Il 15 settembre 2026, tutte le versioni di Cloud Composer 1 e le versioni 2.0.x di Cloud Composer 2 raggiungeranno la fine del ciclo di vita pianificato. Non potrai utilizzare gli ambienti con queste versioni. Ti consigliamo di pianificare la migrazione a Cloud Composer 3. Le versioni 2.1.x e successive di Cloud Composer 2 sono ancora supportate e non sono interessate da questa modifica.

Questa pagina è stata tradotta dall'API Cloud Translation.

Ambienti IP privati

Cloud Composer 3 | Cloud Composer 2 | Cloud Composer 1

Questa pagina fornisce informazioni sugli ambienti Cloud Composer con IP privato.

Per gli ambienti IP privati, Cloud Composer assegna solo indirizzi IP privati (RFC 1918) alle VM Google Kubernetes Engine e Cloud SQL gestite nel tuo ambiente, il che comporta l'assenza di accesso in entrata a queste VM gestite da internet pubblico. In alternativa, puoi anche utilizzare indirizzi IP pubblici utilizzati privatamente e l'agente IP Masquerade per risparmiare spazio per gli indirizzi IP e utilizzare indirizzi non RFC 1918.

Per impostazione predefinita, in un ambiente IP privato, i flussi di lavoro Cloud Composer non hanno accesso a internet in uscita. L'accesso ad API e servizi non è interessato dal routing sulla rete privata di Google. Google Cloud

Cluster GKE VPC nativo

Quando crei un ambiente, Cloud Composer distribuisce le risorse dell'ambiente tra un progetto tenant gestito da Google e il tuo progetto cliente.

Per un ambiente IP privato, Cloud Composer crea un cluster GKE nativo di VPC per il tuo ambiente nel tuo progetto cliente.

I cluster VPC nativi utilizzano il routing IP alias integrato nella rete VPC, consentendo a VPC di gestire il routing per i pod. Quando utilizzi cluster VPC nativi, GKE sceglie automaticamente un intervallo secondario. Per requisiti di rete specifici, puoi anche configurare gli intervalli secondari per i pod e i servizi GKE quando crei un ambiente.

Ambiente Cloud Composer con IP privato

Puoi selezionare un ambiente IP privato quando crei un ambiente. L'utilizzo dell'IP privato significa che alle VM GKE e Cloud SQL nel tuo ambiente non vengono assegnati indirizzi IP pubblici e comunicano solo tramite la rete interna di Google.

Quando crei un ambiente con IP privato, il cluster GKE per il tuo ambiente viene configurato come cluster privato e l'istanza Cloud SQL viene configurata per l'IP privato.

Cloud Composer crea una connessione in peering tra la rete VPC del progetto cliente e la rete VPC del progetto tenant.

Con l'IP privato abilitato per il tuo ambiente, il traffico IP tra il cluster GKE dell'ambiente e il database Cloud SQL è privato, isolando così i tuoi flussi di lavoro da internet pubblico.

Questo livello di sicurezza aggiuntivo influisce sul modo in cui ti connetti a queste risorse e sul modo in cui il tuo ambiente accede alle risorse esterne. L'utilizzo dell'IP privato non influisce sul modo in cui accedi a Cloud Storage o al server web Airflow tramite l'IP pubblico.

Cluster GKE

L'utilizzo di un cluster GKE privato ti consente di controllare l'accesso al control plane del cluster (i nodi del cluster non hanno indirizzi IP pubblici).

Quando crei un ambiente Cloud Composer con IP privato, specifichi se l'accesso al control plane è pubblico e il relativo intervallo IP. L'intervallo IP del piano di controllo non deve sovrapporsi ad alcuna subnet nella tua rete VPC.

Opzione	Descrizione
Accesso all'endpoint pubblico disabilitato	Per connetterti al cluster, devi connetterti da una VM nella stessa regione e nella stessa rete VPC dell'ambiente IP privato. L'istanza VM da cui ti connetti richiede l'ambito di accesso Consenti l'accesso completo a tutte le API Cloud. Da questa VM, puoi eseguire comandi `kubectl` sul cluster del tuo ambiente
Accesso all'endpoint pubblico abilitato, reti autorizzate master abilitate	In questa configurazione, i nodi del cluster comunicano con il control plane tramite la rete privata di Google. I nodi possono accedere alle risorse nel tuo ambiente e nelle reti autorizzate. Puoi aggiungere reti autorizzate in GKE. Nelle reti autorizzate, puoi eseguire i comandi `kubectl` sul cluster del tuo ambiente

Cloud SQL

Poiché l'istanza Cloud SQL non ha un indirizzo IP pubblico, il traffico Cloud SQL all'interno dell'ambiente con IP privato non è esposto a internet pubblico.

Cloud Composer configura Cloud SQL per accettare le connessioni in entrata tramite l'accesso privato ai servizi. Puoi accedere all'istanza Cloud SQL sulla tua rete VPC utilizzando il relativo indirizzo IP privato.

Accesso a internet pubblico per i tuoi flussi di lavoro

Gli operatori e le operazioni che richiedono l'accesso a risorse su reti non autorizzate o su internet pubblico potrebbero non riuscire. Ad esempio, l'operazione Dataflow Python richiede una connessione a internet pubblica per scaricare Apache Beam da pip.

Per consentire alle VM senza indirizzi IP esterni e ai cluster GKE privati di connettersi a internet è necessario Cloud NAT.

Per utilizzare Cloud NAT, crea una configurazione NAT utilizzando router Cloud per la rete VPC e la regione in cui si trova il tuo ambiente Cloud Composer con IP privato.