Usar Controles de Servicio de VPC con Cloud Data Fusion
Organízate con las colecciones
Guarda y clasifica el contenido según tus preferencias.
Si tienes previsto crear una instancia de Cloud Data Fusion con una dirección IP privada, puedes aumentar la seguridad estableciendo primero un perímetro de seguridad para la instancia mediante Controles de Servicio de VPC (VPC-SC).
El perímetro de seguridad de VPC-SC alrededor de la instancia privada de Cloud Data Fusion y otros Google Cloud recursos ayuda a mitigar el riesgo de filtración externa de datos. Por ejemplo, con los Controles de Servicio de VPC, si una canalización de Cloud Data Fusion lee datos de un recurso admitido, como un conjunto de datos de BigQuery, ubicado dentro del perímetro, y luego intenta escribir la salida en un recurso fuera del perímetro, la canalización fallará.
Los recursos de Cloud Data Fusion se exponen en dos superficies de API:
La superficie de la API del plano de control datafusion.googleapis.com, que te permite realizar operaciones a nivel de instancia, como la creación y eliminación de instancias.
La superficie de la API del plano de datos de datafusion.googleusercontent.com (la interfaz de usuario web de Cloud Data Fusion en la consola de Google Cloud ), que se ejecuta en una instancia de Cloud Data Fusion para crear y ejecutar flujos de procesamiento de datos.
Para configurar Controles de Servicio de VPC con Cloud Data Fusion, restringe la conectividad a ambas superficies de API.
Estrategias:
Los flujos de procesamiento de Cloud Data Fusion se ejecutan en clústeres de Dataproc.
Para proteger un clúster de Dataproc con un perímetro de servicio, sigue las instrucciones para configurar la conectividad privada y permitir que el clúster funcione dentro del perímetro.
No uses complementos que usen Google Cloud APIs que no sean compatibles con Controles de Servicio de VPC.
Si usas complementos no admitidos, Cloud Data Fusion bloqueará las llamadas a la API, lo que provocará un error en la vista previa y la ejecución del flujo de procesamiento.
Para usar Cloud Data Fusion en un perímetro de servicio de Controles de Servicio de VPC, añade o configura varias entradas DNS para que los siguientes dominios apunten a la dirección IP virtual restringida:
datafusion.googleapis.com
*.datafusion.googleusercontent.com
*.datafusion.cloud.google.com
Limitaciones:
Establece el perímetro de seguridad de Controles de Servicio de VPC antes de crear tu instancia privada de Cloud Data Fusion. No se admite la protección de perímetros para las instancias creadas antes de configurar Controles de Servicio de VPC.
Actualmente, la interfaz de usuario del plano de datos de Cloud Data Fusion no admite la especificación de niveles de acceso mediante el acceso basado en la identidad.
Restringir las superficies de la API de Cloud Data Fusion
Para configurar la conectividad privada con el plano de datos de la API, configure el DNS siguiendo estos pasos para los dominios *.datafusion.googleusercontent.com y *.datafusion.cloud.google.com.
Red: selecciona la red de IP privada que elegiste al crear tu instancia de Cloud Data Fusion.
En la página Cloud DNS, haz clic en el nombre de tu zona DNS datafusiongoogleusercontent para abrir la página Detalles de la zona. Se muestran dos registros: un registro NS y un registro SOA.
Usa Add Standard (Añadir estándar) para añadir los dos conjuntos de registros siguientes a tu zona DNS datafusiongoogleusercontent.
