Airflow-Verbindungen verwalten

Cloud Composer 1 | Cloud Composer 2 | Cloud Composer 3

Auf dieser Seite wird beschrieben, wie Sie Airflow-Verbindungen in Ihrem und über Ihre DAGs darauf zugreifen.

Airflow-Verbindungen

Bei Aiflow-Verbindungen werden Anmeldedaten und andere Verbindungsinformationen wie Nutzernamen, Verbindungsstrings und Passwörter. Ihre DAGs verwenden Verbindungen, um über Ihre DAGs mit Ressourcen in Google Cloud und anderen Diensten zu kommunizieren und auf diese zuzugreifen.

Airflow-Operatoren in Ihren DAGs verwenden entweder eine Standardverbindung für den Operator oder Sie geben einen benutzerdefinierten Verbindungsnamen an.

Informationen zur Verbindungssicherheit

Die meisten Airflow-Operatoren akzeptieren Anmeldedaten nicht direkt. Stattdessen werden Airflow-Verbindungen verwendet.

Wenn Sie eine neue Umgebung erstellen, generiert Cloud Composer einen eindeutigen, dauerhaften Farnet-Schlüssel für die Umgebung und sichert die Verbindungszustände standardmäßig. Sie können fernet_key auf der Seite Konfiguration in der Airflow-Benutzeroberfläche aufrufen.

Weitere Informationen zum Schützen von Verbindungen und Passwörtern in Airflow finden Sie unter Verbindungen sichern und Vertrauliche Daten maskieren.

Verbindungstypen

Airflow verwendet Verbindungen verschiedener Typen, um eine Verbindung zu bestimmten Diensten herzustellen. Mit dem Google Cloud-Verbindungstyp können Sie beispielsweise eine Verbindung zu anderen Diensten in Google Cloud herstellen. Ein weiteres Beispiel: S3-Verbindung eine Verbindung zu einem Amazon S3-Bucket hergestellt.

Wenn Sie Airflow einen Verbindungstyp hinzufügen möchten, installieren Sie ein PyPI-Paket mit diesem Verbindungstyp. Einige Pakete sind in Ihrer Umgebung vorinstalliert. So können Sie beispielsweise die Verbindung aus dem apache-airflow-providers-google-Paket verwenden, ohne benutzerdefinierte PyPI-Pakete zu installieren.

Vorkonfigurierte Verbindungen

Cloud Composer konfiguriert die folgenden Standardverbindungen in Ihrem zu verbessern. Über diese Verbindungen können Sie auf Ressourcen in Ihrem Projekt zugreifen ohne sie zu konfigurieren.

• google_cloud_default
• bigquery_default
• google_cloud_datastore_default
• google_cloud_storage_default

Verbindung in Secret Manager hinzufügen

Sie können eine Verbindung in Secret Manager speichern, an Airflow. Wir empfehlen, diesen Ansatz beim Speichern von Anmeldedaten und oder andere vertrauliche Informationen.

So fügen Sie eine Verbindung in Secret Manager hinzu:

1. Konfigurieren Sie Secret Manager für Ihre Umgebung.

2. Fügen Sie ein Secret hinzu, dessen Name dem Muster für Verbindungen entspricht.

   Beispiel: airflow-connections-example_connection. Verwenden Sie in Ihren DAGs den Verbindungsnamen ohne Präfix: example_connection.

3. Fügen Sie Parameter für die Verbindung hinzu:

   JSON-Format

   Fügen Sie die JSON-Darstellung Ihrer Verbindung als Wert des Geheimnisses hinzu. Beispiel:

   {
     "conn_type": "mysql",
     "host": "example.com",
     "login": "login",
     "password": "password",
     "port": "9000"
   }
   

   Weitere Informationen zum JSON-Verbindungsformat finden Sie unter Airflow-Dokumentation

   URI-Format

   Fügen Sie die URI-Darstellung Ihrer Verbindung als Wert des Secret:

   • Das Secret muss eine URI-Darstellung der Verbindung speichern. Beispiel: mysql://login:password@example.com:9000

   • Der URI muss URL-codiert sein. Für Beispiel: Ein Passwort, das ein Leerzeichen enthält, muss URL-codiert werden. wie folgt: mysql://login:secret%20password@example.com:9000

   Airflow bietet eine einfache Methode zum Generieren von Verbindungs-URIs. Beispiel für das Codieren einer komplexen URL mit JSON-Extras ist verfügbar in der Airflow-Dokumentation

4. Prüfen Sie, ob alle Verbindungsparameter richtig aus Secret Manager gelesen werden.

Verbindung in Airflow hinzufügen

Sie können Ihre Verbindungen auch in Airflow speichern, anstatt sie in Secret Manager zu speichern.

