Choisir le protocole du point de terminaison

Votre service Dataproc Metastore fournit un accès client aux métadonnées Metastore stockées à l'aide d'un protocole de point de terminaison.

Vous pouvez choisir le protocole de point de terminaison de votre service Dataproc Metastore en fonction de vos préférences de communication. Vous pouvez choisir entre Apache Thrift et gRPC.

Thrift est l'ancien protocole de point de terminaison et constitue donc l'option par défaut. gRPC est plus sécurisé et vous permet d'utiliser les intégrations fédérées avec d'autres produits Google Cloud.

Configuration du réseau gRPC

Vous n'avez pas besoin de configurer un VPC partagé ni de définir des configurations de réseau pour les services basés sur gRPC, car le point de terminaison gRPC est accessible depuis n'importe quel VPC. Cette règle ne s'applique pas lorsque le projet contenant le service se trouve dans un périmètre de service VPC SC, auquel cas le point de terminaison peut être atteint depuis n'importe quel VPC appartenant aux projets du périmètre.

Choisir le protocole de point de terminaison pour un service Dataproc Metastore nouveau et existant

Vous pouvez choisir le protocole de point de terminaison de votre service Dataproc Metastore lorsque vous le créez ou le mettez à jour à l'aide de Google Cloud Console.

Choisir le protocole de point de terminaison pour un nouveau service

Pour choisir le protocole de point de terminaison pour un nouveau service:

Console

  1. Dans Cloud Console, ouvrez la page Dataproc Metastore:

    Ouvrir Dataproc Metastore dans Cloud Console

  2. En haut de la page Dataproc Metastore, cliquez sur le bouton Créer. La page Créer un service s'ouvre.

  3. Configurez votre service comme vous le souhaitez.

  4. Sous Protocole de point de terminaison, sélectionnez Thrift ou gRPC. Thrift est le protocole de point de terminaison par défaut.

  5. Cliquez sur Submit (Envoyer).

gcloud

  1. Exécutez la commande gcloud beta metastore services create suivante :

    gcloud beta metastore services create SERVICE \
       --endpoint-protocol=ENDPOINT_PROTOCOL ; default="thrift"
    

    Remplacez les éléments suivants :

    • SERVICE: nom de votre nouveau service
    • ENDPOINT_PROTOCOL : protocole à utiliser pour le point de terminaison du service de métastore. Vous pouvez spécifier thrift ou grpc.
  2. Vérifiez que la création a réussi.

Choisir le protocole de point de terminaison d'un service existant

Pour choisir le protocole de point de terminaison pour un service existant:

Console

  1. Dans Cloud Console, ouvrez la page Dataproc Metastore:

    Ouvrir Dataproc Metastore dans Cloud Console

  2. Sur la page Dataproc Metastore, cliquez sur le nom du service que vous souhaitez modifier. La page Informations sur le service s'ouvre pour ce service.

  3. Dans l'onglet Configuration, cliquez sur le bouton Modifier. La page Modifier le service s'ouvre.

  4. Dans la section Protocole de point de terminaison, mettez à jour votre sélection entre Thrift et gRPC.

  5. Cliquez sur le bouton Envoyer pour mettre à jour le service.

gcloud

  1. Exécutez la commande gcloud beta metastore services update suivante :

    gcloud beta metastore services update SERVICE \
       --endpoint-protocol=ENDPOINT_PROTOCOL
    

    Remplacez les éléments suivants :

    • SERVICE : nom de votre service.
    • ENDPOINT_PROTOCOL : protocole à utiliser pour le point de terminaison du service de métastore. Vous pouvez spécifier thrift ou grpc.
  2. Vérifiez que la mise à jour a bien été effectuée.

Après avoir choisi le protocole du point de terminaison

Pour les services compatibles gRPC, l'accès aux métadonnées stockées est protégé par les autorisations IAM sur les bases de données et les tables. Ces rôles sont les suivants:

  • roles/metastore.metadataViewer: accès en lecture seule aux métadonnées et aux stratégies IAM de métadonnées
  • roles/metastore.metadataEditor : accès en lecture/écriture aux métadonnées. Accès en lecture seule aux stratégies IAM de métadonnées.
  • roles/metastore.metadataOwner: accès en lecture/écriture aux métadonnées. Accès en lecture/écriture aux stratégies IAM de métadonnées

Vous devez définir une stratégie IAM pour accorder l'accès aux ressources. Attribuez les autorisations metastore.databases et metastore.tables à setIamPolicy et getIamPolicies.

Définir la stratégie IAM pour attribuer des rôles de métadonnées

Les instructions suivantes expliquent comment attribuer des rôles de métadonnées au niveau de la base de données et de la table.

gcloud

  • Pour un accès au niveau de la base de données:

    Exécutez la commande gcloud metastore services databases suivante pour attribuer des rôles de métadonnées au niveau de la base de données:

    gcloud beta metastore services databases add-iam-policy-binding --project PROJECT --location LOCATION --service SERVICE_ID DATABASE_ID --role roles/metastore.metadataViewer --member="EMAIL_ID"
    
  • Pour un accès au niveau de la table:

    Exécutez la commande gcloud metastore services databases tables suivante pour attribuer des rôles de métadonnées au niveau de la table:

    gcloud beta metastore services databases tables add-iam-policy-binding --project PROJECT --location LOCATION --service SERVICE_ID --database DATABASE_ID TABLE_ID --role roles/metastore.metadataViewer --member="EMAIL_ID"
    

Étapes suivantes