Configurar a rede VPC compartilhada

Airflow gerenciado (Geração 3) | Airflow gerenciado (Geração 2) | Airflow gerenciado (Geração 1 legada)

Nesta página, você encontra os requisitos do projeto host e da rede VPC compartilhada do Airflow Gerenciado.

Com a VPC compartilhada, as organizações estabelecem limites de controle de acesso e orçamento para envolvidos no projeto, além de possibilitar uma comunicação segura e eficiente usando IPs particulares nesses limites. Na configuração da VPC compartilhada, o Serviço Gerenciado para Apache Airflow pode invocar serviços hospedados em outros projetos Google Cloud na mesma organização sem expor serviços à Internet pública.

Diretrizes para VPC compartilhada

• A VPC compartilhada exige que você determine um projeto host, que incluirá redes e sub-redes, e um projeto de serviço, que será anexado ao de host. Quando o Airflow Gerenciado participa de uma VPC compartilhada, o ambiente do Airflow Gerenciado fica no projeto de serviço.

• Verifique se o intervalo de IP interno do ambiente do Airflow gerenciado e os intervalos da rede VPC não têm conflitos.

• O Airflow Gerenciado (Geração 3) tem uma limitação de um salto de DNS transitivo. Verifique se a configuração de DNS permite isso.

• O Airflow gerenciado (Geração 3) não é compatível com uma zona de DNS .internal definida pelo usuário. Se você criar uma zona de DNS para .internal, não será possível acessar essa zona.

Preparação

1. Encontre os IDs e números de projeto a seguir:

   • Projeto host: contém a rede VPC compartilhada.
   • Projeto de serviço: O projeto que contém o ambiente do Airflow Gerenciado.

2. Prepare a organização.

Configurar o projeto de serviço

Se nunca foram criados ambientes do Airflow Gerenciado no projeto de serviço, provisione a conta do agente de serviço do Composer no projeto de serviço:

gcloud beta services identity create --service=composer.googleapis.com

Configurar o projeto host

Configure o projeto host conforme descrito.

Configurar recursos de rede

Escolha uma das seguintes opções:

• Opção 1. Crie uma rede e uma sub-rede VPC.

• Opção 2. Crie uma sub-rede em uma rede VPC atual.

• Opção 3. Use uma rede e uma sub-rede VPC atuais.

Configurar a VPC compartilhada e anexar o projeto de serviço

1. Configure a VPC compartilhada caso ainda não tenha feito isso. Se você já configurou a VPC compartilhada, pule para a próxima etapa.

2. Anexe o projeto de serviço, que você usa para hospedar ambientes do Airflow Gerenciado.

   Ao anexar um projeto, deixe as permissões de rede VPC padrão em vigor.

Conceder permissões à conta do agente de serviço do Composer

No projeto host:

1. Editar permissões da conta do agente de serviço do Composer, service-SERVICE_PROJECT_NUMBER@cloudcomposer-accounts.iam.gserviceaccount.com)

2. Adicione outro papel, Agente de VPC compartilhada do Cloud Composer (composer.sharedVpcAgent), no nível do projeto.

Conclusão

Você concluiu a configuração da rede VPC compartilhada para os projetos de serviço e host.

Agora você pode conectar ambientes novos e atuais no projeto de serviço à rede VPC do projeto host. Você pode usar uma das seguintes abordagens:

• Conecte um ambiente a uma rede VPC compartilhada. O Airflow gerenciado cria um novo anexo de rede para o ambiente.
• Crie um anexo de rede no projeto de serviço, conecte-o a uma rede VPC compartilhada e conecte um ou mais ambientes a esse anexo de rede.

Para instruções e mais informações sobre as diferenças entre as duas abordagens descritas, consulte Conectar uma rede VPC ao seu ambiente.

A seguir

• Conecte uma rede VPC ao seu ambiente.
• Crie um ambiente do Airflow gerenciado.