ネットワーキング要件を理解する

コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。

このページで説明するように、Dataproc Metastore サービスでは、完全な内部 IP ネットワーク アクセスを必要とします。

ネットワーク接続

Dataproc Metastore はプライベート IP のみを使用し、パブリック IP は公開されません。これは、指定された Virtual Private Cloud(VPC)ネットワークまたは(Cloud VPN または Cloud Interconnect を介して接続された)オンプレミスの VM のみが Dataproc Metastore サービスにアクセスできることを意味します。

Dataproc Metastore では、VPC ネットワーク ピアリングを利用して、Dataproc Metastore のサービスの endpointUri への IP アドレス接続を提供します。

詳細については、Dataproc Metastore のネットワーキング要件をご覧ください。

サービスのファイアウォール ルール

デフォルト以外の環境または非公開のセキュリティ フットプリントが確立された環境では、独自のファイアウォール ルールの作成が必要になる場合があります。その場合は、Dataproc Metastore サービスの IP アドレス範囲またはポートをブロックするファイアウォール ルールを作成しないようにしてください。

Dataproc Metastore サービスを作成する際は、サービスのデフォルトのネットワークをそのまま使用できます。デフォルトのネットワークでは、VM に対して完全な内部 IP ネットワーク アクセスが保証されます。

カスタム ネットワークを使用するときは、ファイアウォール ルールで Dataproc Metastore エンドポイント との間のトラフィックが許可されていることを確認してください。Dataproc Metastore トラフィックを明示的に許可するには、次の gcloud コマンドを実行します。

gcloud compute firewall-rules create dpms-allow-egress-DPMS_NETWORK-REGION --allow tcp --destination-ranges DPMS_NET_PREFIX/17 --network DPMS_NETWORK --direction OUT
gcloud compute firewall-rules create dpms-allow-ingress-DPMS_NETWORK-REGION --allow tcp,udp --source-ranges DPMS_NET_PREFIX/17 --network DPMS_NETWORK
  • DPMS_NET_PREFIX の場合は、/17 サブネット マスクを Dataproc Metastore サービス IP に適用します。

    Dataproc Metastore の IP 情報は、サービスの詳細ページの endpointUri 構成で確認できます。

ネットワークには暗黙の下り(外向き)許可ルールがあり、通常はネットワークから Dataproc Metastore へのアクセスは許可されます。下り(外向き)拒否ルールを作成して暗黙の下り(外向き)許可ルールをオーバーライドする場合は、それよりも優先度が高い下り(外向き)許可ルールを作成して Dataproc Metastore IP への下り(外向き)を許可する必要があります。

Kerberos などの一部の機能では、プロジェクト ネットワークのホストへの接続を開始するために、Dataproc Metastore が必要になります。すべてのネットワークには、このような接続をブロックしてこれらの機能が機能しないようにする、暗黙の上り(内向き)拒否ルールがあります。Dataproc Metastore IP を含む /17 IP ブロックからのすべてのポートで TCP および UDP 上り(内向き)を許可するファイアウォール ルールを作成する必要があります。

ファイアウォール ルールの詳細については、VPC ファイアウォール ルールVPC ファイアウォール ルールの使用をご覧ください。

Dataproc Metastore エンドポイントへのアクセス

サービスが作成されてネットワークが構成されると、Dataproc Metastore サービスの thrift エンドポイント(endpointUri)へアクセスできるようになります。次のいずれかの手順に従って、エンドポイントを使用すると、クライアントが新しいサービスを指すようにできます。サービスを使用する Dataproc クラスタの作成またはDataproc Metastore サービスの作成後

次のステップ