Añade un registro CNAME: en el cuadro de diálogo Crear conjunto de registros, rellena los siguientes campos para asignar el nombre DNS *.datafusion.googleusercontent.com. al nombre canónico datafusion.googleusercontent.com:
Nombre de DNS: "*.datafusion.googleusercontent.com"
Nombre canónico: "datafusion.googleusercontent.com"
Añade un registro A: en el nuevo cuadro de diálogo Crear conjunto de registros, rellena los siguientes campos para asignar el nombre de DNS datafusion.googleusercontent.com. a las direcciones IP 199.36.153.4 - 199.36.153.7:
Nombre de DNS: ".datafusion.googleusercontent.com"
Dirección IPv4:
199.36.153.4
199.36.153.5
199.36.153.6
199.36.153.7
En la página datafusiongoogleusercontentDetalles de zona se muestran los siguientes conjuntos de registros:
Sigue los pasos anteriores para crear una zona DNS privada y añadir un conjunto de registros para el dominio *.datafusion.cloud.google.com.
[[["Es fácil de entender","easyToUnderstand","thumb-up"],["Me ofreció una solución al problema","solvedMyProblem","thumb-up"],["Otro","otherUp","thumb-up"]],[["Es difícil de entender","hardToUnderstand","thumb-down"],["La información o el código de muestra no son correctos","incorrectInformationOrSampleCode","thumb-down"],["Me faltan las muestras o la información que necesito","missingTheInformationSamplesINeed","thumb-down"],["Problema de traducción","translationIssue","thumb-down"],["Otro","otherDown","thumb-down"]],["Última actualización: 2025-09-11 (UTC)."],[[["\u003cp\u003eVPC Service Controls enhances security for private Cloud Data Fusion instances by creating a security perimeter to mitigate data exfiltration risks.\u003c/p\u003e\n"],["\u003cp\u003eTo utilize VPC Service Controls with Cloud Data Fusion, it is necessary to restrict connectivity to both the \u003ccode\u003edatafusion.googleapis.com\u003c/code\u003e control plane API surface and the \u003ccode\u003edatafusion.googleusercontent.com\u003c/code\u003e data plane API surface.\u003c/p\u003e\n"],["\u003cp\u003eCloud Data Fusion's service perimeter can be configured by setting up private connectivity for Dataproc clusters and avoiding unsupported plugins.\u003c/p\u003e\n"],["\u003cp\u003eSetting up VPC Service Controls for Cloud Data Fusion instances involves configuring DNS entries to point \u003ccode\u003edatafusion.googleapis.com\u003c/code\u003e, \u003ccode\u003e*.datafusion.googleusercontent.com\u003c/code\u003e, and \u003ccode\u003e*.datafusion.cloud.google.com\u003c/code\u003e domains to the restricted VIP.\u003c/p\u003e\n"],["\u003cp\u003eVPC Service Control perimeters should be established before creating a private Cloud Data Fusion instance, as protecting existing instances created before the perimeter is set up is unsupported.\u003c/p\u003e\n"]]],[],null,["# Use VPC Service Controls with Cloud Data Fusion\n\nIf you plan to create a [Cloud Data Fusion instance with a private IP address](/data-fusion/docs/how-to/create-private-ip),\nyou can provide additional security by first establishing a security perimeter\nfor the instance using [VPC Service Controls (VPC-SC)](/vpc-service-controls/docs/overview).\nThe VPC-SC security perimeter around the private\nCloud Data Fusion instance and other Google Cloud resources helps\nmitigate the risk of data exfiltration. For example, with\nVPC Service Controls, if a Cloud Data Fusion pipeline reads data\nfrom a [supported resource](/vpc-service-controls/docs/supported-products),\nsuch as a BigQuery dataset, located within the perimeter,\nthen tries to write the output to a resource outside the perimeter, the pipeline\nwill fail.\n\nCloud Data Fusion resources are exposed on two API surfaces:\n\n1. The `datafusion.googleapis.com` control plane API surface, which\n allows you to perform instance-level operations, such as the creation and\n deletion of instances.