Si planeas crear una instancia de Cloud Data Fusion con una dirección IP privada, puedes proporcionar seguridad adicional si estableces primero un perímetro de seguridad para la instancia mediante Controles del servicio de VPC. (VPC-SC). El perímetro de seguridad de VPC-SC para la instancia privada de Cloud Data Fusion y otros recursos de Google Cloud ayuda a mitigar el riesgo de robo de datos. Por ejemplo, con los Controles del servicio de VPC, si una canalización de Cloud Data Fusion lee datos de un recurso admitido, como un conjunto de datos de BigQuery, ubicado dentro del perímetro y, luego, intenta escribir el resultado en un recurso fuera del perímetro, la canalización fallará.
Los recursos de Cloud Data Fusion se exponen en dos superficies de la API:
La superficie de la API del plano de control
datafusion.googleapis.com
, que te permite realizar operaciones a nivel de instancia, como la creación y la eliminación de instancias.La superficie de la API del plano de datos
datafusion.googleusercontent.com
(la IU web de Cloud Data Fusion en la consola de Google Cloud), que se ejecuta en una instancia de Cloud Data Fusion para crear y ejecutar canalizaciones de datos.
Para configurar los Controles del servicio de VPC con Cloud Data Fusion, se restringe la conectividad a ambas superficies de la API.
Estrategias:
Las canalizaciones de Cloud Data Fusion se ejecutan en clústeres de Dataproc. Si deseas proteger un clúster de Dataproc con un perímetro de servicio, sigue las instrucciones para configurar la conectividad privada a fin de permitir que el clúster funcione dentro del perímetro.
No uses complementos que usen API de Google Cloud que no sean compatibles con los Controles del servicio de VPC. Si usas complementos no compatibles, Cloud Data Fusion bloqueará las llamadas a la API, lo que generará una vista previa de la canalización y fallará la ejecución.
Para usar Cloud Data Fusion dentro de un perímetro de servicio de Controles del servicio de VPC, agrega o configura varias entradas de DNS para dirigir los siguientes dominios a la VIP restringida (dirección IP virtual):
datafusion.googleapis.com
*.datafusion.googleusercontent.com
*.datafusion.cloud.google.com
Limitaciones:
Establece el perímetro de seguridad de los Controles del servicio de VPC antes de crear tu instancia privada de Cloud Data Fusion. No se admite la protección perimetral de instancias creadas antes de configurar los Controles del servicio de VPC.
Por el momento, la IU del plano de datos de Cloud Data Fusion no admite la especificación de niveles de acceso mediante el acceso basado en la identidad.
Restringe las superficies de la API de Cloud Data Fusion
Restringe la superficie del plano de control
Consulta Cómo configurar la conectividad privada a los servicios y las API de Google para restringir la conectividad a la superficie del plano de control de la API de datafusion.googleapis.com
.
Restringe la superficie del plano de datos
A fin de configurar la conectividad privada al plano de datos de la API, configura los siguientes pasos para los dominios *.datafusion.googleusercontent.com
y *.datafusion.cloud.google.com
.
Crea una zona privada nueva mediante Cloud DNS:
- Tipo de zona: Marca Privada.
- Nombre de la zona: datafusiongoogleusercontentcom
- Nombre de DNS: datafusion.googleusercontent.com
Red: selecciona la red IP privada que elegiste cuando creaste tu instancia de Cloud Data Fusion.
En la página Cloud DNS, haz clic en el nombre de la zona DNS de
datafusiongoogleusercontent
para abrir la página Detalles de la zona. Se incluyen dos registros: un NS y un registro SOA. Usa Agregar estándar para agregar los siguientes dos conjuntos de registros a tu zona de DNS datafusiongoogleusercontent.Agrega un registro CNAME: al cuadro de diálogo Crear conjunto de registros, completa los siguientes campos para mapear el nombre de DNS
*.datafusion.googleusercontent.com.
al nombre canónicodatafusion.googleusercontent.com
:- Nombre de DNS: “*.datafusion.googleusercontent.com”
Nombre canónico: “datafusion.googleusercontent.com”
Agrega un registro A: En un nuevo cuadro de diálogo Crear conjunto de registros, completa los siguientes campos para asignar el nombre DNS
datafusion.googleusercontent.com.
a las direcciones IP199.36.153.4
-199.36.153.7
:- Nombre de DNS: “.datafusion.googleusercontent.com”
Dirección IPv4
- 199.36.153.4
- 199.36.153.5
- 199.36.153.6
- 199.36.153.7
La página Detalles de la zona
datafusiongoogleusercontent
muestra los siguientes conjuntos de registros:
Sigue los pasos anteriores a fin de crear una zona DNS privada y agregar un conjunto de registros al dominio
*.datafusion.cloud.google.com
.
¿Qué sigue?
- Obtén más información para crear una instancia privada.
- Obtén más información sobre los controles de servicio de VPC.