Accès aux services

Le service Dataproc Metastore nécessite un accès complet au réseau IP interne pour fonctionner correctement, comme décrit sur cette page.

Connectivité réseau

Dataproc Metastore n'utilise qu'une adresse IP privée. Par conséquent, aucune adresse IP publique n'est exposée. Cela signifie que seules les VM du réseau cloud privé virtuel (VPC) fourni ou sur site (connectées via Cloud VPN ou Cloud Interconnect) peuvent accéder au service Dataproc Metastore.

Dataproc Metastore exploite l'appairage de réseaux VPC pour fournir la connectivité d'adresses IP au service endpointUri de Dataproc Metastore.

Pour en savoir plus, consultez la section Mise en réseau.

Règles de pare-feu pour vos services

Dans les environnements autres que ceux par défaut ou dotés d'une empreinte de sécurité établie, vous devrez peut-être créer vos propres règles de pare-feu. Dans ce cas, veillez à ne pas créer de règle de pare-feu qui bloque la plage d'adresses IP ou le port de vos services Dataproc Metastore.

Lorsque vous créez un service Dataproc Metastore, vous pouvez accepter le réseau par défaut du service. Le réseau par défaut garantit un accès complet au réseau IP interne de vos VM.

Lorsque vous utilisez un réseau personnalisé, assurez-vous que votre règle de pare-feu autorise le trafic entrant/sortant du point de terminaison Dataproc Metastore. Pour autoriser explicitement le trafic Dataproc Metastore, exécutez les commandes gcloud suivantes:

gcloud compute firewall-rules create dpms-allow-egress-DPMS_NETWORK-REGION --allow tcp --destination-ranges DPMS_NET_PREFIX/17 --network DPMS_NETWORK --direction OUT
gcloud compute firewall-rules create dpms-allow-ingress-DPMS_NETWORK-REGION --allow tcp,udp --source-ranges DPMS_NET_PREFIX/17 --network DPMS_NETWORK
  • Pour DPMS_NET_PREFIX, appliquez un masque de sous-réseau /17 à l'adresse IP de votre service Dataproc Metastore.

    Notez que vous trouverez des informations sur l'adresse IP de Dataproc Metastore dans la configuration de endpointUri sur la page Détails du service.

Les réseaux possèdent une règle implicite d'autorisation du trafic sortant, qui permet normalement d'accéder à Dataproc Metastore depuis votre réseau. Si vous créez des règles de refus de sortie qui remplacent la règle implicite de sortie autorisée, vous devez créer une règle d'autorisation de sortie avec une priorité plus élevée pour autoriser la sortie vers l'adresse IP de Dataproc Metastore.

Certaines fonctionnalités telles que Kerberos nécessitent Dataproc Metastore pour initier des connexions aux hôtes de votre réseau de projets. Tous les réseaux disposent d'une règle implicite d'entrée interdite qui bloque ces connexions et empêche ces fonctionnalités de fonctionner. Vous devez créer une règle de pare-feu qui autorise l'entrée TCP et UDP sur tous les ports du bloc d'adresses IP /17 contenant l'adresse IP de Dataproc Metastore.

Pour en savoir plus sur les règles de pare-feu, consultez les pages Règles de pare-feu VPC et Utiliser des règles de pare-feu VPC.

Accès au point de terminaison Dataproc Metastore

Une fois que vous avez créé le service et configuré le réseau, vous avez accès au point de terminaison périphérique endpointUri du service Dataproc Metastore. Vous pouvez utiliser le point de terminaison pour diriger votre client vers le nouveau service en suivant les instructions de la section Créer un cluster Dataproc qui utilise le service ou Après avoir créé un service Dataproc Metastore. Google Cloud.

Étape suivante