Accéder à un service

Le service Dataproc Metastore nécessite un accès complet au réseau IP interne pour fonctionner correctement, comme décrit sur cette page.

Connectivité réseau

Dataproc Metastore n'utilise qu'une adresse IP privée. Par conséquent, aucune adresse IP publique n'est exposée. Cela signifie que seules les VM du réseau cloud privé virtuel (VPC) fourni ou sur site (connectées via Cloud VPN ou Cloud Interconnect) peuvent accéder au service Dataproc Metastore.

Dataproc Metastore exploite l'appairage de réseaux VPC pour fournir la connectivité par adresse IP au service endpointUri du service Dataproc Metastore.

Règles de pare-feu pour vos services

Dans les environnements autres que ceux par défaut ou dotés d'une empreinte de sécurité établie, vous devrez peut-être créer vos propres règles de pare-feu. Dans ce cas, veillez à ne pas créer de règle de pare-feu qui bloque la plage d'adresses IP ou le port de vos services Dataproc Metastore.

Lorsque vous créez un service Dataproc Metastore, vous pouvez accepter le réseau par défaut du service. Le réseau par défaut garantit un accès complet au réseau IP interne de vos VM.

Lorsque vous utilisez un réseau personnalisé, assurez-vous que votre règle de pare-feu autorise le trafic provenant du et envoyé vers le point de terminaison Dataproc Metastore. Pour autoriser explicitement le trafic Dataproc Metastore, vous pouvez utiliser les commandes gcloud suivantes:

gcloud compute firewall-rules create dpms-allow-egress-DPMS_NETWORK-REGION --allow tcp --destination-ranges DPMS_NET_PREFIX/17 --network DPMS_NETWORK --direction OUT
gcloud compute firewall-rules create dpms-allow-ingress-DPMS_NETWORK-REGION --allow tcp,udp --source-ranges DPMS_NET_PREFIX/17 --network DPMS_NETWORK
  • Pour DPMS_NET_PREFIX, vous devrez appliquer un masque de sous-réseau /17 à l'adresse IP de votre service Dataproc Metastore.

    Notez que les informations sur l'adresse IP Dataproc Metastore sont disponibles dans la configuration endpointUri de la page Informations sur le service.

Les réseaux disposent d'une règle implicite de sortie autorisée qui autorise normalement l'accès de votre réseau à Dataproc Metastore. Si vous créez des règles de refus de sortie qui remplacent la règle implicite de sortie autorisée, vous devez créer une règle de sortie autorisée avec une priorité plus élevée pour autoriser la sortie vers l'adresse IP de Metastore Dataproc.

Certaines fonctionnalités telles que Kerberos nécessitent Dataproc Metastore pour initier les connexions aux hôtes de votre réseau de projet. Tous les réseaux disposent d'une règle implicite d'entrée interdite qui bloque ces connexions et empêche leur fonctionnement. Vous devez créer une règle de pare-feu autorisant les entrées TCP et UDP sur tous les ports du bloc IP /17 contenant l'adresse IP de métastore Dataproc.

Pour en savoir plus sur les règles de pare-feu, consultez les pages Règles de pare-feu VPC et Utiliser des règles de pare-feu VPC.

Accéder au point de terminaison Dataproc Metastore et l'utiliser

Une fois le service créé et le réseau configuré, vous aurez accès au point de terminaison endpointUri, pour votre service Dataproc Metastore. Vous pouvez utiliser le point de terminaison pour diriger votre client vers le nouveau service. Pour ce faire, suivez les instructions des sections Créer un cluster Dataproc qui utilise le service ou Après avoir créé un service Dataproc Metastore.

Étape suivante