Accesso al servizio

Il servizio Dataproc Metastore richiede l'accesso completo al networking IP interno per funzionare correttamente come descritto in questa pagina.

Connettività di rete

Dataproc Metastore utilizza solo l'IP privato, pertanto non è esposto alcun IP pubblico. Ciò significa che solo le VM sulla rete Virtual Private Cloud (VPC) o on-premise (collegate tramite Cloud VPN o Cloud Interconnect) possono accedere al servizio Dataproc Metastore.

Dataproc Metastore sfrutta il peering di rete VPC per fornire la connettività degli indirizzi IP al servizio servizio's endpointUri di Dataproc Metastore.

Per ulteriori informazioni, consulta la pagina relativa al networking dei servizi.

Regole firewall per i servizi

In ambienti non predefiniti o privati con un'impronta di sicurezza consolidata, potresti dover creare le tue regole firewall. In questo caso, assicurati di non creare una regola firewall che blocchi l'intervallo o gli indirizzi IP dei tuoi servizi Dataproc Metastore.

Quando crei un servizio Dataproc Metastore, puoi accettare la rete predefinita per il servizio. La rete predefinita garantisce l'accesso completo al networking IP interno per le tue VM.

Quando utilizzi una rete personalizzata, assicurati che la regola firewall consenta il traffico da/verso l'endpoint Dataproc Metastore. Per consentire esplicitamente il traffico di Dataproc Metastore, esegui i seguenti comandi gcloud:

gcloud compute firewall-rules create dpms-allow-egress-DPMS_NETWORK-REGION --allow tcp --destination-ranges DPMS_NET_PREFIX/17 --network DPMS_NETWORK --direction OUT
gcloud compute firewall-rules create dpms-allow-ingress-DPMS_NETWORK-REGION --allow tcp,udp --source-ranges DPMS_NET_PREFIX/17 --network DPMS_NETWORK
  • Per DPMS_NET_PREFIX, applica una subnet mask /17 all'IP del servizio Dataproc Metastore.

    Tieni presente che puoi trovare le informazioni sull'IP di Dataproc Metastore nella configurazione di endpointUri nella pagina Dettagli del servizio.

Le reti dispongono di una regola di autorizzazione in uscita implicita che normalmente consente l'accesso dalla rete a Dataproc Metastore. Se crei regole di negazione in uscita che sostituiscono la regola di autorizzazione di traffico in uscita implicita, devi creare una regola di autorizzazione in uscita con una priorità più elevata per consentire il traffico in uscita all'IP Dataproc Metastore.

Alcune funzionalità, come Kerberos, richiedono Dataproc Metastore per avviare le connessioni agli host della rete del tuo progetto. Tutte le reti hanno una regola di negazione implicita che blocca le connessioni e impedisce il funzionamento di tali funzionalità. Devi creare una regola firewall che consenta il traffico in entrata TCP e UDP su tutte le porte dal blocco IP di /17 che contiene l'IP Dataproc Metastore.

Per ulteriori informazioni, vedi Regole firewall VPC e Utilizzare le regole firewall VPC.

Accesso agli endpoint Dataproc Metastore

Dopo aver creato il servizio e aver configurato la rete, avrai accesso all'endpoint dell'usato, endpointUri, per il servizio Dataproc Metastore. Puoi utilizzare l'endpoint per indirizzare il tuo client al nuovo servizio seguendo le istruzioni per creare un cluster Dataproc che utilizza il servizio o dopo aver creato un servizio Dataproc Metastore.

Passaggi successivi