Usa los Controles del servicio de VPC con Cloud Data Fusion
Organiza tus páginas con colecciones
Guarda y categoriza el contenido según tus preferencias.
Si planeas crear una instancia de Cloud Data Fusion con una dirección IP privada, puedes proporcionar seguridad adicional si estableces primero un perímetro de seguridad para la instancia mediante Controles del servicio de VPC. (VPC-SC).
El perímetro de seguridad de VPC-SC para la instancia privada de Cloud Data Fusion y otros recursos de Google Cloud ayuda a mitigar el riesgo de robo de datos. Por ejemplo, con los Controles del servicio de VPC, si una canalización de Cloud Data Fusion lee datos de un recurso admitido, como un conjunto de datos de BigQuery, ubicado dentro del perímetro y, luego, intenta escribir el resultado en un recurso fuera del perímetro, la canalización fallará.
Los recursos de Cloud Data Fusion se exponen en dos superficies de la API:
La superficie de la API del plano de control datafusion.googleapis.com, que te permite realizar operaciones a nivel de instancia, como la creación y la eliminación de instancias.
La superficie de la API del plano de datos datafusion.googleusercontent.com (la IU web de Cloud Data Fusion en la consola de Google Cloud ), que se ejecuta en una instancia de Cloud Data Fusion para crear y ejecutar canalizaciones de datos.
Para configurar los Controles del servicio de VPC con Cloud Data Fusion, se restringe la conectividad a ambas superficies de la API.
Estrategias:
Las canalizaciones de Cloud Data Fusion se ejecutan en clústeres de Dataproc.
Si deseas proteger un clúster de Dataproc con un perímetro de servicio, sigue las instrucciones para configurar la conectividad privada a fin de permitir que el clúster funcione dentro del perímetro.
No uses complementos que usen Google Cloud APIs que no sean compatibles con los
Controles del servicio de VPC.
Si usas complementos no compatibles, Cloud Data Fusion bloqueará las llamadas a la API, lo que generará una vista previa de la canalización y fallará la ejecución.
Para usar Cloud Data Fusion dentro de un perímetro de servicio de Controles del servicio de VPC, agrega o configura varias entradas de DNS para dirigir los siguientes dominios a la VIP restringida (dirección IP virtual):
datafusion.googleapis.com
*.datafusion.googleusercontent.com
*.datafusion.cloud.google.com
Limitaciones:
Establece el perímetro de seguridad de los Controles del servicio de VPC antes de crear tu instancia privada de Cloud Data Fusion. No se admite la protección perimetral de instancias creadas antes de configurar los Controles del servicio de VPC.
Por el momento, la IU del plano de datos de Cloud Data Fusion no admite la especificación de niveles de acceso mediante el acceso basado en la identidad.
Restringe las superficies de la API de Cloud Data Fusion
A fin de configurar la conectividad privada al plano de datos de la API, configura los siguientes pasos para los dominios *.datafusion.googleusercontent.com y *.datafusion.cloud.google.com.
Red: selecciona la red IP privada que elegiste cuando creaste tu instancia de Cloud Data Fusion.
En la página Cloud DNS, haz clic en el nombre de la zona DNS de datafusiongoogleusercontent para abrir la página Detalles de la zona. Se incluyen dos registros: un NS y un registro SOA.
Usa Agregar estándar para agregar los siguientes dos conjuntos de registros a tu zona DNS de datafusiongoogleusercontent.
Agrega un registro CNAME: al cuadro de diálogo Crear conjunto de registros, completa los siguientes campos para mapear el nombre de DNS *.datafusion.googleusercontent.com. al nombre canónico datafusion.googleusercontent.com:
Nombre de DNS: “*.datafusion.googleusercontent.com”
Nombre canónico: “datafusion.googleusercontent.com”
Agrega un registro A: En un nuevo cuadro de diálogo Crear conjunto de registros, completa los siguientes campos para asignar el nombre DNS datafusion.googleusercontent.com. a las direcciones IP 199.36.153.4 - 199.36.153.7:
Nombre de DNS: “.datafusion.googleusercontent.com”
Dirección IPv4
199.36.153.4
199.36.153.5
199.36.153.6
199.36.153.7
La página Detalles de la zonadatafusiongoogleusercontent muestra los siguientes conjuntos de registros:
Sigue los pasos anteriores a fin de crear una zona DNS privada y agregar un conjunto de registros al dominio *.datafusion.cloud.google.com.
