Dataproc Metastore 서비스는 이 페이지에 설명된 대로 내부 IP 네트워킹 액세스가 올바르게 작동해야 합니다.
네트워크 연결
Dataproc Metastore에서는 비공개 IP만 사용되므로 공개 IP가 노출되지 않습니다. 즉, 제공된 Virtual Private Cloud(VPC) 네트워크 또는 온프레미스(Cloud VPN 또는 Cloud Interconnect를 통해 연결됨)의 VM만 Dataproc Metastore 서비스에 액세스할 수 있습니다.
Dataproc Metastore는 VPC 네트워크 피어링을 활용해서 Dataproc Metastore 서비스의 endpointUri에 대한 IP 주소 연결을 제공합니다.
자세한 내용은 Dataproc Metastore 네트워킹 요구사항을 참조하세요.
서비스 방화벽 규칙
보안 풋프린트가 설정된 기본이 아닌 환경 또는 비공개 환경에서는 고유 방화벽 규칙을 만들어야 할 수 있습니다. 이 경우에는Dataproc Metastore 서비스의 IP 주소 범위 또는 포트를 차단하는 방화벽 규칙을 만들지 않아야 합니다.
Dataproc Metastore 서비스를 만들 때 서비스의 기본 네트워크를 수락할 수 있습니다. 기본 네트워크는 VM에 대해 전체 내부 IP 네트워킹 액세스를 보장합니다.
커스텀 네트워크를 사용할 때는 방화벽 규칙에서 Dataproc Metastore 엔드포인트에 대한 수신/송신 트래픽이 허용되는지 확인해야 합니다. Dataproc Metastore 트래픽을 명시적으로 허용하려면 다음 gcloud 명령어를 실행합니다.
gcloud compute firewall-rules create dpms-allow-egress-DPMS_NETWORK-REGION --allow tcp --destination-ranges DPMS_NET_PREFIX/17 --network DPMS_NETWORK --direction OUT
gcloud compute firewall-rules create dpms-allow-ingress-DPMS_NETWORK-REGION --allow tcp,udp --source-ranges DPMS_NET_PREFIX/17 --network DPMS_NETWORK
DPMS_NET_PREFIX의 경우 Dataproc Metastore 서비스 IP에/17서브넷 마스크를 적용합니다.서비스 세부정보 페이지의
endpointUri구성에서 Dataproc Metastore IP 정보를 찾을 수 있습니다.
네트워크에는 일반적으로 네트워크에서 Dataproc Metastore로의 액세스를 허용하는 묵시적인 이그레스 허용 규칙이 있습니다. 묵시적 이그레스 허용 규칙을 재정의하는 거부 이그레스 규칙을 만드는 경우 Dataproc Metastore IP로 이그레스를 허용하도록 우선순위가 더 높은 이그레스 허용 규칙을 만들어야 합니다.
Kerberos와 같은 일부 기능을 사용하려면 Dataproc Metastore에서 프로젝트 네트워크의 호스트에 대한 연결을 시작해야 합니다. 모든 네트워크에는 이러한 연결을 차단하고 이러한 기능이 작동하지 않도록 하는 묵시적인 인그레스 거부 규칙이 있습니다.
Dataproc Metastore IP가 포함된 /17 IP 블록에서 모든 포트에 TCP 및 UDP 인그레스를 허용하는 방화벽 규칙을 만들어야 합니다.
방화벽 규칙에 대한 자세한 내용은 VPC 방화벽 규칙 및 VPC 방화벽 규칙 사용을 참조하세요.
Dataproc Metastore 엔드포인트 액세스
서비스가 생성되고 네트워크가 구성된 다음에는 Dataproc Metastore 서비스에 대해 Thrift 엔드포인트 endpointUri에 액세스할 수 있습니다. 엔드포인트를 사용하여 다음 서비스를 사용하는 Dataproc 클러스터 만들기 또는 Dataproc Metastore 서비스 생성 후 중 하나의 안내를 따라 클라이언트가 새 서비스를 가리키도록 할 수 있습니다.