Menggunakan Kontrol Layanan VPC dengan Cloud Data Fusion

Jika berencana untuk membuat instance Cloud Data Fusion dengan alamat IP pribadi, Anda dapat memberikan keamanan tambahan dengan menetapkan perimeter keamanan terlebih dahulu untuk instance tersebut menggunakan Kontrol Layanan VPC (VPC-SC). Perimeter keamanan VPC-SC di sekitar instance Cloud Data Fusion pribadi dan resource Google Cloud lainnya membantu mengurangi risiko pemindahan data yang tidak sah. Misalnya, dengan Kontrol Layanan VPC, jika pipeline Cloud Data Fusion membaca data dari resource yang didukung, seperti set data BigQuery yang terletak di dalam perimeter, lalu mencoba menulis output ke resource di luar perimeter, pipeline akan gagal.

Resource Cloud Data Fusion diekspos pada dua platform API:

  1. Platform API bidang kontrol datafusion.googleapis.com, yang memungkinkan Anda menjalankan operasi tingkat instance, seperti pembuatan dan penghapusan instance.

  2. Platform API bidang data datafusion.googleusercontent.com (UI Web Cloud Data Fusion di Konsol Google Cloud), yang dijalankan di instance Cloud Data Fusion untuk membuat dan menjalankan pipeline data.

Siapkan Kontrol Layanan VPC menggunakan Cloud Data Fusion dengan membatasi konektivitas ke kedua platform API ini.

Strategi:

  • Pipeline Cloud Data Fusion dijalankan di cluster Dataproc. Untuk melindungi cluster Dataproc dengan perimeter layanan, ikuti petunjuk untuk menyiapkan konektivitas pribadi agar cluster dapat berfungsi di dalam perimeter.

  • Jangan gunakan plugin yang menggunakan Google Cloud API yang tidak didukung oleh Kontrol Layanan VPC. Jika Anda menggunakan plugin yang tidak didukung, Cloud Data Fusion akan memblokir panggilan API, sehingga menyebabkan pratinjau pipeline dan kegagalan eksekusi.

  • Untuk menggunakan Cloud Data Fusion dalam perimeter layanan Kontrol Layanan VPC, tambahkan atau konfigurasi beberapa entri DNS untuk mengarahkan domain berikut ke VIP (Alamat IP Virtual) yang dibatasi:

    • datafusion.googleapis.com
    • *.datafusion.googleusercontent.com
    • *.datafusion.cloud.google.com

Batasan:

  • Tetapkan perimeter keamanan Kontrol Layanan VPC sebelum membuat instance pribadi Cloud Data Fusion. Perlindungan perimeter untuk instance yang dibuat sebelum menyiapkan Kontrol Layanan VPC tidak didukung.

  • Saat ini, UI bidang data Cloud Data Fusion tidak mendukung penentuan tingkat akses menggunakan akses berbasis identitas.

Membatasi platform Cloud Data Fusion API

Membatasi permukaan bidang kontrol

Lihat Menyiapkan konektivitas pribadi ke Google API dan layanan untuk membatasi konektivitas ke permukaan bidang kontrol datafusion.googleapis.com API.

Membatasi permukaan bidang data

Untuk menyiapkan konektivitas pribadi ke bidang data API, konfigurasi DNS dengan menyelesaikan langkah-langkah berikut untuk domain *.datafusion.googleusercontent.com dan *.datafusion.cloud.google.com.

  1. Buat zona pribadi baru menggunakan Cloud DNS:

    1. Jenis zona: Centang pribadi
    2. Nama zona: datafusiongoogleusercontentcom
    3. Nama DNS: datafusion.googleusercontent.com

    4. Jaringan: Pilih jaringan IP pribadi yang Anda pilih saat membuat instance Cloud Data Fusion.

      Cara mengisi kolom zona.

  2. Dari halaman Cloud DNS, klik nama zona DNS datafusiongoogleusercontent Anda untuk membuka halaman Zone details. Dua catatan tercantum: pencatatan NS dan SOA. Gunakan Tambahkan Standar untuk menambahkan dua kumpulan data berikut ke zona DNS datafusiongoogleusercontent Anda.

    1. Tambahkan data CNAME: Pada dialog Create record set, isi kolom berikut untuk memetakan nama DNS *.datafusion.googleusercontent.com. ke nama kanonis datafusion.googleusercontent.com:

      • Nama DNS: "*.datafusion.googleusercontent.com"

      • Nama kanonis: "datafusion.googleusercontent.com"

        Cara mengisi kolom zona.

    2. Tambahkan data A: Dalam dialog Buat kumpulan data baru, isi kolom berikut untuk memetakan nama DNS datafusion.googleusercontent.com. ke alamat IP 199.36.153.4 - 199.36.153.7:

      • Nama DNS: ".datafusion.googleusercontent.com"

      • Alamat IPv4:

        • 199.36.153.4
        • 199.36.153.5
        • 199.36.153.6
        • 199.36.153.7
        Cara mengisi kolom zona.

      Halaman Detail zona datafusiongoogleusercontent menampilkan kumpulan data berikut:

      Cara mengisi kolom zona.

  3. Ikuti langkah-langkah di atas untuk membuat zona DNS pribadi dan menambahkan kumpulan data untuk domain *.datafusion.cloud.google.com.

Langkah selanjutnya