So fügen Sie eine Verbindung in Airflow hinzu:

gcloud composer environments run ENVIRONMENT_NAME \
  --location LOCATION \
  connections add -- \
    --conn-type "mysql" \
    --conn-host "example.com" \
    --conn-port "9000" \
    --conn-login "login" \
    --conn-password "password" \
    example_connection

gcloud composer environments run ENVIRONMENT_NAME \
  --location LOCATION \
  connections add -- \
    --conn-uri "mysql://login:password@example.com:9000" \
    example_connection

gcloud composer environments run ENVIRONMENT_NAME \
  --location LOCATION \
  connections -- \
    --add \
    --conn_type "mysql" \
    --conn_host "example.com" \
    --conn_port "9000" \
    --conn_login "login" \
    --conn_password "password" \
    --conn_id "example_connection"

Prüfen, ob Airflow eine Verbindung richtig liest

Sie können den Befehl connections get der Airflow-Befehlszeile über Zu prüfende Google Cloud CLI ob eine Verbindung korrekt gelesen wird. Wenn Sie beispielsweise eine Verbindung in Secret Manager speichern, können Sie prüfen, ob alle Parameter einer Verbindung von Airflow aus einem Secret gelesen werden.

gcloud composer environments run ENVIRONMENT_NAME \
    --location LOCATION \
    connections get \
    -- CONNECTION_NAME

Ersetzen Sie:

• ENVIRONMENT_NAME durch den Namen der Umgebung.
• LOCATION durch die Region, in der sich die Umgebung befindet.
• CONNECTION_NAME durch den Namen der Verbindung. Wenn Ihre Verbindung in Secret Manager gespeichert ist, verwenden Sie den Verbindungsnamen ohne das Verbindungspräfix. Geben Sie z. B. example_connection anstelle von airflow-connections-example_connection_json.

Beispiel:

gcloud composer environments run example-environment \
    --location us-central1 \
    connections get \
    -- example_connection -o json

Airflow-Verbindungen in Ihren DAGs verwenden

In diesem Abschnitt wird beschrieben, wie Sie über einen DAG auf Ihre Verbindung zugreifen.

Secret Manager-Verbindung verwenden

Verwenden Sie den Namen der Verbindung ohne Präfix. Wenn beispielsweise Ihr Secret heißt airflow-connections-aws_s3, bitte geben Sie aws_s3.

transfer_dir_from_s3 = S3ToGCSOperator(
    task_id='transfer_dir_from_s3',
    aws_conn_id='aws_s3',
    prefix='data-for-gcs',
    bucket='example-s3-bucket-transfer-operators',
    dest_gcs='gs://us-central1-example-environ-361f4221-bucket/data/from-s3/')

Wenn Sie eine Standardverbindung im Secret Manager speichern, können Sie den Verbindungsnamen weglassen. In der Airflow-Dokumentation für einen bestimmten Operator finden Sie den Standardverbindungsnamen, der von einem Operator verwendet wird. Beispiel: Der Parameter Der Airflow-Operator S3ToGCSOperator verwendet die Verbindung aws_default durch Standardeinstellung. Sie können diese Standardverbindung in einem Secret mit dem Namen airflow-connections-aws_default speichern.

In Airflow gespeicherte Verbindung verwenden

Verwenden Sie den Namen der Verbindung, wie er in Airflow definiert ist:

transfer_dir_from_s3 = S3ToGCSOperator(
    task_id='transfer_dir_from_s3',
    aws_conn_id='aws_s3',
    prefix='data-for-gcs',
    bucket='example-s3-bucket-transfer-operators',
    dest_gcs='gs://us-central1-example-environ-361f4221-bucket/data/from-s3/')

Wenn Sie die Standardverbindung für einen Operator verwenden möchten, lassen Sie den Verbindungsnamen weg. Weitere Informationen finden Sie unter Airflow-Dokumentation für einen bestimmten Operator zum Abrufen der Standardverbindung der von einem Operator verwendet wird. Beispiel: Der Airflow-Operator S3ToGCSOperator verwendet standardmäßig die aws_default-Verbindung.

Fehlerbehebung

Wenn Ihre Umgebung nicht auf das in Secret Manager gespeicherte Secret zugreifen kann:

1. Secret Manager muss in Ihrer Umgebung konfiguriert sein.

2. Prüfen Sie, ob der Name der Verbindung in Secret Manager mit der von Airflow verwendeten Verbindung übereinstimmt. Bei einer Verbindung mit dem Namen example_connection lautet der Secret-Name beispielsweise airflow-connections-example_connection.

3. Prüfen Sie, ob Airflow eine Verbindung richtig liest.

Nächste Schritte

• Secret Manager konfigurieren
• E-Mail-Benachrichtigungen konfigurieren
• DAGs schreiben