\n\n2. The `datafusion.googleusercontent.com` data plane API surface (the\n [Cloud Data Fusion Web UI](/data-fusion/docs/concepts/overview#using_the_code-free_web_ui)\n in the Google Cloud console), which executes on a Cloud Data Fusion\n instance to create and execute data pipelines.\n\nYou set up VPC Service Controls with Cloud Data Fusion by\nrestricting connectivity to both of these API surfaces.\n\nStrategies:\n\n- Cloud Data Fusion pipelines are executed on Dataproc clusters.\n To protect a Dataproc cluster with a service perimeter,\n follow the instructions for\n [setting up private connectivity](/vpc-service-controls/docs/set-up-private-connectivity)\n to allow the cluster to function inside the perimeter.\n\n- Don't use plugins that use Google Cloud APIs that are not [supported by\n VPC Service Controls](/vpc-service-controls/docs/supported-products).\n If you use unsupported plugins, Cloud Data Fusion will block the API calls,\n resulting in pipeline preview and execution failure.\n\n- To use Cloud Data Fusion within a VPC Service Controls service\n perimeter, add or configure several DNS entries to point the\n following domains to the restricted VIP (Virtual IP address):\n\n - `datafusion.googleapis.com`\n - `*.datafusion.googleusercontent.com`\n - `*.datafusion.cloud.google.com`\n\nLimitations:\n\n- Establish the VPC Service Controls security perimeter before creating your\n Cloud Data Fusion private instance. Perimeter protection for\n instances created prior to setting up VPC Service Controls is not\n supported.\n\n- Currently, the Cloud Data Fusion data plane UI does not support\n specifying access levels using [identity based access](/access-context-manager/docs/create-basic-access-level#members-example).\n\nRestricting Cloud Data Fusion API surfaces\n------------------------------------------\n\n### Restricting the control plane surface\n\nSee [Setting up private connectivity to Google APIs and services](/vpc-service-controls/docs/set-up-private-connectivity)\nto restrict connectivity to the `datafusion.googleapis.com` API control plane\nsurface.\n\n### Restricting the data plane surface\n\nTo set up private connectivity to the API data plane,\nconfigure DNS by completing the following steps for both the `*.datafusion.googleusercontent.com` and `*.datafusion.cloud.google.com` domains.\n\n1. Create a new private [zone using Cloud DNS](https://console.cloud.google.com/net-services/dns/zones):\n\n 1. Zone type: Check **private**\n 2. Zone name: datafusiongoogleusercontentcom\n 3. DNS name: datafusion.googleusercontent.com\n 4. Network: Select the private IP network you chose when you created your\n Cloud Data Fusion instance.\n\n2. From the [Cloud DNS](https://console.cloud.google.com/net-services/dns/zones) page, click your\n `datafusiongoogleusercontent` DNS zone name to open the\n **Zone details** page. Two records are listed: an NS and an SOA record.\n Use **Add Standard** to add the following two record sets to your\n datafusiongoogleusercontent DNS zone.\n\n 1. Add a CNAME record: In the **Create record set** dialog, fill\n in the following fields to map DNS name `*.datafusion.googleusercontent.com.`\n to the canonical name `datafusion.googleusercontent.com`:\n\n - DNS name: \"\\*.datafusion.googleusercontent.com\"\n - Canonical name: \"datafusion.googleusercontent.com\"\n\n 2. Add an A record: In a new **Create record set** dialog, fill\n in the following fields to map DNS name `datafusion.googleusercontent.com.`\n to IP addresses `199.36.153.4` - `199.36.153.7`:\n\n - DNS name: \".datafusion.googleusercontent.com\"\n - IPv4 address:\n\n - 199.36.153.4\n - 199.36.153.5\n - 199.36.153.6\n - 199.36.153.7\n\n The `datafusiongoogleusercontent` **Zone details** page shows the\n following record sets:\n3. Follow the above steps to create a private DNS zone and add a record set\n for the `*.datafusion.cloud.google.com` domain.\n\nWhat's next\n-----------\n\n- Learn about [Creating a private instance](/data-fusion/docs/how-to/create-private-ip).\n- Learn more about [VPC Service Controls](/vpc-service-controls/docs)."]]
