Cloud Composer 1 | Cloud Composer 2
Halaman ini menjelaskan persyaratan jaringan VPC Bersama dan project host untuk Cloud Composer.
VPC Bersama memungkinkan organisasi menetapkan batas anggaran dan kontrol akses pada level project, sekaligus memungkinkan komunikasi yang aman dan efisien menggunakan IP pribadi yang melintasi batas tersebut. Dalam konfigurasi VPC Bersama, Cloud Composer dapat memanggil layanan yang dihosting di project Google Cloud lain di organisasi yang sama tanpa mengekspos layanan ke internet publik.
Panduan untuk VPC Bersama
VPC Bersama mengharuskan Anda menetapkan project host yang mencakup jaringan dan subnetwork, serta project layanan yang terpasang ke project host. Saat Cloud Composer berpartisipasi dalam VPC Bersama, lingkungan Cloud Composer berada dalam project layanan.
Untuk menyiapkan VPC Bersama, pilih rentang IP berikut di project host:
- Rentang IP Utama subnet yang digunakan oleh node GKE yang digunakan Cloud Composer sebagai lapisan Compute Engine-nya.
- Rentang IP Sekunder untuk layanan GKE.
- Rentang IP Sekunder untuk pod GKE.
Rentang IP Sekunder tidak boleh tumpang tindih dengan rentang sekunder lainnya di VPC ini.
Pastikan rentang sekunder cukup besar untuk mengakomodasi ukuran cluster dan penskalaan lingkungan Anda.
Lihat Membuat cluster native VPC untuk mendapatkan pedoman tentang cara mengonfigurasi rentang sekunder untuk pod dan layanan.
Rentang alamat IP utama subnet harus mengakomodasi perkiraan pertumbuhan dan memperhitungkan alamat IP yang tidak dapat digunakan.
Jika Anda menggunakan IP Masquerate Agent dan konfigurasi IP Pribadi untuk lingkungan Anda, tambahkan rentang IP Node dan Pod ke bagian
nonMasqueradeCIDRs
dariip-masq-agent
ConfigMap. Untuk informasi selengkapnya, lihat Mengonfigurasi agen penyamaran IP.
Persiapan
Temukan project ID dan nomor project berikut:
- Project host: Project yang berisi jaringan VPC Bersama.
- Project layanan: Project yang berisi lingkungan Cloud Composer.
Aktifkan GKE API di project layanan dan host Anda.
Jika Anda membuat lingkungan di project layanan menggunakan Google Cloud Console, akun Anda harus memiliki izin
compute.subnetworks.use
di project host. Jika tidak, daftar subnetwork yang tersedia tidak akan berisi subnetwork dari project host. Jika Anda membuat lingkungan menggunakangcloud
, API, atau Terraform, akun Anda tidak memerlukan izin tambahan ini.
Mengonfigurasi project host
Konfigurasikan project host seperti yang dijelaskan lebih lanjut.
(IP Pribadi) Mengaktifkan Akses Google Pribadi
Jika Anda berencana menggunakan lingkungan IP Pribadi, aktifkan Akses Google Pribadi untuk subnet di project host. Anda dapat melakukannya pada langkah berikutnya, saat mengonfigurasi resource jaringan untuk subnet baru atau yang sudah ada.
Jika Anda berencana menggunakan lingkungan IP Publik, sebaiknya tetap aktifkan Akses Google Pribadi untuk subnet di project host.
Jika Anda memilih untuk tidak menggunakan Akses Google Pribadi, pastikan Anda tidak memblokir traffic yang akan diizinkan oleh aturan IPv4 implisit mengizinkan traffic keluar - ini diperlukan untuk mencapai endpoint *.googleapis.com
dengan sukses.
Mengonfigurasi resource jaringan
Pilih salah satu opsi berikut untuk mengalokasikan dan mengonfigurasi resource jaringan. Untuk setiap opsi, Anda harus memberi nama rentang IP sekunder untuk pod dan service.
Opsi 1. Buat jaringan VPC, subnet, dan dua rentang IP sekunder baru.
Saat membuat subnet, gunakan Rentang IP Utama dengan mengikuti panduan.
Saat menentukan subnet, tentukan dua rentang IP sekunder untuk pod dan layanan.
Opsi 2. Buat subnet dan dua rentang IP sekunder di VPC yang ada.
Saat membuat subnet, gunakan Rentang IP Utama dengan mengikuti panduan.
Saat menentukan subnet, tentukan dua rentang IP sekunder untuk pod dan layanan.
