Para adoptar con más firmeza el éxito y la creciente preferencia de los clientes por las soluciones de OSS, Cloud Composer evolucionará para convertirse en Servicio administrado para Apache Airflow. Este cambio de nombre mejora la comprensión de los clientes sobre nuestra cartera y refuerza nuestro compromiso de ser el ecosistema de nube más abierto.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Entornos de IP privada

Airflow administrado (gen. 3) | Airflow administrado (gen. 2) | Airflow administrado (gen. 1 heredada)

En esta página, se proporciona información sobre los entornos de IP privada de Airflow administrado.

En los entornos de IP privada, Managed Airflow solo asigna direcciones IP privadas (RFC 1918) a las VMs administradas de Google Kubernetes Engine y Cloud SQL en tu entorno, lo que no genera acceso entrante a esas VMs administradas desde Internet pública. Como opción, también puedes usar direcciones IP públicas usadas de forma privada y el agente de enmascaramiento de IP para guardar el espacio de direcciones IP y usar direcciones que no sean RFC 1918.

De forma predeterminada, en un entorno de IP privada, los flujos de trabajo de Airflow administrado no tienen acceso saliente a Internet. El acceso a las APIs y los servicios de Google Cloud no se ve afectado por el enrutamiento a través de la red privada de Google.

Clúster de GKE nativo de la VPC

Cuando creas un entorno, Managed Airflow distribuye los recursos de tu entorno entre un proyecto de usuario administrado por Google y el proyecto de cliente.

En el caso de un entorno de IP privada, Managed Airflow crea un clúster de GKE nativo de VPC para tu entorno en el proyecto de cliente.

Los clústeres nativos de la VPC usan el enrutamiento de IP de alias integrado en la red de VPC, lo que permite que la VPC administre el enrutamiento para pods. Cuando usas clústeres nativos de la VPC, GKE elige automáticamente un rango secundario. Para requisitos específicos de redes, también puedes configurar los rangos secundarios para tus pods y servicios de GKE cuando creas un entorno.

Entorno de Airflow administrado con IP privada

Puedes seleccionar un entorno de IP privada cuando crees un entorno. El uso de IP privada significa que las VM de GKE y Cloud SQL de tu entorno no tienen asignadas direcciones IP públicas y solo se comunican a través de la red interna de Google.

Cuando creas un entorno de IP privada, el clúster de GKE para tu entorno se configura como un clúster privado y la instancia de Cloud SQL seconfigura para la IP privada.

Si tu entorno de IP privada usa Private Service Connect, la red de VPC de tu proyecto de cliente y la red de VPC de tu proyecto de usuario se conectan a través de un extremo de PSC.

Si tu entorno de IP privada usa intercambios de tráfico entre VPCs, Managed Airflow crea una conexión de intercambio de tráfico entre la red de VPC de tu proyecto de cliente y la red de VPC de tu proyecto de usuario.

Con la IP privada habilitada para tu entorno, el tráfico IP entre el clúster de GKE de tu entorno y la base de datos de Cloud SQL es privado, lo que aísla tus flujos de trabajo de Internet pública.

Esta capa adicional de seguridad afecta la forma en que te conectas a estos recursos y cómo tu entorno accede a los recursos externos. El uso de una IP privada no afecta la forma en que accedes a Cloud Storage o a tu servidor web de Airflow a través de la IP pública.

Clúster de GKE

El uso de un clúster de GKE privado te permite controlar el acceso al plano de control del clúster (los nodos del clúster no tienen direcciones IP públicas).

Cuando creas un entorno de IP privada de Airflow administrado, debes especificar si el acceso al plano de control es público y su rango de IP. El rango de IP del plano de control no debe superponerse con ninguna subred en tu red de VPC.

Opción	Descripción
Acceso al extremo público inhabilitado	Para conectarte con el clúster, debes conectarte desde una VM en la misma región y red de VPC del entorno de IP privada. La instancia de VM desde la que te conectas requiere el permiso de acceso Permitir el acceso total a todas las API de Cloud. Desde esa VM, puedes ejecutar comandos de `kubectl` en el clúster de tu entorno.
Acceso al extremo público habilitado, redes autorizadas de instancia principal habilitadas	En esta configuración, los nodos del clúster se comunican con el plano de control a través de la red privada de Google. Los nodos pueden acceder a los recursos en tu entorno y a las redes autorizadas. Puedes agregar redes autorizadas en GKE. En redes autorizadas, puedes ejecutar comandos `kubectl` en el clúster de tu entorno.

Cloud SQL

Debido a que la instancia de Cloud SQL no tiene una dirección IP pública, el tráfico de Cloud SQL dentro de tu entorno de IP privada no está expuesto a Internet pública.

Airflow administrado configura Cloud SQL para que acepte conexiones entrantes a través del acceso privado a servicios. Puedes acceder a la instancia de Cloud SQL en tu red de VPC mediante su dirección IP privada.

Acceso público a Internet para tus flujos de trabajo

Los operadores y las operaciones que requieren acceso a recursos en redes no autorizadas o en Internet pública pueden fallar. Por ejemplo, la operación de Python para Dataflow requiere una conexión a Internet pública a fin de descargar Apache Beam desde pip.

Permitir que las VM sin direcciones IP externas y clústeres privados de GKE se conecten a Internet requiere Cloud NAT.

Para usar Cloud NAT, crea una configuración de NAT con Cloud Router para la red de VPC y la región en la que se encuentra tu entorno de IP privada de Managed Airflow.