Usa los Controles del servicio de VPC con Cloud Data Fusion

Si planeas crear una instancia de Cloud Data Fusion con una dirección IP privada, puedes proporcionar seguridad adicional si estableces primero un perímetro de seguridad para la instancia mediante Controles del servicio de VPC. (VPC-SC). El perímetro de seguridad de VPC-SC para la instancia privada de Cloud Data Fusion y otros recursos de Google Cloud ayuda a mitigar el riesgo de robo de datos. Por ejemplo, con los Controles del servicio de VPC, si una canalización de Cloud Data Fusion lee datos de un recurso admitido, como un conjunto de datos de BigQuery, ubicado dentro del perímetro y, luego, intenta escribir el resultado en un recurso fuera del perímetro, la canalización fallará.

Los recursos de Cloud Data Fusion se exponen en dos superficies de la API:

  1. La superficie de la API del plano de control datafusion.googleapis.com, que te permite realizar operaciones a nivel de instancia, como la creación y la eliminación de instancias.

  2. La superficie de la API del plano de datos datafusion.googleusercontent.com (la IU web de Cloud Data Fusion en Cloud Console), que se ejecuta en una instancia de Cloud Data Fusion para crear y ejecutar canalizaciones de datos.

Para configurar los Controles del servicio de VPC con Cloud Data Fusion, se restringe la conectividad a ambas superficies de la API.

Estrategias:

  • Las canalizaciones de Cloud Data Fusion se ejecutan en clústeres de Dataproc. Si deseas proteger un clúster de Dataproc con un perímetro de servicio, sigue las instrucciones para configurar la conectividad privada a fin de permitir que el clúster funcione dentro del perímetro.

  • No uses complementos que usen API de Google Cloud que no sean compatibles con los Controles del servicio de VPC. Si usas complementos no compatibles, Cloud Data Fusion bloqueará las llamadas a la API, lo que generará una vista previa de la canalización y fallará la ejecución.

  • Para usar Cloud Data Fusion dentro de un perímetro de servicio de Controles del servicio de VPC, agrega o configura varias entradas de DNS para dirigir los siguientes dominios a la VIP restringida (dirección IP virtual):

    • datafusion.googleapis.com
    • *.datafusion.googleusercontent.com
    • *.datafusion.cloud.google.com

Limitaciones:

  • Establece el perímetro de seguridad de los Controles del servicio de VPC antes de crear tu instancia privada de Cloud Data Fusion. No se admite la protección perimetral de instancias creadas antes de configurar los Controles del servicio de VPC.

  • Por el momento, la IU del plano de datos de Cloud Data Fusion no admite la especificación de niveles de acceso mediante el acceso basado en la identidad.

Restringe las superficies de la API de Cloud Data Fusion

Restringe la superficie del plano de control

Consulta Cómo configurar la conectividad privada a los servicios y las API de Google para restringir la conectividad a la superficie del plano de control de la API de datafusion.googleapis.com.

Restringe la superficie del plano de datos

A fin de configurar la conectividad privada al plano de datos de la API, configura los siguientes pasos para los dominios *.datafusion.googleusercontent.com y *.datafusion.cloud.google.com.

  1. Crea una zona privada nueva mediante Cloud DNS:

    1. Tipo de zona: Marca Privada.
    2. Nombre de la zona: datafusiongoogleusercontentcom
    3. Nombre de DNS: datafusion.googleusercontent.com
    4. Red: selecciona la red IP privada que elegiste cuando creaste tu instancia de Cloud Data Fusion.
    Cómo completar los campos de zona.
  2. En la página Cloud DNS, haz clic en el nombre de la zona DNS de datafusiongoogleusercontent para abrir la página Detalles de la zona. Se incluyen dos registros: un NS y un registro SOA. Usa AGREGAR CONJUNTOS DE REGISTROS para agregar los siguientes dos conjuntos de registros a tu zona DNS de datafusiongoogleusercontent.

    1. Agrega un registro CNAME: al cuadro de diálogo Crear conjunto de registros, completa los siguientes campos para mapear el nombre de DNS *.datafusion.googleusercontent.com. al nombre canónico datafusion.googleusercontent.com:

      • Nombre de DNS: “*.datafusion.googleusercontent.com”
      • Nombre canónico: “datafusion.googleusercontent.com”
      Cómo completar los campos de zona.
    2. Agrega un registro A: En un nuevo cuadro de diálogo Crear conjunto de registros, completa los siguientes campos para asignar el nombre DNS datafusion.googleusercontent.com. a las direcciones IP 199.36.153.4 - 199.36.153.7:

      • Nombre de DNS: “.datafusion.googleusercontent.com”
      • Dirección IPv4

        • 199.36.153.4
        • 199.36.153.5
        • 199.36.153.6
        • 199.36.153.7
      Cómo completar los campos de zona.

      La página Detalles de la zona datafusiongoogleusercontent muestra los siguientes conjuntos de registros:

      Cómo completar los campos de zona.
  3. Sigue los pasos anteriores a fin de crear una zona DNS privada y agregar un conjunto de registros al dominio *.datafusion.cloud.google.com.

¿Qué sigue?