El servicio Dataproc Metastore requiere acceso completo a la red IP interna para funcionar correctamente como se describe en esta página.
Conectividad de red
Dataproc Metastore solo usa IP privada, por lo que no se expone ninguna IP pública. Esto significa que solo las VM de la red de nube privada virtual (VPC) proporcionada o locales (conectadas a través de Cloud VPN o Cloud Interconnect) pueden acceder el servicio de Dataproc Metastore.
Dataproc Metastore aprovecha el intercambio de tráfico entre redes de VPC para proporcionar conectividad de dirección IP al endpointUri del servicio de Dataproc Metastore.
Para obtener más información, consulta Requisitos de herramientas de redes de Dataproc Metastore.
Reglas de firewall para tus servicios
En entornos no predeterminados o privados con una huella de seguridad establecida, es posible que debas crear tus propias reglas de firewall. Si lo haces, asegúrate de no crear una regla de firewall que bloquee el rango de direcciones IP o el puerto de tus servicios de Dataproc Metastore.
Cuando creas un servicio de Dataproc Metastore, puedes aceptar la red predeterminada para el servicio. La red predeterminada garantiza un acceso completo a la red de IP interna para tus VM.
Cuando uses una red personalizada, asegúrate de que tu regla de firewall permita el tráfico que proviene del extremo de Dataproc Metastore o que se dirige hacia él. Para permitir el tráfico de Dataproc Metastore de forma explícita, ejecuta los siguientes comandos de gcloud:
gcloud compute firewall-rules create dpms-allow-egress-DPMS_NETWORK-REGION --allow tcp --destination-ranges DPMS_NET_PREFIX/17 --network DPMS_NETWORK --direction OUT
gcloud compute firewall-rules create dpms-allow-ingress-DPMS_NETWORK-REGION --allow tcp,udp --source-ranges DPMS_NET_PREFIX/17 --network DPMS_NETWORK
Para
DPMS_NET_PREFIX, aplica una máscara de subred/17a la IP del servicio de Dataproc Metastore.Ten en cuenta que puedes encontrar información de IP de Dataproc Metastore en la configuración de
endpointUrien la página Detalles del servicio.
Las redes tienen una regla de permiso de salida implícita que, por lo general, permite el acceso desde tu red al Dataproc Metastore. Si creas reglas de denegación de salida que anulan la regla de permiso de salida implícita, debes crear una regla de permiso de salida con una prioridad más alta que permita la salida a la IP de Dataproc Metastore.
Algunas funciones, como Kerberos, requieren Dataproc Metastore para iniciar conexiones a hosts en tu red de proyecto. Todas las redes tienen una regla implícita de denegación de entrada que bloqueará estas conexiones y impedirá que esas características funcionen.
Debes crear una regla de firewall que permita la entrada de TCP y UDP en todos los puertos del bloque de IP /17 que contiene la IP de Dataproc Metastore.
Para obtener más información sobre las reglas de firewall, consulta Reglas de firewall de VPC y Usa reglas de firewall de VPC.
Acceso al extremo de Dataproc Metastore
Una vez que se cree el servicio y se configure la red, tendrás acceso al extremo de Thrift, endpointUri, para tu servicio de Dataproc Metastore. Puedes usar el extremo para dirigir al cliente al servicio nuevo si sigues las instrucciones que figuran en Crea un clúster de Dataproc que use el servicio o Después de crear un servicio de Dataproc Metastore.
¿Qué sigue?
- Herramientas de redes de servicio
- Controles del servicio de VPC
- IAM y control de acceso de Dataproc Metastore