访问服务

Dataproc Metastore 服务需要完整的内部 IP 网络访问权限,才能按照本页所述正确运行。

网络连接

Dataproc Metastore 仅使用专用 IP,因此没有公开 IP。这意味着只有提供的 Virtual Private Cloud (VPC) 网络中或本地(通过 Cloud VPN 或 Cloud Interconnect 连接)的虚拟机才能访问 Dataproc Metastore 服务。

Dataproc Metastore 利用 VPC 网络对等互连来为 Dataproc Metastore 服务的 endpointUri 提供 IP 地址连接。

服务的防火墙规则

在已确定存在安全隐患的非默认环境或专用环境中,您可能需要创建自己的防火墙规则。如果要执行此操作,请确保不要创建屏蔽 Dataproc Metastore 服务的 IP 地址范围或端口的防火墙规则。

创建 Dataproc Metastore 服务时,您可以接受该服务的默认网络。默认网络可确保您虚拟机的完整内部 IP 网络访问权限。

使用自定义网络时,请确保您的防火墙规则允许来自/流向 Dataproc Metastore 端点的流量。如需明确允许 Dataproc Metastore 流量,您可以使用以下 gcloud 命令:

gcloud compute firewall-rules create dpms-allow-egress-DPMS_NETWORK-REGION --allow tcp --destination-ranges DPMS_NET_PREFIX/17 --network DPMS_NETWORK --direction OUT
gcloud compute firewall-rules create dpms-allow-ingress-DPMS_NETWORK-REGION --allow tcp,udp --source-ranges DPMS_NET_PREFIX/17 --network DPMS_NETWORK
  • 对于 DPMS_NET_PREFIX,您需要将 /17 子网掩码应用于 Dataproc Metastore 服务 IP。

    请注意,您可以在服务详情页面的 endpointUri 配置中找到 Dataproc Metastore IP 信息。

网络具有隐式允许出站规则,通常允许从您的网络访问 Dataproc Metastore。如果您创建的拒绝出站规则替换隐式允许出站规则,则应创建优先级更高的允许出站规则,以允许流向 Dataproc Metastore IP 的出站流量。

Kerberos 等一些功能要求 Dataproc Metastore 启动与项目网络中的主机的连接。所有网络都有隐式拒绝入站规则,以阻止这些连接并阻止这些功能发挥作用。您应创建一条防火墙规则,以允许来自包含 Dataproc Metastore IP 的 /17 IP 地址块中的所有端口上的 TCP 和 UDP 入站流量。

如需详细了解防火墙规则,请参阅 VPC 防火墙规则使用 VPC 防火墙规则

访问和使用 Dataproc Metastore 端点

创建服务并配置网络后,您将有权访问 Dataproc Metastore 服务的 Thrift 端点 endpointUri。您可以使用端点将客户端指向新服务。您可以按照创建使用服务的 Dataproc 集群创建 Dataproc Metastore 服务后中的说明执行此操作。

后续步骤