配置专用 IP 网络

Cloud Composer 1 | Cloud Composer 2

本页面介绍如何为专用 IP 环境配置 Google Cloud 项目网络。

对于专用 IP 环境,Cloud Composer 仅会为您的环境中的代管式 Google Kubernetes Engine 和 Cloud SQL 虚拟机分配专用 IP (RFC 1918) 地址。

作为选项,您还可以使用不公开使用的公共 IP 地址IP 伪装代理保存 IP 地址空间并使用非 RFC 1918 地址。

如需了解如何连接到环境中的资源,请参阅专用 IP

准备工作

确保您拥有创建环境所需的相应用户和服务帐号权限

第 1 步:检查网络要求

您需要验证项目的 VPC 网络是否满足以下要求:

  • 确保不存在专用 IP 块冲突。如果您的 VPC 网络及其已建立的 VPC 对等体与 Google 管理的租户项目中的 VPC 网络之间存在重叠的 IP 地址块,Cloud Composer 将无法创建您的环境。请参阅默认 IP 范围表中的网络服务器 IP 范围列,了解每个区域中使用的默认值。

  • 确保 Cloud Composer GKE pod 和服务具有足够的次要 IP 范围。GKE 会在次要 IP 范围内搜索 IP 别名。如果 GKE 找不到某一范围,则 Cloud Composer 无法创建您的环境。

  • 确保您的 VPC 网络中的 VPC 对等互连连接数不超过 25 个。请考虑以下事项:

    • 您可以创建的专用 IP 环境的数量上限取决于您的 VPC 网络中已有的 VPC 对等互连连接的数量。
    • 对于每个专用 IP 环境,Cloud Composer 会为租户项目网络创建一个对等互连连接。
    • 如果您的环境与 VPC 网络中其他环境位于不同的可用区,专用 GKE 集群会创建另一个 VPC 对等互连连接。
    • 如果 VPC 网络中的所有环境位于同一可用区,则 Cloud Composer 可支持的专用 IP 环境的数量上限为 23 个。
    • 如果 VPC 网络中的所有环境位于不同的可用区,则专用 IP 环境的数量上限为 12 个。
  • 确保子网中的次要范围数不超过 30 个。请考虑以下事项:

    • 专用 IP 环境的 GKE 集群会在子网中创建两个次要范围。您可以在同一区域中为同一 VPC 网络创建多个子网。
    • 最多支持 30 个次要范围。由于每个专用 IP 环境都需要两个次要范围(用于 Cloud Composer GKE pod 和服务),因此每个子网最多支持 15 个专用 IP 环境。

第 2 步:选择网络、子网和网络范围

为您的专用 IP 环境选择网络范围(或使用默认范围)。稍后您在创建专用 IP 环境时会使用这些网络范围。

如需创建专用 IP 环境,您需要提供以下信息:

  • 您的 VPC 网络 ID
  • 您的 VPC 子网 ID
  • VPC 子网中的两个次要 IP 范围:
    • pod 的次要 IP 范围
    • Service 的次要 IP 范围
  • 环境组件的三个 IP 范围:

    • GKE 控制平面 IP 范围。GKE 控制平面的 IP 范围。
    • 网络服务器 IP 范围。Airflow 网络服务器实例的 IP 范围
    • Cloud SQL IP 范围。Cloud SQL 实例的 IP 范围。

如需了解每个区域中使用的默认值,请参阅默认 IP 范围表

默认 IP 范围

单区域 GKE 控制平面 IP 范围 网络服务器 IP 范围 Cloud SQL IP 范围
asia-east2 172.16.0.0/23 172.31.255.0/24 10.0.0.0/12
asia-northeast1 172.16.2.0/23 172.31.254.0/24 10.0.0.0/12
asia-northeast2 172.16.32.0/23 172.31.239.0/24 10.0.0.0/12
asia-northeast3 172.16.30.0/23 172.31.240.0/24 10.0.0.0/12
asia-south1 172.16.4.0/23 172.31.253.0/24 10.0.0.0/12
asia-southeast1 172.16.40.0/23 172.31.235.0/24 10.0.0.0/12
australia-southeast1 172.16.6.0/23 172.31.252.0/24 10.0.0.0/12
europe-west1 172.16.8.0/23 172.31.251.0/24 10.0.0.0/12
europe-west2 172.16.10.0/23 172.31.250.0/24 10.0.0.0/12
europe-west3 172.16.12.0/23 172.31.249.0/24 10.0.0.0/12
europe-west6 172.16.14.0/23 172.31.248.0/24 10.0.0.0/12
europe-central2 172.16.36.0/23 172.31.237.0/24 10.0.0.0/12
northamerica-northeast1 172.16.16.0/23 172.31.247.0/24 10.0.0.0/12
southamerica-east1 172.16.18.0/23 172.31.246.0/24 10.0.0.0/12
us-central1 172.16.20.0/23 172.31.245.0/24 10.0.0.0/12
us-east1 172.16.22.0/23 172.31.244.0/24 10.0.0.0/12
us-east4 172.16.24.0/23 172.31.243.0/24 10.0.0.0/12
us-west1 172.16.38.0/23 172.31.236.0/24 10.0.0.0/12
us-west2 172.16.34.0/23 172.31.238.0/24 10.0.0.0/12
us-west3 172.16.26.0/23 172.31.242.0/24 10.0.0.0/12
us-west4 172.16.28.0/23 172.31.241.0/24 10.0.0.0/12

第 3 步:配置防火墙规则

配置 VPC 网络以允许来自专用 IP 环境的流量到达所需的目的地。

  1. 在 Google Cloud Console 中,转到防火墙页面。

    转到防火墙

  2. 配置以下防火墙规则

    • 允许从 GKE 节点 IP 范围到任何目标 (0.0.0.0/0)、TCP/UDP 端口 53 的出站流量;如果您知道 DNS 服务器 IP 地址,则允许从 GKE 节点 IP 范围到 TCP/UDP 端口 53 的 DNS IP 地址。
    • 允许 GKE 节点 IP 地址范围和 GKE 节点 IP 地址范围(所有端口)之间的入站和出站流量。
    • 允许 GKE 节点 IP 范围和 Pod IP 范围和所有端口之间的入站流量和出站流量。
    • 允许 GKE 节点 IP 范围与服务 IP 范围、所有端口之间的入站流量和出站流量。
    • 允许 GKE Pod 与 Service IP 地址范围(所有端口)之间的入站和出站流量。
    • 允许从 GKE 节点 IP 地址范围到 GKE 控制平面 IP 地址范围(包括所有端口)的入站和出站流量。
    • 允许从 GCP 健康检查 130.211.0.0/22、35.191.0.0/16 到 GKE 节点 IP 范围、TCP 端口 80 和 443 的入站流量。
    • 允许从 GKE 节点 IP 范围到 GCP 健康检查 130.211.0.0/22、35.191.0.0/16、TCP 端口 80 和 443 的出站流量。

    • 允许从 GKE 节点 IP 范围到网络服务器 IP 范围、TCP 端口 3306 和 3307 的出站流量。

    请参阅使用防火墙规则,了解如何检查、添加和更新 VPC 网络的规则。使用连接工具验证上述 IP 范围之间的连接。

VPC 原生配置

Cloud Composer 支持在您的环境中使用 VPC 原生 GKE 集群。

创建环境期间,您可以启用 VPC 原生(使用别名 IP)功能并配置网络(例如 IP 分配),而不启用专用 IP。

由于 Airflow 任务需要使用 VPC 原生集群来与可通过专用 IP 访问的其他虚拟机通信,因此您还必须启用 VPC 原生功能来配置专用 IP 环境。