이 페이지에서는 다른 Google Cloud 프로젝트의 Dataproc 클러스터를 사용하는 파이프라인을 배포하고 실행할 때 액세스 제어를 관리하는 방법을 설명합니다.
시나리오
기본적으로 Cloud Data Fusion 인스턴스는 Google Cloud 프로젝트에서 실행될 때 동일한 프로젝트 내의 Dataproc 클러스터를 사용하여 파이프라인을 배포하고 실행합니다. 그러나 조직에서 다른 프로젝트의 클러스터를 사용하도록 요구할 수도 있습니다. 이 사용 사례에서는 프로젝트 간의 액세스를 관리해야 합니다. 다음 페이지에서는 기준(기본) 구성을 변경하고 적절한 액세스 제어를 적용하는 방법을 설명합니다.
시작하기 전에
이 사용 사례의 솔루션을 이해하려면 다음 지식이 필요합니다.
- Cloud Data Fusion 개념 관련 기본 지식
- Cloud Data Fusion용 Identity and Access Management(IAM) 관련 기본 지식
- Cloud Data Fusion 네트워킹 관련 기본 지식
가정 및 범위
이 사용 사례의 요구사항은 다음과 같습니다.
- 비공개 Cloud Data Fusion 인스턴스 보안상의 이유로 조직에서 이 유형의 인스턴스를 사용하도록 요구할 수 있습니다.
- BigQuery 소스 및 싱크
- 역할 기반 액세스 제어(RBAC)가 아닌 IAM으로 액세스 제어
해결책
이 솔루션은 기준과 사용 사례별 아키텍처 및 구성을 비교합니다.
아키텍처
다음 다이어그램은 테넌트 프로젝트 VPC를 통해 동일한 프로젝트(기준) 및 다른 프로젝트에서 클러스터를 사용할 때 Cloud Data Fusion 인스턴스를 만들고 파이프라인을 실행하기 위한 프로젝트 아키텍처를 비교합니다.
기준 아키텍처
이 다이어그램은 프로젝트의 기준 아키텍처를 보여줍니다.
기준 구성의 경우 비공개 Cloud Data Fusion 인스턴스를 만들고 추가 맞춤설정 없이 파이프라인을 실행합니다.
- 기본 제공 컴퓨팅 프로필 중 하나 사용
- 소스와 싱크가 인스턴스와 동일한 프로젝트에 있음
- 서비스 계정에 부여된 추가 역할 없음
테넌트 및 고객 프로젝트에 대한 자세한 내용은 네트워킹을 참조하세요.
사용 사례 아키텍처
이 다이어그램은 다른 프로젝트의 클러스터를 사용할 때의 프로젝트 아키텍처를 보여줍니다.
구성
다음 섹션에서는 기준 구성을 기본 테넌트 프로젝트 VPC를 통해 다른 프로젝트의 Dataproc 클러스터를 사용하기 위한 사용 사례별 구성과 비교합니다.
다음 사용 사례 설명에서 고객 프로젝트는 Cloud Data Fusion 인스턴스가 실행되는 곳이고 Dataproc 프로젝트는 Dataproc 클러스터가 시작되는 위치입니다.
테넌트 프로젝트 VPC 및 인스턴스
기준 | 사용 사례 |
---|---|
앞의 기준 아키텍처 다이어그램에서 테넌트 프로젝트에는 다음 구성요소가 포함됩니다.
|
이 사용 사례에는 추가 구성이 필요하지 않습니다. |
고객 프로젝트
기준 | 사용 사례 |
---|---|
Google Cloud 프로젝트는 파이프라인을 배포하고 실행하는 위치입니다. 기본적으로 Dataproc 클러스터는 파이프라인을 실행할 때 이 프로젝트에서 실행됩니다. | 이 사용 사례에서는 두 프로젝트를 관리합니다. 이 페이지에서 고객 프로젝트는 Cloud Data Fusion 인스턴스가 실행되는 위치를 나타냅니다. Dataproc 프로젝트는 Dataproc 클러스터가 실행되는 위치를 나타냅니다. |
고객 VPC
기준 | 사용 사례 |
---|---|
고객 관점에서 고객 VPC는 Cloud Data Fusion이 논리적으로 위치하는 곳입니다. 핵심 내용: 고객 VPC 세부정보는 프로젝트의 VPC 네트워크 페이지에서 확인할 수 있습니다. |
이 사용 사례에는 추가 구성이 필요하지 않습니다. |
Cloud Data Fusion 서브넷
기준 | 사용 사례 |
---|---|
고객 관점에서 이 서브넷은 Cloud Data Fusion이 논리적으로 위치하는 곳입니다. 핵심 요약: 이 서브넷의 리전은 테넌트 프로젝트의 Cloud Data Fusion 인스턴스 위치와 동일합니다. |
이 사용 사례에는 추가 구성이 필요하지 않습니다. |
Dataproc 서브넷
기준 | 사용 사례 |
---|---|
파이프라인을 실행할 때 Dataproc 클러스터가 시작되는 서브넷입니다. 핵심 내용:
|
이는 파이프라인을 실행할 때 Dataproc 클러스터가 실행되는 새 서브넷입니다. 핵심 내용:
|
소스 및 싱크
기준 | 사용 사례 |