Opsi 3. Buat dua rentang IP sekunder di subnet dan VPC yang ada.
- Tentukan dua rentang IP sekunder untuk Pod dan Layanan dengan mengikuti panduan. Hindari konflik nama dan rentang IP dengan rentang sekunder yang ada.
Menyiapkan VPC Bersama dan memasang project layanan
Jika belum dilakukan, Siapkan VPC Bersama. Jika Anda telah menyiapkan VPC Bersama, lanjutkan ke langkah berikutnya.
Lampirkan project layanan, yang Anda gunakan untuk menghosting lingkungan Cloud Composer.
Saat melampirkan project, jangan ubah izin Jaringan VPC default.
Mengedit izin untuk akun layanan Google API
Pada project host, edit izin untuk akun layanan Google API,
SERVICE_PROJECT_NUMBER@cloudservices.gserviceaccount.com
.
Untuk akun ini,
tambahkan peran lainnya, compute.networkUser
di level project. Ini merupakan persyaratan untuk grup instance terkelola yang digunakan dengan VPC Bersama karena jenis akun layanan ini menjalankan tugas seperti pembuatan instance.
Mengedit izin untuk akun layanan GKE
Pada project host, edit izin untuk akun layanan GKE, service-SERVICE_PROJECT_NUMBER@container-engine-robot.iam.gserviceaccount.com
.
Untuk setiap akun layanan, tambahkan peran lainnya, compute.networkUser
.
Berikan peran ini di tingkat subnet agar akun layanan dapat menyiapkan peering VPC yang diperlukan oleh Cloud Composer. Perlu diperhatikan bahwa dalam hal ini, Anda harus secara eksplisit menentukan subnetwork yang akan digunakan oleh lingkungan, karena cluster GKE mungkin tidak memiliki izin untuk menemukannya dalam jaringan.
Sebagai alternatif, Anda dapat memberikan peran ini untuk seluruh project host. Dalam hal ini, akun layanan GKE project layanan memiliki izin untuk menggunakan subnet apa pun dalam project host.
Mengedit izin untuk Akun Layanan GKE project layanan
Pada project host, edit izin untuk Akun Layanan GKE dari project layanan.
Untuk akun ini, tambahkan peran lain pada level project, Kubernetes Engine Host Service Agent User (roles/container.hostServiceAgentUser
).
Dengan demikian, Akun Layanan GKE dari project layanan dapat menggunakan Akun Layanan GKE dari project host untuk mengonfigurasi resource jaringan bersama.
(IP Pribadi, opsional) Mengonfigurasi aturan firewall dan konektivitas ke domain Google
Dalam konfigurasi VPC Bersama dengan lingkungan IP Pribadi, sebagai salah satu opsi, Anda mungkin ingin merutekan semua traffic ke Google API dan layanan Google melalui beberapa alamat IP yang termasuk dalam domain private.googleapis.com
dan mengonfigurasi aturan firewall yang sesuai. Dalam konfigurasi ini, lingkungan Anda mengakses Google API dan layanan Google melalui alamat IP yang hanya dapat dirutekan dari dalam Google Cloud. Jika konfigurasi VPC Bersama Anda menggunakan Kontrol Layanan VPC, rutekan traffic melalui restricted.googleapis.com
.
Jika konfigurasi VPC Bersama Anda menggunakan lingkungan IP Pribadi:
- (Opsional) Konfigurasi konektivitas ke Google API dan layanan Google.
- (Opsional) Konfigurasi aturan firewall.
Jika konfigurasi VPC Bersama Anda menggunakan Kontrol Layanan VPC, gunakan petunjuk untuk lingkungan dengan Kontrol Layanan VPC:
Mengedit izin untuk Akun Layanan Agen Composer
Dalam project layanan, jika ini adalah lingkungan Cloud Composer pertama, sediakan Akun Layanan Agen Composer:
gcloud beta services identity create --service=composer.googleapis.com
.Di project host:
Edit izin untuk Akun Layanan Agen Composer,
service-SERVICE_PROJECT_NUMBER@cloudcomposer-accounts.iam.gserviceaccount.com
)Untuk akun ini, tambahkan peran lain di level project:
Untuk lingkungan Private IP, tambahkan peran
Composer Shared VPC Agent
.Untuk lingkungan IP Publik, tambahkan peran
Compute Network User
.
Anda telah menyelesaikan konfigurasi jaringan VPC Bersama untuk project host.
Langkah selanjutnya
- Buat lingkungan Cloud Composer dan berikan jaringan serta subnetwork project host sebagai parameter konfigurasi.