プライベート IP アドレスを使用して、Cloud Data Fusion インスタンスを作成する場合は、VPC Service Controls(VPC-SC)を使用して、最初にインスタンスのセキュリティ境界を設定することで、セキュリティを強化できます。 プライベート Cloud Data Fusion インスタンスとその他の Google Cloud リソースの周囲にある VPC-SC セキュリティ境界により、データ漏洩のリスクを軽減できます。たとえば、VPC Service Controls を使用して、Cloud Data Fusion パイプラインがサポートされるリソース(境界内にある BigQuery データセットなど)からデータを読み取り、境界外のリソースに出力データを書き込もうとすると、パイプラインは失敗します。
Cloud Data Fusion リソースは、次の 2 つの API サーフェスで公開されます。
datafusion.googleapis.com
コントロール プレーン API サーフェス。インスタンスの作成や削除など、インスタンス レベルのオペレーションを実行できます。datafusion.googleusercontent.com
データプレーン API サーフェス(Google Cloud コンソールの Cloud Data Fusion ウェブ UI)。Cloud Data Fusion インスタンスで実行され、データ パイプラインを作成して実行します。
Cloud Data Fusion で VPC Service Controls を設定するには、接続を両方の API サーフェスに制限します。
戦略
Cloud Data Fusion パイプラインは、Dataproc クラスタで実行されます。 Dataproc クラスタをサービス境界で保護するには、クラスタが境界内で機能できるようにプライベート接続を設定します。
VPC Service Controls でサポートされていない Google Cloud API を使用するプラグインは使用しないでください。サポートされていないプラグインを使用すると、Cloud Data Fusion によって API 呼び出しがブロックされ、パイプラインのプレビューと実行に失敗します。
VPC Service Controls サービス境界内で Cloud Data Fusion を使用するには、次のドメインを制限付き VIP に指定するよう複数の DNS エントリを追加または構成します。
datafusion.googleapis.com
*.datafusion.googleusercontent.com
*.datafusion.cloud.google.com
制限事項:
Cloud Data Fusion プライベート インスタンスを作成する前に、VPC Service Controls のセキュリティ境界を確立します。VPC Service Controls を設定する前に作成されたインスタンスに対する境界保護はサポートされていません。
現在、Cloud Data Fusion データプレーンの UI では、ID ベースのアクセスを使用したアクセスレベルの指定はサポートされていません。
Cloud Data Fusion API サーフェスの制限
コントロール プレーン サーフェスの制限
datafusion.googleapis.com
API コントロール プレーン サーフェスへの接続を制限するには、Google API とサービスへのプライベート接続の設定をご覧ください。
データプレーン サーフェスの制限
API データプレーンへのプライベート接続を設定するには、*.datafusion.googleusercontent.com
ドメインと *.datafusion.cloud.google.com
ドメインの両方で次の手順を実行して、DNS を構成します。
新しい限定公開の Cloud DNS を使用するゾーンを作成します。
- ゾーンタイプ: 限定公開
- ゾーン名: datafusiongoogleusercontentcom
- DNS 名: datafusion.googleusercontent.com
ネットワーク: Cloud Data Fusion インスタンスの作成時に選択したプライベート IP ネットワークを選択します。
[Cloud DNS] ページで、
datafusiongoogleusercontent
DNS ゾーン名をクリックして [ゾーンの詳細] ページを開きます。NS レコードと SOA レコードの 2 つのレコードが表示されます。 [標準を追加] を使用して、次の 2 つのレコードセットを datafusiongoogleusercontent DNS ゾーンに追加します。CNAME レコードの追加: [レコードセットの作成] ダイアログで、次のフィールドに入力をして、DNS 名
*.datafusion.googleusercontent.com.
を正規名datafusion.googleusercontent.com
にマッピングします。- DNS 名: 「*.datafusion.googleusercontent.com」
正規名: 「datafusion.googleusercontent.com」
A レコードの追加: 新しい [レコードセットの作成] ダイアログで、次のフィールドに入力をして、DNS 名
datafusion.googleusercontent.com.
を IP アドレス199.36.153.4
-199.36.153.7
にマッピングします。- DNS 名: 「.datafusion.googleusercontent.com」
IPv4 アドレス
- 199.36.153.4
- 199.36.153.5
- 199.36.153.6
- 199.36.153.7
datafusiongoogleusercontent
の [ゾーンの詳細] ページには、次のレコードセットが表示されます。
上記の手順に従って、限定公開 DNS ゾーンを作成し、
*.datafusion.cloud.google.com
ドメインのレコードセットを追加します。
次のステップ
- プライベート インスタンスの作成の詳細を確認する。
- VPC Service Controls の詳細を確認する。