Crea una instancia privada

En esta página, se describe cómo crear una instancia de Cloud Data Fusion con una dirección IP interna. Debes crear la instancia en una red de VPC o de VPC compartida.

Una instancia privada de Cloud Data Fusion tiene los siguientes beneficios:

Las conexiones a la instancia se establecen en una red de VPC privada en tu proyecto de Google Cloud. El tráfico a través de la red no pasa por la Internet pública.
La instancia puede conectarse a tus recursos locales, como las bases de datos relacionales, porque tu red local se conecta a la red de VPC privada de Google Cloud mediante Cloud VPN o Cloud Interconnect. Puedes acceder de forma segura a tus recursos locales, como las bases de datos, a través de la red privada sin abrir el acceso a Google Cloud.

Objetivos

Configura la red de VPC o la red de VPC compartida.
Asigna un rango de IP que se usará para implementar la instancia de Cloud Data Fusion en el proyecto de usuario.
Crear la instancia privada de Cloud Data Fusion
Configura el intercambio de tráfico entre redes de VPC entre la VPC que contiene la instancia de Cloud Data Fusion y la VPC que contiene el proyecto de usuario asociado.
Para las redes de VPC compartida, configura los permisos de Identity and Access Management (IAM).
Si la instancia privada usa Cloud Data Fusion versión 6.2.0 o anterior, crea una regla de firewall.
Permite que diferentes servicios de Google Cloud se comuniquen de forma interna entre sí mediante la habilitación del Acceso privado a Google en la subred de Dataproc.

Antes de comenzar

Para obtener información sobre la arquitectura de implementación de Cloud Data Fusion, consulta Herramientas de redes.

Configura la red de VPC

Si aún no lo hiciste, crea una red de VPC o una red de VPC compartida.

Para configurar la red de VPC, debes asignar un rango de direcciones IP.

Asigna un rango de IP

Red de VPC

Si no usas una red de VPC compartida, Cloud Data Fusion asigna un rango de IP de forma predeterminada cuando creas una instancia.

Red compartida de VPC

Para usar una VPC compartida, debes asignar un rango de IP a la instancia de Cloud Data Fusion.

A fin de asignar un rango de IP para tu instancia de Cloud Data Fusion, sigue estos pasos:

En la consola de Google Cloud, ve a la página Redes de VPC.

Ir a las redes de VPC
En la columna Nombre, haz clic en la red de VPC en la que deseas crear una instancia privada de Cloud Data Fusion.

Se abrirá la página Detalles de la red de VPC.
Haz clic en Conexión de servicio privada. Si se te solicita, haz clic en Habilitar API para habilitar la API de Service Networking.
Haz clic en Asigna rangos de IP.
1. Asigna un nombre a tu rango de IP.
2. En Rango de IP, haz clic en Automático.
  
  Nota: Para los rangos personalizados, Cloud Data Fusion admite rangos de direcciones IPv4 privadas válidos, incluidos los rangos de IP que no son RFC 1918. No admite rangos de direcciones IP públicas de uso privado. Esta asignación de rango no tiene que consumir IP de ninguna de tus subredes, pero no debe superponerse con ninguna asignación de rango que realices en el futuro.
3. Especifica un tamaño de prefijo de 22.
  
  Nota: El rango de IP /22 es obligatorio por cada instancia de Cloud Data Fusion y no se puede compartir en varias instancias. El rango de IP pertenece a Google Cloud y es donde se alojan los componentes y la infraestructura de la instancia subyacentes.
4. Haz clic en Allocate.

Crea una instancia privada

Crea la instancia privada de Cloud Data Fusion en una red de VPC o en una red de VPC compartida.

Red de VPC

Para crear la instancia en una red de VPC, usa la consola de Google Cloud o cURL.

Si usas la consola de Google Cloud para crear tu instancia privada, Cloud Data Fusion asigna el rango de direcciones IP /22 de forma predeterminada. Para elegir un rango de IP diferente, debes usar el comando cURL.

Consola

Ve a la página Crear instancia de Data Fusion.

Ir a Crear una instancia de Data Fusion
Ingresa un nombre y una descripción para tu instancia.
Selecciona la Región en la que deseas crear la instancia.
Selecciona una versión y una edición de Cloud Data Fusion.
Especifica la cuenta de servicio de Dataproc que se usará para ejecutar la canalización de Cloud Data Fusion en Dataproc. La cuenta predeterminada de Compute Engine está preseleccionada.

Nota: Debes otorgar los roles de Identity and Access Management adecuados para tus necesidades a la cuenta de servicio. Para obtener más información, consulta Otorga permiso de usuario a la cuenta de servicio.
Expande el menú Opciones avanzadas y haz clic en Habilitar IP privada.
En el campo Red, elige la red en la que se creará la instancia.
Haz clic en Crear. El proceso de creación de la instancia toma hasta 30 minutos en completarse.

