Cloud Composer 1 è in modalità post-manutenzione. Google non rilascia ulteriori aggiornamenti a Cloud Composer 1, incluse nuove versioni di Airflow, correzioni di bug e aggiornamenti della sicurezza. Ti consigliamo di pianificare la migrazione a Cloud Composer 2.

Questa pagina è stata tradotta dall'API Cloud Translation.

Configurare Secret Manager per il tuo ambiente

Cloud Composer 1 | Cloud Composer 2 | Cloud Composer 3

Questa pagina mostra come utilizzare Secret Manager per archiviare in modo sicuro le connessioni e i secret di Airflow.

Prima di iniziare

Per utilizzare Secret Manager, il tuo ambiente Cloud Composer deve usare Airflow 1.10.10 o successivo e Python 3.6 o successivo.
Python 2 non è supportato.

Configura Secret Manager per il tuo ambiente

Questa sezione spiega come configurare Secret Manager in modo da poter utilizzare i secret con l'ambiente Cloud Composer.

Abilita l'API Secret Manager

Console

Enable the Secret Manager API.

Enable the API

gcloud

Enable the Secret Manager API:

gcloud services enable secretmanager.googleapis.com

Configura il controllo dell'accesso

Devi configurare il controllo dell'accesso in modo che Airflow possa accedere ai secret archiviati in tramite Secret Manager.

Per farlo, l'account di servizio che accede ai secret deve avere un ruolo con l'autorizzazione secretmanager.versions.access. Ad esempio: il ruolo Funzione di accesso ai secret di Secret Manager include questa autorizzazione.

Puoi concedere questo ruolo a livello di secret, progetto, cartella o organizzazione.

Utilizza una delle seguenti opzioni:

(Consigliato) Concedi questo ruolo all'account di servizio del tuo ambiente.
Esegui l'override dell'account di servizio con cui accede Airflow tramite Secret Manager.

Attenzione: questo metodo è meno consigliato in quanto richiede l'archiviazione delle credenziali dell'account di servizio in un file, rischiano di essere compromessi.
1. Concedi questo ruolo a un account di servizio.
2. Imposta il parametro gcp_key_path dell'backend_kwargs opzione di configurazione di Airflow in modo che punti a un file JSON con le credenziali dell'account di servizio.

Abilita la serializzazione DAG

In generale, devi utilizzare il backend di Secret Manager solo all'interno dei metodi execute() dei tuoi operatori o con i modelli Jinja. Ad esempio, puoi recuperare le variabili utilizzando var.value.example_var.

Il server web di Airflow viene eseguito in un account di servizio diverso con autorizzazioni, in modo che non possa accedere ai secret in Secret Manager. Se le tue Il codice DAG accede ai secret durante l'elaborazione dei DAG (non solo dalle attività) e non è possibile modificarlo per accedere ai secret dall'interno i metodi execute(), quindi abilitare la serializzazione DAG. Dopodiché, Airflow server web accetta i DAG elaborati e non ha bisogno dell'accesso ai secret.

Attivare e configurare il backend di Secret Manager

Esegui l'override della seguente opzione di configurazione di Airflow:

Sezione Chiave Valore

secrets backend airflow.providers.google.cloud.secrets.secret_manager.CloudSecretManagerBackend

Attenzione: non utilizzareairflow.contrib.secrets.gcp_secrets_manager.CloudSecretsManagerBackend perché questo valore non ti consente di visualizzare i log nell'interfaccia utente di Airflow.
Aggiungi impostazioni facoltative eseguendo l'override di Airflow seguente di configurazione:

Sezione Chiave Valore

secrets backend_kwargs Vedi la descrizione che segue.

