Dataproc Metastore 服务需要完整的内部 IP 网络访问权限,才能按照本页所述正确运行。
网络连接
Dataproc Metastore 仅使用专用 IP,因此没有公开 IP。这意味着只有提供的 Virtual Private Cloud (VPC) 网络中或本地(通过 Cloud VPN 或 Cloud Interconnect 连接)的虚拟机才能访问 Dataproc Metastore 服务。
Dataproc Metastore 利用 VPC 网络对等互连来为 Dataproc Metastore 服务的 endpointUri
提供 IP 地址连接。
如需了解详情,请参阅 Dataproc Metastore 网络要求。
服务的防火墙规则
在已确定存在安全隐患的非默认环境或专用环境中,您可能需要创建自己的防火墙规则。如果要执行此操作,请确保不要创建屏蔽 Dataproc Metastore 服务的 IP 地址范围或端口的防火墙规则。
创建 Dataproc Metastore 服务时,您可以接受该服务的默认网络。默认网络可确保您虚拟机的完整内部 IP 网络访问权限。
使用自定义网络时,请确保您的防火墙规则允许来自/流向 Dataproc Metastore 端点的流量。如需明确允许 Dataproc Metastore 流量,请运行以下 gcloud
命令:
gcloud compute firewall-rules create dpms-allow-egress-DPMS_NETWORK-REGION --allow tcp --destination-ranges DPMS_NET_PREFIX/17 --network DPMS_NETWORK --direction OUT
gcloud compute firewall-rules create dpms-allow-ingress-DPMS_NETWORK-REGION --allow tcp,udp --source-ranges DPMS_NET_PREFIX/17 --network DPMS_NETWORK
对于
DPMS_NET_PREFIX
,请将/17
子网掩码应用于 Dataproc Metastore 服务 IP 地址。请注意,您可以在服务详细信息页面的
endpointUri
配置中找到 Dataproc Metastore IP 地址信息。
网络具有隐式允许出站规则,通常允许从您的网络访问 Dataproc Metastore。如果您创建的拒绝出站规则替换隐式允许出站规则,则应创建优先级更高的允许出站规则,以允许流向 Dataproc Metastore IP 的出站流量。
Kerberos 等一些功能要求 Dataproc Metastore 启动与项目网络中的主机的连接。所有网络都有隐式拒绝入站规则,以阻止这些连接并阻止这些功能发挥作用。您应创建一条防火墙规则,以允许来自包含 Dataproc Metastore IP 的 /17
IP 地址块中的所有端口上的 TCP 和 UDP 入站流量。
如需详细了解防火墙规则,请参阅 VPC 防火墙规则和使用 VPC 防火墙规则。
Dataproc Metastore 端点访问权限
创建服务并配置网络后,您将有权访问 Dataproc Metastore 服务的 Thrift 端点 endpointUri
。您可以按照创建使用服务的 Dataproc 集群或创建 Dataproc Metastore 服务后的说明,使用端点将客户端指向新服务。