Cloud Data Fusion での VPC Service Controls の使用

プライベート IP アドレスを使用して、Cloud Data Fusion インスタンスを作成する場合は、VPC Service Controls(VPC-SC)を使用して、最初にインスタンスのセキュリティ境界を設定することで、セキュリティを強化できます。 プライベート Cloud Data Fusion インスタンスとその他の Google Cloud リソースの周囲にある VPC-SC セキュリティ境界により、データ漏洩のリスクを軽減できます。たとえば、VPC Service Controls を使用して、Cloud Data Fusion パイプラインがサポートされるリソース(境界内にある BigQuery データセットなど)からデータを読み取り、境界外のリソースに出力データを書き込もうとすると、パイプラインは失敗します。

Cloud Data Fusion リソースは、次の 2 つの API サーフェスで公開されます。

  1. datafusion.googleapis.com コントロール プレーン API サーフェス。インスタンスの作成や削除など、インスタンス レベルのオペレーションを実行できます。

  2. datafusion.googleusercontent.com データプレーン API サーフェス(Google Cloud コンソールの Cloud Data Fusion ウェブ UI)。Cloud Data Fusion インスタンスで実行され、データ パイプラインを作成して実行します。

Cloud Data Fusion で VPC Service Controls を設定するには、接続を両方の API サーフェスに制限します。

戦略

  • Cloud Data Fusion パイプラインは、Dataproc クラスタで実行されます。 Dataproc クラスタをサービス境界で保護するには、クラスタが境界内で機能できるようにプライベート接続を設定します。

  • VPC Service Controls でサポートされていない Google Cloud API を使用するプラグインは使用しないでください。サポートされていないプラグインを使用すると、Cloud Data Fusion によって API 呼び出しがブロックされ、パイプラインのプレビューと実行に失敗します。

  • VPC Service Controls サービス境界内で Cloud Data Fusion を使用するには、次のドメインを制限付き VIP に指定するよう複数の DNS エントリを追加または構成します。

    • datafusion.googleapis.com
    • *.datafusion.googleusercontent.com
    • *.datafusion.cloud.google.com

制限事項:

  • Cloud Data Fusion プライベート インスタンスを作成する前に、VPC Service Controls のセキュリティ境界を確立します。VPC Service Controls を設定する前に作成されたインスタンスに対する境界保護はサポートされていません。

  • 現在、Cloud Data Fusion データプレーンの UI では、ID ベースのアクセスを使用したアクセスレベルの指定はサポートされていません。

Cloud Data Fusion API サーフェスの制限

コントロール プレーン サーフェスの制限

datafusion.googleapis.com API コントロール プレーン サーフェスへの接続を制限するには、Google API とサービスへのプライベート接続の設定をご覧ください。

データプレーン サーフェスの制限

API データプレーンへのプライベート接続を設定するには、*.datafusion.googleusercontent.com ドメインと *.datafusion.cloud.google.com ドメインの両方で次の手順を実行して、DNS を構成します。

  1. 新しい限定公開の Cloud DNS を使用するゾーンを作成します。

    1. ゾーンタイプ: 限定公開
    2. ゾーン名: datafusiongoogleusercontentcom
    3. DNS 名: datafusion.googleusercontent.com

    4. ネットワーク: Cloud Data Fusion インスタンスの作成時に選択したプライベート IP ネットワークを選択します。

      ゾーン フィールドに入力する方法。

  2. [Cloud DNS] ページで、datafusiongoogleusercontent DNS ゾーン名をクリックして [ゾーンの詳細] ページを開きます。NS レコードと SOA レコードの 2 つのレコードが表示されます。 [標準を追加] を使用して、次の 2 つのレコードセットを datafusiongoogleusercontent DNS ゾーンに追加します。

    1. CNAME レコードの追加: [レコードセットの作成] ダイアログで、次のフィールドに入力をして、DNS 名 *.datafusion.googleusercontent.com. を正規名 datafusion.googleusercontent.com にマッピングします。

      • DNS 名: 「*.datafusion.googleusercontent.com」

      • 正規名: 「datafusion.googleusercontent.com」

        ゾーン フィールドに入力する方法。

    2. A レコードの追加: 新しい [レコードセットの作成] ダイアログで、次のフィールドに入力をして、DNS 名 datafusion.googleusercontent.com. を IP アドレス 199.36.153.4 - 199.36.153.7 にマッピングします。

      • DNS 名: 「.datafusion.googleusercontent.com」

      • IPv4 アドレス

        • 199.36.153.4
        • 199.36.153.5
        • 199.36.153.6
        • 199.36.153.7
        ゾーン フィールドに入力する方法。

      datafusiongoogleusercontent の [ゾーンの詳細] ページには、次のレコードセットが表示されます。

      ゾーン フィールドに入力する方法。

  3. 上記の手順に従って、限定公開 DNS ゾーンを作成し、*.datafusion.cloud.google.com ドメインのレコードセットを追加します。

次のステップ