Configura el acceso a Internet y las reglas de firewall

En esta página, se explica cómo proporcionar rutas y definir las reglas de firewall de Google Cloud Platform (GCP) para la red asociada a tus trabajos de Cloud Dataflow.

Nota: La red default tiene configuraciones que permiten la ejecución de trabajos de Cloud Dataflow. Sin embargo, otros servicios también pueden usar esta red. Asegúrate de que tus cambios a default sean compatibles con todos los de tus servicios. De forma alternativa, crea una red aparte para Cloud Dataflow.

Acceso a Internet para Cloud Dataflow

Las máquinas virtuales (VM) de trabajador de Cloud Dataflow necesitan poder comunicarse con las API y los servicios de GCP. Puedes configurar las VM de trabajador con una dirección IP externa para que cumplan con los requisitos de acceso a Internet o puedes usar un acceso privado a Google.

Con el acceso privado a Google, las VM que solo tienen direcciones IP internas pueden acceder a determinadas IP públicas para GCP y los servicios. Lee Configura el acceso privado a Google para obtener más información sobre los requisitos de las reglas de enrutamiento y firewall y los pasos de configuración.

Los trabajos que acceden a las API y los servicios fuera de GCP requieren acceso a Internet. Por ejemplo, los trabajos del SDK de Python necesitan acceso al Índice de paquetes de Python (PyPI). En este caso, debes configurar las VM de trabajador con direcciones IP externas o acceder a Internet a través de una instancia de NAT. Lee Administra las dependencias de canalización de Python en el sitio web de Apache Beam para obtener más detalles.

Reglas de firewall

Con las reglas de firewall puedes permitir o rechazar el tráfico hacia tus VM y desde ellas. En esta página, suponemos que estás familiarizado con el funcionamiento de las reglas de firewall de GCP como se describe en las páginas Descripción general de las reglas de firewall y Usa las reglas de firewall, incluidas las reglas de firewall implícitas.

Reglas de firewall que requiere Cloud Dataflow

Cloud Dataflow requiere que las VM de trabajador se comuniquen entre sí mediante puertos TCP específicos en la red de VPC que especificaste en tus opciones de canalización. Debes configurar las reglas de firewall en tu red de VPC para permitir este tipo de comunicación.

Algunas redes de VPC, como la red default creada de forma automática, incluyen una regla default-allow-internal que cumple con los requisitos del firewall para Cloud Dataflow.

Debido a que todas las VM de trabajador tienen una etiqueta de red con el valor dataflow, puedes crear una regla de firewall más específica para Cloud Dataflow. El Propietario, Editor o Administrador de seguridad del proyecto puede usar el siguiente comando de gcloud para crear una regla de permiso de entrada que permita el tráfico en todos los puertos TCP de las VM con la etiqueta de red dataflow a las VM con la misma etiqueta:

gcloud compute firewall-rules create [FIREWALL_RULE_NAME] \
    --network [NETWORK] \
    --action allow \
    --direction ingress \
    --target-tags dataflow \
    --source-tags dataflow \
    --priority 0 \
    --rules tcp:1-65535

En el ejemplo anterior, reemplaza [FIREWALL_RULE_NAME] por un nombre para la regla de firewall y reemplaza [NETWORK] por el nombre de la red que usan tus VM de trabajador.

Para obtener asesoramiento sobre las reglas de firewall, consulta Usa las reglas de firewall. Para puertos TCP específicos que usa Cloud Dataflow, puedes ver el manifiesto del contenedor del proyecto. El manifiesto del contenedor especifica de forma explícita los puertos a fin de asignar los puertos de host en el contenedor.

Acceso SSH a las VM de trabajador

Cloud Dataflow no requiere SSH; sin embargo, SSH es útil para la solución de problemas.

Si tu VM de trabajador tiene una dirección IP externa, puedes conectarte a la VM a través de GCP Console o mediante la herramienta de línea de comandos de gcloud. Para conectarse con SSH, debes tener una regla de firewall que permita las conexiones entrantes en el puerto TCP 22 de al menos la dirección IP del sistema en el que ejecutas gcloud o el sistema que ejecuta el navegador web que usas para acceder a GCP Console.

Si necesitas conectarte a una VM de trabajador que solo tiene una dirección IP interna, consulta Conéctate a instancias que no tienen direcciones IP externas.

¿Te ha resultado útil esta página? Enviar comentarios:

Enviar comentarios sobre...

Si necesitas ayuda, visita nuestra página de asistencia.