Nota: Mientras Cloud Data Fusion crea la instancia, se muestra una rueda de progreso junto al nombre de la instancia en la página Instances. Cuando finalice, se convertirá en una marca de verificación verde que indicará que puedes comenzar a usar la instancia.

cURL

Para tu comodidad, puedes exportar las siguientes variables o sustituir directamente estos valores en los siguientes comandos:

export PROJECT=PROJECT_ID
export LOCATION=REGION
export DATA_FUSION_API_NAME=datafusion.googleapis.com

Para crear la instancia, llama a su método create():

curl -H "Authorization: Bearer $(gcloud auth print-access-token)" -H "Content-Type: application/json" https://$DATA_FUSION_API_NAME/v1/projects/$PROJECT/locations/$LOCATION/instances?instance_id=INSTANCE_ID -X POST -d '{"description": "Private CDF instance created through REST.", "type": "ENTERPRISE", "privateInstance": true, "networkConfig": {"network": "NETWORK_NAME", "ipAllocation": "IP_RANGE"}}'

Reemplaza lo siguiente:

INSTANCE_ID: Es la string del ID de la instancia.
NETWORK_NAME: Es el nombre de la red de VPC en la que deseas crear tu instancia privada.
IP_RANGE: El rango de IP que asignaste. Para encontrar el rango de IP en la consola de Google Cloud, ve a Detalles de la red de VPC > Conexión privada a servicios > Rango de IP internas .

Red compartida de VPC

Para crear la instancia en una red de VPC compartida, usa cURL, no la consola de Google Cloud.

cURL

Para tu comodidad, puedes exportar las siguientes variables. Como alternativa, puedes sustituir directamente estos valores en los siguientes comandos:

export PROJECT=PROJECT_ID
export LOCATION=REGION
export DATA_FUSION_API_NAME=datafusion.googleapis.com

Para crear la instancia, llama a su método create():

curl -H "Authorization: Bearer $(gcloud auth print-access-token)" -H "Content-Type: application/json" https://$DATA_FUSION_API_NAME/v1/projects/$PROJECT/locations/$LOCATION/instances?instanceId=INSTANCE_ID -X POST -d '{"description": "Private CDF instance created through REST.", "type": "ENTERPRISE", "privateInstance": true, "networkConfig": {"network": "projects/SHARED_VPC_HOST_PROJECT_ID/global/networks/NETWORK_NAME", "ipAllocation": "IP_RANGE"}}'

Reemplaza lo siguiente:

INSTANCE_ID: Es la string del ID de la instancia.
SHARED_VPC_HOST_PROJECT_ID: Es el ID del proyecto que aloja la red de VPC compartida.
NETWORK_NAME: Es el nombre de la red de VPC en la que deseas crear la instancia privada.
IP_RANGE: El rango de IP que asignaste. Para buscar el rango de IP en la consola de Google Cloud, ve a la página Detalles de la red de VPC > Conexión privada a servicios > Rango de IP internas.

Configura el intercambio de tráfico entre redes de VPC

Los servicios de Cloud Data Fusion que usas en el entorno de diseño (por ejemplo: Wrangler, el administrador de conexiones y la validación de esquema) inician conexiones de red desde la VPC del proyecto de usuario a los sistemas de origen. Cloud Data Fusion usa el intercambio de tráfico entre redes de VPC para establecer la conectividad de red a la VPC o la VPC compartida que contiene tu instancia. El intercambio de tráfico entre redes de VPC permite que Cloud Data Fusion acceda a los recursos de tu red a través de direcciones IP internas con tu propia VPC y sus controles. Si quieres conectarte con un recurso en otra red, consulta los pasos para casos de uso de conexión.

En la siguiente sección, se describe cómo crear una configuración de intercambio de tráfico entre tu red y la red del proyecto de usuario de Cloud Data Fusion.

Obtén el ID del proyecto de usuario

Para crear una configuración de intercambio de tráfico, necesitas el ID del proyecto de usuario.

Ve a la página de Instancias de Cloud Data Fusion.
Ir a Instancias
En la columna Nombre de la instancia, selecciona la instancia.
En la página Detalles de la instancia, copia el ID del proyecto de usuario, que se requiere cuando creas una conexión de intercambio de tráfico en los siguientes pasos.

Crear conexión de intercambio de tráfico

Ve a la página Intercambio de tráfico entre redes de VPC.

Ir a Intercambio de tráfico entre redes de VPC
Haz clic en Crear conexión > Continuar.
En la página Crear conexión de intercambio de tráfico que se abre, haz lo siguiente:
1. Ingresa un Nombre para la conexión de intercambio de tráfico.
2. En Tu red de VPC, selecciona la red que contiene tu instancia de Cloud Data Fusion.
3. En Red de VPC con intercambio de tráfico, selecciona En otro proyecto.
4. En ID del proyecto, ingresa el ID del proyecto de usuario que encontraste antes en este instructivo.
5. En Nombre de la red de VPC, selecciona una red o ingresa INSTANCE_REGION-INSTANCE_ID.
  