Il valore backend_kwargs è la rappresentazione JSON del Oggetto backend_kwargs con i seguenti campi:
- connections_prefix: prefisso del nome del secret da leggere per recuperare le connessioni. Il valore predefinito è airflow-connections.
- variables_prefix: prefisso del nome del secret da leggere per ottenere le variabili. Il valore predefinito è airflow-variables.
- gcp_key_path: percorso del file JSON delle credenziali Google Cloud (se non specificato, viene utilizzato l'account di servizio predefinito).
- gcp_keyfile_dict: dizionario JSON delle credenziali di Google Cloud. A vicenda in esclusiva con gcp_key_path.
- sep: separatore utilizzato per concatenare connections_prefix e conn_id. Il valore predefinito è -.
- project_id: ID progetto Google Cloud in cui sono archiviati i secret.
Ad esempio, il valore di backend_kwargs può essere: {"project_id": "<project id>", "connections_prefix":"example-connections", "variables_prefix":"example-variables", "sep":"-"}.

Nota: l'opzione Keyfile Secret Name (in GCP Secret Manager) nella connessione Airflow è supportata solo quando Secret Manager e Cloud Composer si trovano nello stesso progetto Google Cloud.

Sezione	Chiave	Valore
`secrets`	`backend`	`airflow.providers.google.cloud.secrets.secret_manager.CloudSecretManagerBackend`

Sezione	Chiave	Valore
`secrets`	`backend_kwargs`	Vedi la descrizione che segue.

Aggiungi connessioni e variabili in Secret Manager

Crea i secret seguendo i passaggi descritti in Creazione di secret e versioni.

Variabili

Deve essere utilizzato il formato [variables_prefix][sep][variable_name].
Il valore predefinito per [variables_prefix] è airflow-variables.
Il separatore predefinito [sep] è -.

Ad esempio, se il nome della variabile è example-var, il nome del secret è airflow-variables-example-var.

Nomi delle connessioni

Deve essere utilizzato il formato [connection_prefix][sep][connection_name].
Il valore predefinito per [connection_prefix] è airflow-connections.
Il separatore predefinito [sep] è -.

Ad esempio, se il nome della connessione è exampleConnection, il nome del segreto è airflow-connections-exampleConnection.

Valori di connessione

Da utilizzare Rappresentazione URI. Ad esempio, postgresql://login:secret@examplehost:9000.
L'URI deve essere codificato come URL (codifica percentuale). Ad esempio, una password contenente un simbolo di spazio deve essere codificata come segue:postgresql://login:secret%20password@examplehost:9000.

Airflow ha un metodo pratico per generare una connessione per gli URI. È disponibile un esempio di come codificare un URL complesso con extra JSON nella documentazione di Airflow.

Utilizzare Secret Manager con Cloud Composer

Durante il recupero di variabili e connessioni, Cloud Composer controlla Secret Manager. Se la variabile o la connessione richiesta non è trovato, Cloud Composer controlla le variabili di ambiente il database Airflow.

Leggi le variabili utilizzando i modelli Jinja

Puoi utilizzare Secret Manager per leggere le variabili con modelli Jinja per i campi degli operatori basati su modelli (risolti al momento dell'esecuzione).

Per il secret airflow-variables-secret_filename:

file_name = '{{var.value.secret_filename}}'

Leggi le variabili utilizzando operatori e callback personalizzati

Puoi anche utilizzare Secret Manager per leggere le variabili negli operatori personalizzati o nei metodi di callback degli operatori. Lettura variabili da all'interno dei DAG possono influire negativamente sulle prestazioni, quindi usa i modelli Jinja se vuoi usare le variabili nei DAG.

Ad esempio, per il secret airflow-variables-secret_filename:

from airflow.models.variable import Variable
file_name = Variable.get('secret_filename')

Lettura delle connessioni

A meno che tu non stia scrivendo un operatore personalizzato, raramente dovrai accedere direttamente alle connessioni. La maggior parte degli hook utilizza il nome della connessione di creazione di un'istanza e deve recuperare le connessioni dal secret il backend automaticamente quando vengono eseguite le attività.

Leggere direttamente le connessioni può essere utile quando scrivi il tuo hook.

Ad esempio, per la connessione airflow-connections-exampleConnection:

from airflow.hooks.base_hook import BaseHook
exampleConnection = BaseHook.get_connection('exampleConnection')

BaseHook.get_connection restituisce un oggetto Connection. È ottenere la rappresentazione stringa dell'URI di una connessione come questa:

exampleConnectionUri = BaseHook.get_connection('exampleConnection').get_uri()