[[["Fácil de comprender","easyToUnderstand","thumb-up"],["Resolvió mi problema","solvedMyProblem","thumb-up"],["Otro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Información o código de muestra incorrectos","incorrectInformationOrSampleCode","thumb-down"],["Faltan la información o los ejemplos que necesito","missingTheInformationSamplesINeed","thumb-down"],["Problema de traducción","translationIssue","thumb-down"],["Otro","otherDown","thumb-down"]],["Última actualización: 2025-09-04 (UTC)"],[[["\u003cp\u003eVPC Service Controls enhances security for private Cloud Data Fusion instances by creating a security perimeter to mitigate data exfiltration risks.\u003c/p\u003e\n"],["\u003cp\u003eTo utilize VPC Service Controls with Cloud Data Fusion, it is necessary to restrict connectivity to both the \u003ccode\u003edatafusion.googleapis.com\u003c/code\u003e control plane API surface and the \u003ccode\u003edatafusion.googleusercontent.com\u003c/code\u003e data plane API surface.\u003c/p\u003e\n"],["\u003cp\u003eCloud Data Fusion's service perimeter can be configured by setting up private connectivity for Dataproc clusters and avoiding unsupported plugins.\u003c/p\u003e\n"],["\u003cp\u003eSetting up VPC Service Controls for Cloud Data Fusion instances involves configuring DNS entries to point \u003ccode\u003edatafusion.googleapis.com\u003c/code\u003e, \u003ccode\u003e*.datafusion.googleusercontent.com\u003c/code\u003e, and \u003ccode\u003e*.datafusion.cloud.google.com\u003c/code\u003e domains to the restricted VIP.\u003c/p\u003e\n"],["\u003cp\u003eVPC Service Control perimeters should be established before creating a private Cloud Data Fusion instance, as protecting existing instances created before the perimeter is set up is unsupported.\u003c/p\u003e\n"]]],[],null,["# Use VPC Service Controls with Cloud Data Fusion\n\nIf you plan to create a [Cloud Data Fusion instance with a private IP address](/data-fusion/docs/how-to/create-private-ip),\nyou can provide additional security by first establishing a security perimeter\nfor the instance using [VPC Service Controls (VPC-SC)](/vpc-service-controls/docs/overview).\nThe VPC-SC security perimeter around the private\nCloud Data Fusion instance and other Google Cloud resources helps\nmitigate the risk of data exfiltration. For example, with\nVPC Service Controls, if a Cloud Data Fusion pipeline reads data\nfrom a [supported resource](/vpc-service-controls/docs/supported-products),\nsuch as a BigQuery dataset, located within the perimeter,\nthen tries to write the output to a resource outside the perimeter, the pipeline\nwill fail.\n\nCloud Data Fusion resources are exposed on two API surfaces:\n\n1. The `datafusion.googleapis.com` control plane API surface, which\n allows you to perform instance-level operations, such as the creation and\n deletion of instances.\n\n2. The `datafusion.googleusercontent.com` data plane API surface (the\n [Cloud Data Fusion Web UI](/data-fusion/docs/concepts/overview#using_the_code-free_web_ui)\n in the Google Cloud console), which executes on a Cloud Data Fusion\n instance to create and execute data pipelines.\n\nYou set up VPC Service Controls with Cloud Data Fusion by\nrestricting connectivity to both of these API surfaces.\n\nStrategies:\n\n- Cloud Data Fusion pipelines are executed on Dataproc clusters.\n To protect a Dataproc cluster with a service perimeter,\n follow the instructions for\n [setting up private connectivity](/vpc-service-controls/docs/set-up-private-connectivity)\n to allow the cluster to function inside the perimeter.\n\n- Don't use plugins that use Google Cloud APIs that are not [supported by\n VPC Service Controls](/vpc-service-controls/docs/supported-products).\n If you use unsupported plugins, Cloud Data Fusion will block the API calls,\n resulting in pipeline preview and execution failure.\n\n- To use Cloud Data Fusion within a VPC Service Controls service\n perimeter, add or configure several DNS entries to point the\n following domains to the restricted VIP (Virtual IP address):\n\n - `datafusion.googleapis.com`\n - `*.datafusion.googleusercontent.com`\n - `*.datafusion.cloud.google.com`\n\nLimitations:\n\n- Establish the VPC Service Controls security perimeter before creating your\n Cloud Data Fusion private instance. Perimeter protection for\n instances created prior to setting up VPC Service Controls is not\n supported.\n\n- Currently, the Cloud Data Fusion data plane UI does not support\n specifying access levels using [identity based access](/access-context-manager/docs/create-basic-access-level#members-example).\n\nRestricting Cloud Data Fusion API surfaces\n------------------------------------------\n\n### Restricting the control plane surface\n\nSee [Setting up private connectivity to Google APIs and services](/vpc-service-controls/docs/set-up-private-connectivity)\nto restrict connectivity to the `datafusion.googleapis.com` API control plane\nsurface.\n\n### Restricting the data plane surface\n\nTo set up private connectivity to the API data plane,\nconfigure DNS by completing the following steps for both the `*.datafusion.googleusercontent.com` and `*.datafusion.cloud.google.com` domains.\n\n1. Create a new private [zone using Cloud DNS](https://console.cloud.google.com/net-services/dns/zones):\n\n 1. Zone type: Check **private**\n 2. Zone name: datafusiongoogleusercontentcom\n 3. DNS name: datafusion.googleusercontent.com\n 4. Network: Select the private IP network you chose when you created your\n Cloud Data Fusion instance.\n\n2. From the [Cloud DNS](https://console.cloud.google.com/net-services/dns/zones) page, click your\n `datafusiongoogleusercontent` DNS zone name to open the\n **Zone details** page. Two records are listed: an NS and an SOA record.\n Use **Add Standard** to add the following two record sets to your\n datafusiongoogleusercontent DNS zone.\n\n 1. Add a CNAME record: In the **Create record set** dialog, fill\n in the following fields to map DNS name `*.datafusion.googleusercontent.com.`\n to the canonical name `datafusion.googleusercontent.com`:\n\n - DNS name: \"\\*.datafusion.googleusercontent.com\"\n - Canonical name: \"datafusion.googleusercontent.com\"\n\n 2. Add an A record: In a new **Create record set** dialog, fill\n in the following fields to map DNS name `datafusion.googleusercontent.com.`\n to IP addresses `199.36.153.4` - `199.36.153.7`:\n\n - DNS name: \".datafusion.googleusercontent.com\"\n - IPv4 address:\n\n - 199.36.153.4\n - 199.36.153.5\n - 199.36.153.6\n - 199.36.153.7\n\n The `datafusiongoogleusercontent` **Zone details** page shows the\n following record sets:\n3. Follow the above steps to create a private DNS zone and add a record set\n for the `*.datafusion.cloud.google.com` domain.\n\nWhat's next\n-----------\n\n- Learn about [Creating a private instance](/data-fusion/docs/how-to/create-private-ip).\n- Learn more about [VPC Service Controls](/vpc-service-controls/docs)."]]
