Managed Airflow(第 3 世代) | Managed Airflow(第 2 世代) | Managed Airflow(以前の第 1 世代)
このページでは、Managed Airflow の共有 VPC ネットワークとホスト プロジェクトの要件について説明します。
共有 VPC により、組織はプロジェクト レベルで予算とアクセス制御の境界を確立する一方、その境界を越えてプライベート IP を使用する安全で効率的な通信を実現できます。共有 VPC 構成では、Managed Service for Apache Airflow は、公共のインターネットにサービスを公開することなく、同じ組織内の他の Google Cloud プロジェクトでホストされているサービスを呼び出すことができます。
共有 VPC のガイドライン
共有 VPC を使用するには、ネットワークとサブネットワークが属するホスト プロジェクトとホスト プロジェクトに関連付けられたサービス プロジェクトを指定する必要があります。Managed Airflow が共有 VPC に参加すると、Managed Airflow 環境はサービス プロジェクトに含められます。
マネージド Airflow 環境の内部 IP 範囲と VPC ネットワーク範囲が競合していないことを確認します。
Managed Airflow(第 3 世代)には推移的 DNS ホップが 1 つという制限があります。DNS 構成でこの制限が許容されることを確認してください。
Managed Airflow(第 3 世代)は、ユーザー定義の
.internalDNS ゾーンをサポートしていません。.internalの DNS ゾーンを作成しても、そのゾーンにアクセスすることはできません。
準備
-
- ホスト プロジェクト: 共有 VPC ネットワークを含むプロジェクト。
- サービス プロジェクト: Managed Airflow 環境を含むプロジェクト。
サービス プロジェクトを構成する
Managed Airflow 環境がサービス プロジェクトで作成されていない場合は、サービス プロジェクトで Composer のサービス エージェント アカウントをプロビジョニングします。
gcloud beta services identity create --service=composer.googleapis.com
ホスト プロジェクトを設定する
詳細な説明に従いホスト プロジェクトを構成します。
ネットワーキング リソースを構成する
次のいずれかのオプションを選択します。
オプション 1. 新しい VPC ネットワークとサブネットを作成する。
オプション 2. 既存の VPC ネットワークにサブネットを作成する。
方法 3. 既存の VPC ネットワークとサブネットを使用する。
共有 VPC を設定してサービス プロジェクトを接続する
まだ行っていない場合は、共有 VPC を設定します。共有 VPC をすでに設定している場合は、次のステップに進みます。
Managed Airflow 環境をホストするために使用するサービス プロジェクトを接続します。
プロジェクトを接続する際は、デフォルトの VPC ネットワーク権限をそのままにします。
Composer サービス エージェント アカウントに権限を付与します。
ホスト プロジェクトでは、以下のことが行われます。
Composer サービス エージェント アカウント(
service-SERVICE_PROJECT_NUMBER@cloudcomposer-accounts.iam.gserviceaccount.com)の権限を編集します。プロジェクト レベルで別のロール Composer Shared VPC Agent(
composer.sharedVpcAgent)を追加します。
まとめ
サービス プロジェクトとホスト プロジェクトの両方で共有 VPC ネットワークの構成が完了しました。
これで、サービス プロジェクト内の新しい環境と既存の環境をホスト プロジェクトの VPC ネットワークに接続できます。代わりに、次のいずれかの方法を使用できます。
- 環境を共有 VPC ネットワークに接続します。Managed Airflow によって、その環境のために新しいネットワーク アタッチメントが作成されます。
- サービス プロジェクトにネットワーク アタッチメントを作成し、共有 VPC ネットワークに接続し、1 つ以上の環境をこのネットワーク アタッチメントに接続します。
この 2 つの方法の手順と違いについては、VPC ネットワークを環境に接続するをご覧ください。
次のステップ