  Reemplaza lo siguiente:
  - INSTANCE_REGION: Es la región en la que creaste la instancia de Cloud Data Fusion.
  - INSTANCE_ID: Es el ID de tu instancia de Cloud Data Fusion.
  Nota: Cuando se crea la instancia, se crea una red de VPC llamada INSTANCE_REGION-INSTANCE_ID en el proyecto de usuario. La instancia privada de Cloud Data Fusion se implementa en esa VPC. Esta red ya existe con la configuración para intercambiar tráfico con la VPC del proyecto de tu cliente.
6. Selecciona la versión de protocolo de Internet para la conexión de intercambio de tráfico a fin de intercambiar rutas IPv4 e IPv6 entre tu red de VPC y la red de VPC con intercambio de tráfico. Para obtener más información, consulta Intercambio de tráfico entre redes de VPC.
7. Selecciona Exportar rutas personalizadas para que se puedan exportar rutas personalizadas de tu red de VPC a la red de VPC del usuario.
8. Elige si deseas permitir que las rutas de subredes con IPv4 públicas se importen o se exporten a tu red de VPC.
9. Haz clic en Crear.
El intercambio de tráfico entre redes de VPC se activa poco después de su creación.

Configura los permisos de IAM

Red de VPC

Omite este paso y ve a Crear una regla de firewall.

Red compartida de VPC

Si creas tu instancia de Cloud Data Fusion en una red de VPC compartida, debes otorgar la función de usuario de la red de Compute a las siguientes cuentas de servicio. Para otorgar permisos a todas las subredes, otorga la función al proyecto host de VPC compartida.

Para controlar aún más el acceso, otorga la función a una subred específica y la función de visualizador de red en el proyecto host.

Cuenta de servicio de Cloud Data Fusion: service-PROJECT_NUMBER@gcp-sa-datafusion.iam.gserviceaccount.com
Cuenta de servicio de Dataproc: service-PROJECT_NUMBER@dataproc-accounts.iam.gserviceaccount.com

PROJECT_NUMBER es el número del proyecto de Google Cloud que contiene tu instancia de Cloud Data Fusion.

Para obtener más información, consulta Otorga acceso a las cuentas de servicio necesarias.

Crea una regla de firewall

Crea una regla de firewall en tu red de VPC que permita las conexiones SSH entrantes desde el rango de IP que especificaste cuando creaste tu instancia privada de Cloud Data Fusion.

Este paso es obligatorio para las versiones de Cloud Data Fusion anteriores a la 6.2.0. Permite la comunicación entre los clústeres de Cloud Data Fusion y Dataproc que ejecutan canalizaciones.

Puedes crear la regla de firewall con la consola de Google Cloud o con la CLI de gcloud.

Consola

Consulta Crea reglas de firewall.

gcloud

Ejecuta el siguiente comando:

gcloud compute firewall-rules create FIREWALL_NAME-allow-ssh --allow=tcp:22 --source-ranges=IP_RANGE --network=NETWORK_NAME --project=PROJECT_ID

Reemplaza lo siguiente:

FIREWALL_NAME: Es el nombre de la regla de firewall que se creará.
IP_RANGE: El rango de IP que asignaste.
NETWORK_NAME: Es el nombre de la red a la que se adjunta la regla de firewall. Es el nombre de la red de VPC en la que creaste la instancia privada.
PROJECT_ID: Es el ID del proyecto que aloja la red de VPC.

Pasos para casos de uso de conexión

Habilite el Acceso privado a Google

Para acceder a recursos a través de direcciones IP internas, Cloud Data Fusion debe crear los clústeres de Dataproc y ejecutar las canalizaciones de datos en una subred que tenga Acceso privado a Google. Debes habilitar el Acceso privado a Google para la subred que contiene los clústeres de Dataproc.

Si solo hay una subred en la región en la que se inician los clústeres de Dataproc, el clúster se inicia en esa subred.
Si hay varias subredes en una región, debes configurar Cloud Data Fusion a fin de seleccionar la subred con Acceso privado a Google para iniciar clústeres de Dataproc.

Precaución: Si el Acceso privado a Google no está habilitado en esa subred, la ejecución de la canalización fallará. Para especificar la subred después de crear una instancia, edita el perfil de procesamiento.

Si quieres habilitar el Acceso privado a Google para la subred, consulta la configuración del Acceso privado a Google.

Opcional: Conéctate a otras fuentes

Después de crear una instancia privada en Cloud Data Fusion, puedes conectarte a otras fuentes, como los siguientes casos prácticos:

Bases de datos y sistemas locales que se ejecutan en otras redes de VPC
Otros servicios de Google Cloud que se ejecutan en su propia red y en modo privado, como Cloud SQL
Fuentes de la Internet pública

Habilita el intercambio de tráfico de DNS (opcional)

Habilita el intercambio de tráfico de DNS en los siguientes casos:

Cuando Cloud Data Fusion se conecta a sistemas a través de nombres de host y no de direcciones IP
Cuando el sistema de destino se implementa detrás de un balanceador de cargas, como en algunas implementaciones de SAP

¿Qué sigue?

Obtén más información sobre los conceptos de seguridad en Cloud Data Fusion.
Obtén más información sobre cómo conectarse a recursos en redes externas.
Obtén más información sobre otros conceptos y características de Cloud Data Fusion.
Consulta los precios de Cloud Data Fusion.