセカンダリ IP 範囲:
    • Pod のセカンダリ IP 範囲
    • Service のセカンダリ IP 範囲
  • 環境のコンポーネント用の 3 つの IP 範囲:
    • GKE コントロール プレーンの IP 範囲。GKE コントロール プレーン用の IP 範囲。
    • ウェブサーバーの IP 範囲。Airflow ウェブサーバー インスタンス用の IP 範囲
    • Cloud SQL の IP 範囲。Cloud SQL インスタンス用の IP 範囲。

各リージョンで使用されるデフォルト値については、デフォルトの IP 範囲の表をご覧ください。

デフォルトの IP 範囲

リージョン GKE コントロール プレーンの IP 範囲 ウェブサーバーの IP 範囲 Cloud SQL の IP 範囲
asia-east2 172.16.0.0/23 172.31.255.0/24 10.0.0.0/12
asia-northeast1 172.16.2.0/23 172.31.254.0/24 10.0.0.0/12
asia-northeast2 172.16.32.0/23 172.31.239.0/24 10.0.0.0/12
asia-northeast3 172.16.30.0/23 172.31.240.0/24 10.0.0.0/12
asia-south1 172.16.4.0/23 172.31.253.0/24 10.0.0.0/12
australia-southeast1 172.16.6.0/23 172.31.252.0/24 10.0.0.0/12
europe-west1 172.16.8.0/23 172.31.251.0/24 10.0.0.0/12
europe-west2 172.16.10.0/23 172.31.250.0/24 10.0.0.0/12
europe-west3 172.16.12.0/23 172.31.249.0/24 10.0.0.0/12
europe-west6 172.16.14.0/23 172.31.248.0/24 10.0.0.0/12
europe-central2 172.16.36.0/23 172.31.237.0/24 10.0.0.0/12
northamerica-northeast1 172.16.16.0/23 172.31.247.0/24 10.0.0.0/12
southamerica-east1 172.16.18.0/23 172.31.246.0/24 10.0.0.0/12
us-central1 172.16.20.0/23 172.31.245.0/24 10.0.0.0/12
us-east1 172.16.22.0/23 172.31.244.0/24 10.0.0.0/12
us-east4 172.16.24.0/23 172.31.243.0/24 10.0.0.0/12
us-west2 172.16.34.0/23 172.31.238.0/24 10.0.0.0/12
us-west3 172.16.26.0/23 172.31.242.0/24 10.0.0.0/12
us-west4 172.16.28.0/23 172.31.241.0/24 10.0.0.0/12

ステップ 3: ファイアウォール ルールの設定

プライベート IP 環境からのトラフィックが必要な宛先に到達できるように VPC ネットワークを構成します。

  1. Google Cloud Console で [ファイアウォール] ページに移動します。

    [ファイアウォール] に移動

  2. 次のファイアウォール ルールを構成します。

    • GKE ノード IP 範囲から、任意の宛先(0.0.0.0/0)への外向き(下り)を許可する、TCP/UDP ポート 53
    • GKE ノード IP 範囲から GKE ノード IP 範囲への外向き(下り)を許可する、すべてのポート
    • GKE ノード IP 範囲から GKE Pod IP 範囲への外向き(下り)を許可する、すべてのポート
    • GKE ノード IP 範囲から GKE コントロール プレーンの IP 範囲への外向き(下り)を許可する、すべてのポート
    • GCP ヘルスチェック 130.211.0.0/22、35.191.0.0/16 から GKE ノードの IP 範囲への内向き(上り)を許可する、TCP ポート 80 と 443
    • GKE ノードの IP 範囲から GCP ヘルスチェック 130.211.0.0/22、35.191.0.0/16 への外向き(下り)を許可する、TCP ポート 80 と 443
    • GKE ノードの IP 範囲からウェブサーバーの IP 範囲への外向き(下り)を許可する、TCP ポート 3306 と3307。

    VPC ネットワークのルールを確認、追加、更新する方法を学ぶには、ファイアウォール ルールの使用をご覧ください。

VPC ネイティブ構成

Cloud Composer は、ご使用の環境で VPC ネイティブ GKE クラスタをサポートします。

環境の作成中に、VPC ネイティブを有効にし(エイリアス IP を使用)、プライベート IP を有効にせずに、IP 割り当てなどのネットワーキングを構成できます。

Airflow タスクがプライベート IP 経由でアクセス可能な他の VM と通信するには VPC ネイティブ クラスタが必要なため、VPC ネイティブを有効にして、プライベート IP 環境を構成する必要もあります。