Usa los Controles del servicio de VPC con Cloud Data Fusion

Si planeas crear una instancia de Cloud Data Fusion con una dirección IP privada, puedes proporcionar seguridad adicional si primero estableces un perímetro de seguridad para la instancia con Controles del servicio de VPC (VPC-SC). El perímetro de seguridad de VPC-SC alrededor de la instancia privada de Cloud Data Fusion y otros recursos de Google Cloud ayudan a mitigar el riesgo de robo de datos. Por ejemplo, con los Controles del servicio de VPC, si una canalización de Cloud Data Fusion lee datos de un recurso compatible, como un conjunto de datos de BigQuery, ubicado dentro del perímetro, y luego intenta escribir el resultado en un recurso fuera del perímetro, la canalización fallará.

Los recursos de Cloud Data Fusion están expuestos en dos superficies de API:

  1. La superficie de la API del plano de control datafusion.googleapis.com, que te permite realizar operaciones a nivel de instancia, como la creación y eliminación de instancias.

  2. La superficie de la API del plano de datos datafusion.googleusercontent.com (la IU web de Cloud Data Fusion en Cloud Console), que se ejecuta en una instancia de Cloud Data Fusion para crear y ejecutar canalizaciones de datos.

Configuras los Controles del servicio de VPC con Cloud Data Fusion si restringes la conectividad a ambas superficies de la API.

Estrategias:

  • Las canalizaciones de Cloud Data Fusion se ejecutan en los clústeres de Dataproc. Si deseas proteger un clúster de Dataproc con un perímetro de servicio, sigue las instrucciones para configurar la conectividad privada a fin de permitir que el clúster funcione dentro del perímetro.

  • No uses complementos que usen las API de Google Cloud que no sean compatibles con los Controles del servicio de VPC. Si usas complementos no compatibles, Cloud Data Fusion bloqueará las llamadas a la API, lo que generará una vista previa de la canalización y fallará la ejecución.

  • Para usar Cloud Data Fusion dentro de un perímetro de servicio de Controles del servicio de VPC, agrega o configura varias entradas de DNS para dirigir los siguientes dominios a la VIP restringida (dirección IP virtual):

    • datafusion.googleapis.com
    • *.datafusion.googleusercontent.com
    • *.datafusion.cloud.google.com

Limitaciones:

  • Establece el perímetro de seguridad de los Controles del servicio de VPC antes de crear tu instancia privada de Cloud Data Fusion. No se admite la protección perimetral para las instancias creadas antes de configurar los Controles del servicio de VPC.

  • Actualmente, la IU del plano de datos de Cloud Data Fusion no admite la especificación de niveles de acceso mediante el acceso basado en identidades.

Restringe las superficies de la API de Cloud Data Fusion

Restringe la superficie del plano de control

Consulta Cómo configurar la conectividad privada a los servicios y las API de Google para restringir la conectividad a la superficie del plano de control de la API de datafusion.googleapis.com.

Restringir la superficie del plano de datos

Para configurar la conectividad privada al plano de datos de la API, configura el DNS mediante los siguientes pasos para los dominios *.datafusion.googleusercontent.com y *.datafusion.cloud.google.com.

  1. Crea una zona privada nueva con Cloud DNS:

    1. Tipo de zona: Marca Privada.
    2. Nombre de zona: datafusiongoogleusercontentcom
    3. Nombre de DNS: datafusion.googleusercontent.com
    4. Red: selecciona la red IP privada que elegiste cuando creaste tu instancia de Cloud Data Fusion.
    Cómo completar los campos de zona.
  2. En la página Cloud DNS, haz clic en el nombre de tu zona DNS de datafusiongoogleusercontent para abrir la página Detalles de la zona. Se muestran dos registros: un registro NS y un registro SOA. Usa ADD RECORD SET para agregar los siguientes dos conjuntos de registros a tu zona DNS de datafusiongoogleusercontent.

    1. Agrega un registro CNAME: en el cuadro de diálogo Crear conjunto de registros, completa los siguientes campos para asignar el nombre de DNS *.datafusion.googleusercontent.com. al nombre canónico datafusion.googleusercontent.com:

      • Nombre de DNS: “*.datafusion.googleusercontent.com”
      • Nombre canónico: "datafusion.googleusercontent.com"
      Cómo completar los campos de zona
    2. Agrega un registro A: En un nuevo cuadro de diálogo Crear conjunto de registros, completa los siguientes campos para asignar el nombre DNS datafusion.googleusercontent.com. a las direcciones IP 199.36.153.4 - 199.36.153.7:

      • Nombre de DNS: ".datafusion.googleusercontent.com"
      • Dirección IPv4

        • 199.36.153.4
        • 199.36.153.5
        • 199.36.153.6
        • 199.36.153.7
      Cómo completar los campos de zona

      La página Detalles de la zona datafusiongoogleusercontent muestra los siguientes conjuntos de registros:

      Cómo llenar los campos de zona.
  3. Sigue los pasos anteriores para crear una zona DNS privada y agrega un conjunto de registros para el dominio *.datafusion.cloud.google.com.

Qué sigue