Cloud Composer 1 è in modalità post-manutenzione. Google non rilascia ulteriori aggiornamenti di Cloud Composer 1, incluse nuove versioni di Airflow, correzioni di bug e aggiornamenti della sicurezza. Ti consigliamo di pianificare la migrazione a Cloud Composer 2.

Questa pagina è stata tradotta dall'API Cloud Translation.

Ambienti IP privati

Cloud Composer 1 | Cloud Composer 2

Questa pagina fornisce informazioni sugli ambienti Cloud Composer con IP privato.

Per gli ambienti IP privati, Cloud Composer assegna solo indirizzi IP privati (RFC 1918) alle VM Google Kubernetes Engine e Cloud SQL gestite nel tuo ambiente, senza alcun accesso in entrata a queste VM gestite dalla rete internet pubblica. Come opzione, puoi anche utilizzare indirizzi IP pubblici utilizzati privatamente e l'agente IP Masquerade per salvare lo spazio di indirizzi IP e utilizzare indirizzi non RFC 1918.

Per impostazione predefinita, in un ambiente IP privato, i flussi di lavoro di Cloud Composer non hanno accesso a internet in uscita. L'accesso alle API e ai servizi Google Cloud non è interessato dal routing sulla rete privata di Google.

Cluster GKE VPC nativo

Quando crei un ambiente, Cloud Composer distribuisce le risorse dell'ambiente tra un progetto tenant gestito da Google e il progetto del cliente.

Per un ambiente IP privato, Cloud Composer crea un cluster GKE nativo di VPC per il tuo ambiente nel progetto del cliente.

I cluster nativi di VPC utilizzano il routing IP alias integrato nella rete VPC, consentendo al VPC di gestire il routing per i pod. Quando utilizzi cluster nativi di VPC, GKE sceglie automaticamente un intervallo secondario. Per requisiti di rete specifici, puoi anche configurare gli intervalli secondari per i pod GKE e i servizi GKE quando crei un ambiente.

Ambiente Cloud Composer con IP privato

Puoi selezionare un ambiente IP privato quando crei un ambiente. Se utilizzi l'IP privato, alle VM GKE e Cloud SQL nel tuo ambiente non vengono assegnati indirizzi IP pubblici e comunicano solo sulla rete interna di Google.

Quando crei un ambiente IP privato, il cluster GKE per il tuo ambiente viene configurato come cluster privato e l'istanza Cloud SQL viene configurata per l'IP privato.

Cloud Composer crea una connessione di peering tra la rete VPC del progetto cliente e la rete VPC del progetto tenant.

Se l'IP privato è abilitato per il tuo ambiente, il traffico IP tra il cluster GKE del tuo ambiente e il database Cloud SQL è privato, isolando così i tuoi flussi di lavoro dalla rete internet pubblica.

Questo livello aggiuntivo di sicurezza influisce sulle modalità di connessione a queste risorse e sul modo in cui il tuo ambiente accede alle risorse esterne. L'utilizzo di un IP privato non influisce sulla modalità di accesso a Cloud Storage o al server web Airflow tramite l'IP pubblico.

Cluster GKE

L'utilizzo di un cluster GKE privato ti consente di controllare l'accesso al piano di controllo del cluster (i nodi cluster non hanno indirizzi IP pubblici).

Quando crei un ambiente Cloud Composer con IP privato, devi specificare se l'accesso al piano di controllo è pubblico e al relativo intervallo IP. L'intervallo IP del piano di controllo non deve sovrapporsi ad alcuna subnet nella rete VPC.

Opzione	Descrizione
Accesso pubblico all'endpoint disabilitato	Per connetterti al cluster, devi connetterti da una VM nella stessa regione e nella stessa rete VPC dell'ambiente IP privato. L'istanza VM da cui ti stai connettendo richiede l'ambito di accesso. Consenti l'accesso completo a tutte le API Cloud. Da quella VM, puoi eseguire i comandi `kubectl` sul cluster del tuo ambiente
Accesso pubblico agli endpoint abilitato, reti autorizzate master abilitate	In questa configurazione, i nodi cluster comunicano con il piano di controllo sulla rete privata di Google. I nodi possono accedere alle risorse nel tuo ambiente e nelle reti autorizzate. Puoi aggiungere reti autorizzate in GKE. Sulle reti autorizzate, puoi eseguire i comandi `kubectl` sul cluster del tuo ambiente

Cloud SQL

Poiché l'istanza Cloud SQL non ha un indirizzo IP pubblico, il traffico Cloud SQL all'interno dell'ambiente IP privato non è esposto alla rete internet pubblica.

Cloud Composer configura Cloud SQL in modo che accetti le connessioni in entrata tramite l'accesso privato ai servizi. Puoi accedere all'istanza Cloud SQL sulla tua rete VPC utilizzando il suo indirizzo IP privato.

Accesso a internet pubblico per i flussi di lavoro

Gli operatori e le operazioni che richiedono l'accesso alle risorse su reti non autorizzate o sulla rete internet pubblica potrebbero non funzionare. Ad esempio, l'operazione Python Dataflow richiede una connessione a internet pubblica per scaricare Apache Beam da pip.

Per consentire alle VM senza indirizzi IP esterni e a cluster GKE privati di connettersi a internet è necessario Cloud NAT.

Per utilizzare Cloud NAT, crea una configurazione NAT utilizzando il router Cloud per la rete VPC e la regione in cui si trova il tuo ambiente Cloud Composer con IP privato.