Der Dataproc Metastore-Dienst erfordert uneingeschränkten Zugriff auf das interne IP-Netzwerk, um wie auf dieser Seite beschrieben zu funktionieren.
Netzwerkverbindung
Dataproc Metastore verwendet nur private IP-Adressen, es werden also keine öffentlichen IP-Adressen preisgegeben. Das bedeutet, dass nur VMs im bereitgestellten VPC-Netzwerk (Virtual Private Cloud) oder lokal (über Cloud VPN oder Cloud Interconnect) auf den Dataproc Metastore-Dienst zugreifen können.
Dataproc Metastore nutzt VPC-Netzwerk-Peering, um eine Verbindung zum endpointUri des Dataproc Metastore-Dienstes über eine IP-Adresse herstellen zu können.
Weitere Informationen finden Sie unter Netzwerkanforderungen für Dataproc Metastore.
Firewallregeln für Ihre Dienste
In nicht standardmäßigen oder privaten Umgebungen mit einem bestehenden Sicherheitsniveau müssen Sie möglicherweise Ihre eigenen Firewallregeln erstellen. Achten Sie in diesem Fall darauf, keine Firewallregel zu erstellen, die den IP-Adressbereich oder Port Ihrer Dataproc Metastore-Dienste blockiert.
Wenn Sie einen Dataproc Metastore-Dienst erstellen, können Sie das Standardnetzwerk für den Dienst übernehmen. Das Standardnetzwerk sorgt für vollständigen internen IP-Netzwerkzugriff für Ihre VMs.
Wenn Sie ein benutzerdefiniertes Netzwerk verwenden, muss Ihre Firewallregel Traffic vom Dataproc Metastore-Endpunkt zulassen. Führen Sie die folgenden gcloud-Befehle aus, um Dataproc Metastore-Traffic explizit zuzulassen:
gcloud compute firewall-rules create dpms-allow-egress-DPMS_NETWORK-REGION --allow tcp --destination-ranges DPMS_NET_PREFIX/17 --network DPMS_NETWORK --direction OUT
gcloud compute firewall-rules create dpms-allow-ingress-DPMS_NETWORK-REGION --allow tcp,udp --source-ranges DPMS_NET_PREFIX/17 --network DPMS_NETWORK
Wenden Sie für
DPMS_NET_PREFIXdie Subnetzmaske/17auf die IP-Adresse des Dataproc Metastore-Dienstes an.Beachten Sie, dass Sie die IP-Informationen zu Dataproc Metastore in der
endpointUri-Konfiguration auf der Seite Dienstdetails finden.
Netzwerke haben eine implizierte Regel zum Zulassen von ausgehendem Traffic, die normalerweise den Zugriff von Ihrem Netzwerk auf Dataproc Metastore zulässt. Wenn Sie Regeln zum Ablehnen von ausgehendem Traffic erstellen, die die implizierte Regel zum Zulassen von ausgehendem Traffic überschreiben, sollten Sie eine Regel zum Zulassen von ausgehendem Traffic mit einer höheren Priorität erstellen, um ausgehenden Traffic an die Dataproc Metastore-IP zuzulassen.
Einige Features wie Kerberos erfordern, dass Dataproc Metastore Verbindungen zu Hosts in Ihrem Projektnetzwerk initiiert. Alle Netzwerke haben eine implizierte Regel zum Ablehnen von eingehendem Traffic, die diese Verbindungen blockiert und verhindert, dass diese Features funktionieren.
Sie sollten eine Firewallregel erstellen, die eingehenden TCP- und UDP-Traffic an allen Ports aus dem IP-Block /17 zulässt, der die IP-Adresse des Dataproc Metastore enthält.
Weitere Informationen zu Firewallregeln finden Sie unter VPC-Firewallregeln und VPC-Firewallregeln verwenden.
Zugriff auf Dataproc Metastore-Endpunkt
Nachdem der Dienst erstellt und das Netzwerk konfiguriert wurde, haben Sie Zugriff auf den Thrift-Endpunkt endpointUri für Ihren Dataproc Metastore-Dienst. Sie können den Endpunkt verwenden, um Ihren Client auf den neuen Dienst zu verweisen. Folgen Sie dazu entweder der Anleitung unter Dataproc-Cluster erstellen, der den Dienst verwendet oder Nach dem Erstellen eines Dataproc Metastore-Dienstes.