Cloud Composer 1 | Cloud Composer 2
Nesta página, você verá informações sobre como configurar a rede de projetos do Google Cloud para ambientes de IP privado.
Para ambientes de IP privado, o Cloud Composer atribui apenas endereços IP privados (RFC 1918) às VMs gerenciadas do Cloud Kubernetes e Google Kubernetes Engine no ambiente.
Como opção, também é possível usar endereços IP públicos de modo privado e o agente de mascaramento de IP para salvar o espaço de endereço IP.
Para mais informações sobre como se conectar a recursos no ambiente, consulte IP privado.
Antes de começar
Verifique se você tem as permissões apropriadas da conta de serviço e do usuário para criar um ambiente.
Etapa 1. Verificar os requisitos de rede
Verifique se a rede VPC do seu projeto atende aos requisitos a seguir:
Certifique-se de que não haja conflitos com blocos de IPs particulares. Se a rede VPC e os pares estabelecidos dela tiverem blocos de IPs sobrepostos no projeto de locatário gerenciado pelo Google, o Cloud Composer não criará o ambiente. Consulte a coluna Intervalo de IP do servidor da Web na tabela de intervalos de IP padrão para ver os padrões usados em cada região.
Verifique se há intervalos de IP secundários suficientes para os pods e serviços do GKE do Cloud Composer. O GKE pesquisa esses intervalos para realizar o alias de IP. Se nenhum intervalo for encontrado, o Cloud Composer não criará o ambiente.
Garanta que o número de conexões de peering de VPC na sua rede VPC não exceda 25. Considere o seguinte:
- O número máximo de ambientes de IP privado que pode ser criado depende do número de conexões de peering de VPC atuais na rede VPC.
- Para cada ambiente de IP privado, o Cloud Composer cria uma conexão de peering com a rede do projeto de locatário.
- Se o ambiente estiver localizado em uma zona diferente de outros ambientes na rede VPC, o cluster particular do GKE criará outra conexão de peering de VPC.
- Se todos os ambientes na rede VPC estiverem na mesma zona, o número máximo de ambientes de IP privado compatível com o Cloud Composer será 23.
- Se todos os ambientes na rede VPC estiverem em zonas diferentes, o número máximo de ambientes de IP particular será 12.
Verifique se o número de intervalos secundários na sub-rede não excede 30. Considere o seguinte:
- O cluster do GKE para o ambiente de IP privado cria dois intervalos secundários na sub-rede. É possível criar várias sub-redes na mesma região e na mesma rede VPC.
- O número máximo aceito de intervalos secundários é 30. Como cada ambiente de IP particular requer dois intervalos secundários para os pods e serviços do GKE para Cloud Composer, cada sub-rede é compatível com até 15 ambientes de IP privado.
Etapa 2: Escolher uma rede, uma sub-rede e intervalos de rede
Escolha os intervalos de rede do ambiente do IP privado ou use os padrão. Você usará esses intervalos de rede mais tarde ao criar um ambiente de IP privado.
Para criar um ambiente de IP privado, você precisa ter as seguintes informações:
- O ID da rede VPC
- O ID da sub-rede VPC
- Dois intervalos de IP secundários na sub-rede VPC:
- Intervalo de IP secundário para pods
- Intervalo de IP secundário para serviços
Três intervalos de IP para os componentes do ambiente:
- Intervalo de IP do plano de controle do GKE. Intervalo de IP para o plano de controle do GKE.
- Intervalo de IP do servidor da Web. Intervalo de IP para a instância do servidor da Web do Airflow.
Intervalo de IP do Cloud SQL. Intervalo de IP para a instância do Cloud SQL.
Consulte a tabela de intervalos de IP padrão para ver os padrões usados em cada região.