---|---|
BigQuery 소스 및 싱크와 같이 데이터가 추출되는 소스 및 데이터가 로드되는 싱크입니다. 핵심 내용:
|
이 페이지의 사용 사례별 액세스 제어 구성은 BigQuery 소스 및 싱크용입니다. |
Cloud Storage
기준 | 사용 사례 |
---|---|
Cloud Data Fusion과 Dataproc 간에 파일을 전송하는 데 도움이 되는 고객 프로젝트의 스토리지 버킷입니다. 핵심 내용:
|
이 사용 사례에는 추가 구성이 필요하지 않습니다. |
소스 및 싱크에서 사용하는 임시 버킷
기준 | 사용 사례 |
---|---|
소스 및 싱크를 위해 플러그인으로 생성된 임시 버킷(예: BigQuery 싱크 플러그인으로 시작된 로드 작업)이 있습니다. 핵심 내용:
|
이 사용 사례에서는 모든 프로젝트에서 버킷을 만들 수 있습니다. |
플러그인용 소스 또는 데이터 싱크인 버킷
기준 | 사용 사례 |
---|---|
Cloud Storage 플러그인 및 FTP to Cloud Storage 플러그인과 같은 플러그인 구성에 지정하는 고객 버킷입니다. | 이 사용 사례에는 추가 구성이 필요하지 않습니다. |
IAM: Cloud Data Fusion API 서비스 에이전트
기준 | 사용 사례 |
---|---|
Cloud Data Fusion API가 사용 설정되면 Cloud Data Fusion API 서비스 에이전트 역할( 핵심 내용:
|
이 사용 사례에서는 Dataproc 프로젝트의 서비스 계정에 Cloud Data Fusion API 서비스 에이전트 역할을 부여합니다. 그런 다음 해당 프로젝트에 다음 역할을 부여합니다.
|
IAM: Dataproc 서비스 계정
기준 | 사용 사례 |
---|---|
Dataproc 클러스터 내에서 파이프라인을 작업으로 실행하는 데 사용되는 서비스 계정입니다. 기본적으로 Compute Engine 서비스 계정입니다. 선택사항: 기준 구성에서 기본 서비스 계정을 동일한 프로젝트의 다른 서비스 계정으로 변경할 수 있습니다. 새 서비스 계정에 다음 IAM 역할을 부여합니다.
|
이 사용 사례 예시에서는 Dataproc 프로젝트의 기본 Compute Engine 서비스 계정( Dataproc 프로젝트의 기본 Compute Engine 서비스 계정에 다음 역할을 부여합니다.
Dataproc 프로젝트의 기본 Compute Engine 서비스 계정에서 Cloud Data Fusion 서비스 계정에 서비스 계정 사용자 역할을 부여합니다. 이 작업은 Dataproc 프로젝트에서 수행해야 합니다. Dataproc 프로젝트의 기본 Compute Engine 서비스 계정을 Cloud Data Fusion 프로젝트에 추가합니다. 또한 다음 역할을 부여합니다.
|
API
기준 | 사용 사례 |
---|---|
Cloud Data Fusion API를 사용 설정하면 다음 API도 사용 설정됩니다. 이러한 API에 대한 자세한 내용은 프로젝트의 API 및 서비스 페이지를 참조하세요.
Cloud Data Fusion API를 사용 설정하면 다음 서비스 계정이 프로젝트에 자동으로 추가됩니다.
|
이 사용 사례의 경우 Dataproc 프로젝트가 포함된 프로젝트에서 다음 API를 사용 설정합니다.
|
암호화 키
기준 | 사용 사례 |
---|---|
기준 구성에서 암호화 키는 Google 관리 또는 CMEK 일 수 있습니다. 핵심 내용: CMEK를 사용하는 경우 기준 구성에 다음이 필요합니다.
BigQuery 또는 Cloud Storage와 같이 파이프라인에 사용되는 서비스에 따라 서비스 계정에 Cloud KMS CryptoKey 암호화/복호화 역할을 부여해야 합니다.
|
CMEK를 사용하지 않는 경우 이 사용 사례를 추가로 변경할 필요가 없습니다. CMEK를 사용하는 경우 생성된 프로젝트의 키 수준에서 Cloud KMS CryptoKey 암호화/복호화 역할을 다음 서비스 계정에 제공해야 합니다.
파이프라인에 사용된 서비스(예: BigQuery 또는 Cloud Storage)에 따라 다른 서비스 계정에도 키 수준에서 Cloud KMS CryptoKey 암호화/복호화 역할을 부여해야 합니다. 예를 들면 다음과 같습니다.
|
이러한 사용 사례별 구성을 만들면 데이터 파이프라인이 다른 프로젝트의 클러스터에서 실행되기 시작할 수 있습니다.
다음 단계
- Cloud Data Fusion의 네트워킹에 대해 자세히 알아보세요.
- IAM 기본 및 사전 정의된 역할 참조를 참조하세요.