Configurar rede de IP privado

Cloud Composer 1 | Cloud Composer 2

Nesta página, você verá informações sobre como configurar a rede de projetos do Google Cloud para ambientes de IP privado.

Para ambientes de IP privado, o Cloud Composer atribui apenas endereços IP privados (RFC 1918) às VMs gerenciadas do Cloud Kubernetes e Google Kubernetes Engine no ambiente.

Como opção, também é possível usar endereços IP públicos de modo privado e o agente de mascaramento de IP para salvar o espaço de endereço IP.

Para ver informações sobre como se conectar a recursos no ambiente, consulte IP particular.

Antes de começar

Verifique se você tem as permissões apropriadas da conta de serviço e do usuário para criar um ambiente.

Etapa 1. Verificar os requisitos de rede

Verifique se a rede VPC do seu projeto atende aos requisitos a seguir:

  • Verifique se não há conflitos de blocos de IP particulares. Se a rede VPC e os pares de VPC estabelecidos tiverem blocos de IP sobrepostos com a rede VPC no projeto de locatário gerenciado pelo Google, o Cloud Composer não poderá criar o ambiente. de dados. Consulte a coluna Intervalo de IP do servidor da Web na tabela de intervalos de IP padrão para ver os padrões usados em cada região.

  • Verifique se há intervalos de IP secundários suficientes para os pods e serviços do GKE do Cloud Composer. O GKE pesquisa por intervalos de IP secundários para criar alias de IP. Se o GKE não encontrar um intervalo, o Cloud Composer não criará o ambiente.

  • Garanta que o número de conexões de peering de VPC na sua rede VPC não exceda 25. Considere o seguinte:

    • O número máximo de ambientes de IP privado que pode ser criado depende do número de conexões de peering de VPC atuais na rede VPC.
    • Para cada ambiente de IP privado, o Cloud Composer cria uma conexão de peering com a rede do projeto de locatário.
    • Se o ambiente estiver localizado em uma zona diferente de outros ambientes na rede VPC, o cluster particular do GKE criará outra conexão de peering de VPC.
    • Se todos os ambientes na rede VPC estiverem na mesma zona, o número máximo de ambientes de IP privado compatível com o Cloud Composer será 23.
    • Se todos os ambientes na rede VPC estiverem em zonas diferentes, o número máximo de ambientes de IP particular será 12.
  • Verifique se o número de intervalos secundários na sub-rede não excede 30. Considere o seguinte:

    • O cluster do GKE para o ambiente de IP privado cria dois intervalos secundários na sub-rede. É possível criar várias sub-redes na mesma região e na mesma rede VPC.
    • O número máximo aceito de intervalos secundários é 30. Como cada ambiente de IP particular requer dois intervalos secundários para os pods e serviços do GKE para Cloud Composer, cada sub-rede é compatível com até 15 ambientes de IP privado.

Etapa 2: Escolher uma rede, uma sub-rede e intervalos de rede

Escolha os intervalos de rede do ambiente do IP privado ou use os padrão. Você usará esses intervalos de rede mais tarde ao criar um ambiente de IP privado.

Para criar um ambiente de IP privado, você precisa ter as seguintes informações:

  • O ID da rede VPC
  • O ID da sub-rede VPC
  • Dois intervalos de IP secundários na sub-rede VPC:
    • Intervalo de IP secundário para pods
    • Intervalo de IP secundário para serviços
  • Três intervalos de IP para os componentes do ambiente:
    • Intervalo de IP do plano de controle do GKE. Intervalo de IP para o plano de controle do GKE.
    • Intervalo de IP do servidor da Web. Intervalo de IP para a instância do servidor da Web do Airflow
    • Intervalo de IP do Cloud SQL. Intervalo de IP para a instância do Cloud SQL.

Consulte a tabela de intervalos de IP padrão para ver os padrões usados em cada região.

Intervalos de IP padrão

Região Intervalo de IP do plano de controle do GKE Intervalo de IP do servidor da Web Intervalo de IP do Cloud SQL
asia-east2 172.16.0.0/23 172.31.255.0/24 10.0.0.0/12
asia-northeast1 172.16.2.0/23 172.31.254.0/24 10.0.0.0/12
asia-northeast2 172.16.32.0/23 172.31.239.0/24 10.0.0.0/12
asia-northeast3 172.16.30.0/23 172.31.240.0/24 10.0.0.0/12
asia-south1 172.16.4.0/23 172.31.253.0/24 10.0.0.0/12
australia-southeast1 172.16.6.0/23 172.31.252.0/24 10.0.0.0/12
europe-west1 172.16.8.0/23 172.31.251.0/24 10.0.0.0/12
europe-west2 172.16.10.0/23 172.31.250.0/24 10.0.0.0/12
europe-west3 172.16.12.0/23 172.31.249.0/24 10.0.0.0/12
europe-west6 172.16.14.0/23 172.31.248.0/24 10.0.0.0/12
europe-central2 172.16.36.0/23 172.31.237.0/24 10.0.0.0/12
northamerica-northeast1 172.16.16.0/23 172.31.247.0/24 10.0.0.0/12
southamerica-east1 172.16.18.0/23 172.31.246.0/24 10.0.0.0/12
us-central1 172.16.20.0/23 172.31.245.0/24 10.0.0.0/12
us-east1 172.16.22.0/23 172.31.244.0/24 10.0.0.0/12
us-east4 172.16.24.0/23 172.31.243.0/24 10.0.0.0/12
us-west2 172.16.34.0/23 172.31.238.0/24 10.0.0.0/12
us-west3 172.16.26.0/23 172.31.242.0/24 10.0.0.0/12
us-west4 172.16.28.0/23 172.31.241.0/24 10.0.0.0/12

Etapa 3. Configurar regras de firewall

Configure sua rede VPC para permitir que o tráfego do ambiente de IP privado alcance os destinos necessários.

  1. No Console do Google Cloud, acesse a página Firewall.

    Acessar o Firewall

  2. Configure as seguintes regras de firewall:

    • Permite a saída do intervalo de IP do nó do GKE para qualquer destino (0.0.0.0/0), porta TCP/UDP 53.
    • Permitir a saída do intervalo de IP do nó do GKE para o intervalo de IP do nó do GKE, todas as portas.
    • Permitir a saída do intervalo de IPs de nós do GKE para o intervalo de IPs de pods do GKE, todas as portas.
    • Permitir a saída do intervalo de IP do nó do GKE para o intervalo de IP do plano de controle do GKE em todas as portas.
    • Permitir a entrada das verificações de integridade do GCP 130.211.0.0/22, 35.191.0.0/16 para o intervalo de IP do nó do GKE, portas TCP 80 e 443.
    • Permitir a saída do intervalo de IP do nó do GKE para verificações de integridade do GCP 130.211.0.0/22, 35.191.0.0/16, portas TCP 80 e 443.
    • Permitir a saída do intervalo de IPs de nós do GKE para o intervalo de IPs do servidor da Web, das portas TCP 3306 e 3307.

    Consulte Como usar regras de firewall para saber como verificar, adicionar e atualizar regras para sua rede VPC.

Configuração do nativo de VPC

O Cloud Composer é compatível com clusters do GKE nativos de VPC no ambiente.

Durante a criação do ambiente, é possível ativar a VPC nativa (usando o IP do alias) e configurar a rede, como a alocação de IP, sem ativar o IP particular.

Como um cluster nativo de VPC é necessário para que as tarefas do Airflow se comuniquem com outras VMs acessíveis por IPs particulares, ative também o nativo de VPC para configurar um ambiente de IP particular.