Intervalos de IP padrão
| Região | Intervalo de IP do plano de controle do GKE | Intervalo de IP do servidor da Web | Intervalo de IP do Cloud SQL |
|---|---|---|---|
| asia-east2 | 172.16.0.0/23 | 172.31.255.0/24 | 10.0.0.0/12 |
| asia-northeast1 | 172.16.2.0/23 | 172.31.254.0/24 | 10.0.0.0/12 |
| asia-northeast2 | 172.16.32.0/23 | 172.31.239.0/24 | 10.0.0.0/12 |
| asia-northeast3 | 172.16.30.0/23 | 172.31.240.0/24 | 10.0.0.0/12 |
| asia-south1 | 172.16.4.0/23 | 172.31.253.0/24 | 10.0.0.0/12 |
| asia-southeast1 | 172.16.40.0/23 | 172.31.235.0/24 | 10.0.0.0/12 |
| australia-southeast1 | 172.16.6.0/23 | 172.31.252.0/24 | 10.0.0.0/12 |
| europe-west1 | 172.16.8.0/23 | 172.31.251.0/24 | 10.0.0.0/12 |
| europe-west2 | 172.16.10.0/23 | 172.31.250.0/24 | 10.0.0.0/12 |
| europe-west3 | 172.16.12.0/23 | 172.31.249.0/24 | 10.0.0.0/12 |
| europe-west6 | 172.16.14.0/23 | 172.31.248.0/24 | 10.0.0.0/12 |
| europe-central2 | 172.16.36.0/23 | 172.31.237.0/24 | 10.0.0.0/12 |
| northamerica-northeast1 | 172.16.16.0/23 | 172.31.247.0/24 | 10.0.0.0/12 |
| southamerica-east1 | 172.16.18.0/23 | 172.31.246.0/24 | 10.0.0.0/12 |
| us-central1 | 172.16.20.0/23 | 172.31.245.0/24 | 10.0.0.0/12 |
| us-east1 | 172.16.22.0/23 | 172.31.244.0/24 | 10.0.0.0/12 |
| us-east4 | 172.16.24.0/23 | 172.31.243.0/24 | 10.0.0.0/12 |
| us-west1 | 172.16.38.0/23 | 172.31.236.0/24 | 10.0.0.0/12 |
| us-west2 | 172.16.34.0/23 | 172.31.238.0/24 | 10.0.0.0/12 |
| us-west3 | 172.16.26.0/23 | 172.31.242.0/24 | 10.0.0.0/12 |
| us-west4 | 172.16.28.0/23 | 172.31.241.0/24 | 10.0.0.0/12 |
Etapa 3. Configurar regras de firewall
Configure sua rede VPC para permitir que o tráfego do ambiente de IP privado alcance os destinos necessários.
No Console do Google Cloud, acesse a página Firewall.
Configure as seguintes regras de firewall:
- Permita a saída do intervalo de IP do nó do GKE para qualquer destino (0.0.0.0/0), porta TCP/UDP 53. Se você souber endereços IP do servidor DNS, permita a saída do intervalo de IP do nó do GKE para endereços IP do DNS pela porta TCP/UDP 53.
- Permitir tráfego de entrada e saída entre os intervalos de IP de nós do GKE e de todas as portas.
- Permite o tráfego de entrada e saída entre o intervalo de IP do nó do GKE e o intervalo de IP dos pods, todas as portas.
- Permite o tráfego de entrada e saída entre o intervalo de IP de nós do GKE e o intervalo de IP de serviços em todas as portas.
- Permite o tráfego de entrada e saída entre pods do GKE e intervalos de IP de serviços, todas as portas.
- Permita a entrada e a saída do intervalo de IP de nós do GKE para o intervalo de IP do plano de controle do GKE, todas as portas.
- Permitir a entrada das verificações de integridade do GCP 130.211.0.0/22, 35.191.0.0/16 para o intervalo de IP do nó do GKE, portas TCP 80 e 443.
- Permitir a saída do intervalo de IP do nó do GKE para verificações de integridade do GCP 130.211.0.0/22, 35.191.0.0/16, portas TCP 80 e 443.
- Permitir a saída do intervalo de IPs de nós do GKE para o intervalo de IPs do servidor da Web, das portas TCP 3306 e 3307.
Consulte Como usar regras de firewall para aprender a verificar, adicionar e atualizar regras para sua rede VPC. Use a Ferramenta de conectividade para validar a conectividade entre os intervalos de IP mencionados acima.
Configuração do nativo de VPC
O Cloud Composer é compatível com clusters do GKE nativos de VPC no ambiente.
Durante a criação do ambiente, é possível ativar o nativo de VPC, usando o IP de alias, e configurar a rede, como alocação de IP, sem ativar o IP particular.
Como um cluster nativo de VPC é necessário para que as tarefas do Airflow se comuniquem com outras VMs acessíveis por IPs particulares, ative também o nativo de VPC para configurar um ambiente de IP particular.