Nesta página, você verá informações básicas sobre como se conectar às origens de dados a partir de instâncias públicas ou privadas do Cloud Data Fusion de ambientes de design e execução.
Antes de começar
A rede no Cloud Data Fusion requer uma compreensão básica dos seguintes tópicos:
Projeto de locatário
O Cloud Data Fusion cria um projeto de locatário que contém os recursos
e serviços necessários para gerenciar pipelines em seu nome, como quando ele
executa pipelines nos clusters do Dataproc que residem em seu
projeto de cliente.
O projeto de locatário não é exposto diretamente a você, mas
ao criar uma instância particular, você usa o nome do projeto para configurar o peering
de VPC. Cada instância particular no projeto de locatário tem a própria rede VPC e sub-rede.
O projeto pode ter várias instâncias do Cloud Data Fusion. Você
gerencia os recursos e serviços que ela contém ao acessar uma instância na
interface do Cloud Data Fusion ou na Google Cloud CLI.
Para mais informações, consulte a documentação da Service Infrastructure sobre
projetos de locatário.
Projeto do cliente
O cliente cria e é proprietário deste projeto. Por padrão, o Cloud Data Fusion cria um cluster temporário do Dataproc neste projeto para executar seus pipelines.
Instância do Cloud Data Fusion
Uma instância do Cloud Data Fusion é uma implantação única do Cloud Data Fusion, em que você projeta e executa pipelines. É possível criar várias instâncias em um único projeto e especificar a região do Google Cloud em que as instâncias do Cloud Data Fusion serão criadas. Com base nos seus requisitos e restrições de custo, é possível criar uma instância que usa a edição Developer, Basic ou Enterprise do Cloud Data Fusion. Cada instância contém uma implantação exclusiva e independente do Cloud Data Fusion, com um conjunto de serviços que lidam com o gerenciamento do ciclo de vida, a orquestração, a coordenação e o gerenciamento de metadados do pipeline. Esses serviços são executados usando recursos de longa duração em um projeto de locatário.
Diagrama de rede
O diagrama a seguir mostra as conexões quando você cria pipelines de dados que extraem, transformam, combinam, agregam e carregam dados de várias fontes de dados no local e na nuvem.
Nas versões 6.4 e posteriores do Cloud Data Fusion, consulte os diagramas para controlar a saída em uma instância particular e como se conectar a uma origem pública.
Para versões anteriores à 6.4, o diagrama de arquitetura do sistema a seguir mostra como o Cloud Data Fusion se conecta a fontes de dados de serviços como Preview ou Wrangler em um projeto de locatário e o Dataproc em um projeto de cliente.
Projeto e execução do pipeline
O Cloud Data Fusion oferece a separação de ambientes de design e execução, que permite projetar um pipeline uma vez e, em seguida, executá-lo em vários ambientes. O ambiente de design reside no projeto de locatário, enquanto o ambiente de execução está em um ou mais projetos de cliente.
Exemplo: você projeta seu pipeline usando serviços do Cloud Data Fusion, como o Wrangler e o Preview. Esses serviços são executados no projeto de locatário, em que o acesso aos dados é controlado pelo papel Agente de serviço do Cloud Data Fusion gerenciado pelo Google. Em seguida, execute o pipeline no projeto do cliente para que ele use o cluster do Dataproc. No projeto do cliente, a conta de serviço padrão do Compute Engine controla o acesso aos dados. Configure seu projeto para usar uma conta de serviço personalizada.
Para mais informações sobre como configurar contas de serviço, consulte Contas de serviço do Cloud Data Fusion.
Ambiente de design
Quando você cria uma instância do Cloud Data Fusion no projeto do cliente, o Cloud Data Fusion cria automaticamente um projeto de locatário separado, gerenciado pelo Google, para executar os serviços necessários para gerenciar o ciclo de vida de pipelines e metadados, a IU do Cloud Data Fusion e ferramentas de tempo de design, como visualização e Wrangler.
Resolução de DNS no Cloud Data Fusion
Para resolver nomes de domínio no ambiente de tempo de design ao lidar e visualizar os dados que estão sendo transferidos para o Google Cloud, use o peering de DNS (disponível a partir do Cloud Data Fusion 6.7.0). Com ele, é possível usar domínios ou nomes de host para origens e coletores, que não precisam ser reconfigurados com a mesma frequência que endereços IP.
A resolução de DNS é recomendada no ambiente de tempo de projeto do Cloud Data Fusion, quando você testa conexões e pipelines de visualização que usam nomes de domínio de servidores locais ou outros (como bancos de dados ou servidores FTP) em uma rede VPC particular.
Para mais informações, consulte Peering de DNS e Encaminhamento do Cloud DNS.
Ambiente de execução
Depois de verificar e implantar o pipeline em uma instância, execute-o manualmente ou em uma programação de tempo ou em um acionador de estado do pipeline.
Se o ambiente de execução for provisionado e gerenciado pelo Cloud Data Fusion ou pelo cliente, ele existirá no projeto do cliente.
Instâncias públicas (padrão)
A maneira mais fácil de provisionar uma instância do Cloud Data Fusion é criar uma instância pública. Ele serve como ponto de partida e fornece acesso a endpoints externos na Internet pública.
Uma instância pública no Cloud Data Fusion usa a rede VPC padrão no seu projeto.
A rede VPC padrão tem o seguinte:
- Sub-redes geradas automaticamente para cada região
- Como rotear tabelas
- regras de firewall para garantir a comunicação entre os recursos de computação;
Redes em várias regiões
Quando você cria um novo projeto, uma vantagem da rede VPC padrão é que ela preenche automaticamente uma sub-rede por região usando um intervalo de endereços IP predefinido, expresso como um bloco CIDR. Os intervalos de endereços IP começam com
10.128.0.0/20, 10.132.0.0/20, em todas as regiões globais do Google Cloud.
Para garantir que seus recursos de computação se conectem uns aos outros entre regiões, a rede VPC padrão define as rotas locais padrão para cada sub-rede. Ao configurar a rota padrão para a Internet (0.0.0.0/0), você tem acesso à Internet e captura qualquer tráfego de rede não roteado.
Regras de firewall
A rede VPC padrão fornece um conjunto de regras de firewall:
| Padrão | Descrição |
|---|---|
Permitir icmp padrão |
Ative o protocolo icmp para a origem 0.0.0.0/0 |
| Permitir padrão code | Ativar tcp:0-65535; udp:0-65535; icmp para a origem 10.128.0.0/9, que abrange o mínimo de 10.128.0.1 e o máximo de 10.255.255.254 endereços IP |
Permitir rdp padrão |
Ativar tcp:3389 para a origem 0.0.0.0/0 |
Permitir ssh padrão |
Ativar tcp:22 para a origem 0.0.0.0/0 |
Essas configurações de rede VPC padrão minimizam os pré-requisitos para configurar serviços em nuvem, incluindo o Cloud Data Fusion. Devido a preocupações com a segurança da rede, as organizações geralmente não permitem que você use a rede VPC padrão para operações comerciais. Sem a rede VPC padrão, não é possível criar uma instância pública do Cloud Data Fusion. Em vez disso, crie uma instância particular.
A rede VPC padrão não concede acesso aberto aos recursos. Em vez disso, o Identity and Access Management (IAM) controla o acesso:
- É necessário ter uma identidade validada para fazer login no Google Cloud.
- Depois de fazer login, você precisa de permissão explícita (por exemplo, o papel de Leitor) para visualizar os serviços do Google Cloud.
Instâncias particulares
Algumas organizações exigem que todos os sistemas de produção sejam isolados de endereços IP públicos. Uma instância particular do Cloud Data Fusion atende a esse requisito em todos os tipos de configurações de rede VPC.
Instâncias particulares na versão 6.4 e anteriores
Nas versões do Cloud Data Fusion anteriores à 6.4, os ambientes de design e execução usam apenas endereços IP internos. Eles não usam endereços IP da Internet públicos anexados ao Compute Engine do Cloud Data Fusion. Como uma ferramenta de design, a instância particular do Cloud Data Fusion não pode acessar fontes de dados na Internet pública.
Em vez disso, crie o pipeline em uma instância pública. Em seguida, para execução, mova-o para uma instância particular em um projeto do cliente, em que você controla as políticas de VPC do projeto. Você precisa se conectar aos seus dados de ambos os projetos.
Acesso a dados em ambientes de design e execução
Em uma instância pública, a comunicação de rede acontece por meio da Internet aberta, o que não é recomendado para ambientes críticos. Para acessar suas fontes de dados com segurança, sempre execute os pipelines de uma instância privada no ambiente de execução.
No Cloud Data Fusion versão 6.4, ao projetar seu pipeline, não é possível acessar fontes de dados na Internet aberta de uma instância privada. Em vez disso, crie o pipeline em um projeto de locatário usando uma instância pública para se conectar a origens de dados na Internet. Depois de criar o pipeline, mova-o para um projeto do cliente e execute-o em uma instância privada, para que você possa controlar políticas de VPC. Você precisa se conectar aos seus dados de ambos os projetos.
Acesso a origens
Se o ambiente de execução for executado em uma versão do Cloud Data Fusion anterior à 6.4, só será possível acessar recursos dentro da sua rede VPC. Configure o Cloud VPN ou o Cloud Interconnect para acessar fontes de dados locais. As versões do Cloud Data Fusion anteriores à 6.4 só poderão acessar origens na Internet pública se você configurar um gateway do Cloud NAT.
Ao acessar fontes de dados, instâncias públicas e privadas:
- fazer chamadas para APIs do Google Cloud usando o Acesso privado do Google;
- se comunicar com um ambiente de execução (Dataproc) por meio de peering de VPC;
A tabela a seguir compara instâncias públicas e privadas durante o design e a execução de várias fontes de dados:
| Fonte de dados | Instância pública do Cloud Data Fusion (tempo de design) |
Dataproc público do Cloud Data Fusion (execução) |
Instância privada do Cloud Data Fusion (tempo de design) |
Dataproc do Cloud Data Fusion privado (execução) |
|---|---|---|---|---|
| Origem do Google Cloud (depois de conceder permissões e definir regras de firewall) |
||||
| Fonte no local (depois de configurar VPN/Interconexão, conceder permissões e definir regras de firewall) |
||||
| Fonte de Internet pública (depois de conceder permissões e definir regras de firewall) |
versões ≥ 6.4 versões < 6.4 |
A seguir
- Controle de acesso no Cloud Data Fusion
- Contas de serviço no Cloud Data Fusion
- Como criar uma instância pública
- Como criar uma instância privada