Réseau

Cette page fournit des informations sur la mise en réseau avec Dataproc Metastore.

Présentation

Les services Dataproc Metastore utilisent des adresses IP privées, qui offrent de nombreux avantages. Les adresses IP privées offrent une latence réseau inférieure à celle des adresses IP publiques. Vous pouvez vous connecter via une adresse IP privée depuis n'importe quelle région. Vous pouvez également vous connecter par le biais de VPC partagés entre des projets.

La connectivité IP privée entre les hôtes de votre réseau VPC et un service Dataproc Metastore est facilitée par l'appairage de votre réseau VPC avec le réseau VPC producteur de Dataproc Metastore. Google alloue des plages d'adresses IP dans votre réseau VPC utilisées dans le projet producteur de services.

Exemple

Dans l'exemple suivant, le réseau VPC du client a alloué la plage d'adresses 10.100.0.0/17 aux services Google et a établi une connexion privée utilisant cette plage.

Schéma de mise en réseau des projets client, de service et Cloud SQL

  • Du côté des services Google de l'appairage VPC, Google crée un projet pour le client. Le projet est isolé, ce qui signifie qu'il n'est partagé avec aucun autre client, et le client est facturé à hauteur des seules ressources qu'il provisionne.
  • Lors de la création du premier service Dataproc Metastore dans une région, Dataproc Metastore alloue une plage /17 et une plage /20 sur le réseau du client pour toute utilisation ultérieure des services Dataproc Metastore dans cette région. et réseau. Dataproc Metastore subdivise davantage ces plages pour créer des sous-réseaux et des plages d'adresses dans le projet producteur de services.
  • Les services de VM du réseau du client peuvent accéder aux ressources de service Dataproc Metastore dans n'importe quelle région si le service Google Cloud le permet. Certains services Google Cloud peuvent ne pas être compatibles avec la communication interrégionale.
  • Les coûts de sortie applicables au trafic interrégional, dans lequel une instance de VM communique avec des ressources situées dans une région différente, continuent de s'appliquer.
  • Google attribue au service Dataproc Metastore l'adresse IP 10.100.0.100. Dans le réseau VPC du client, les requêtes dont la destination est 10.100.0.100 sont acheminées via l'appairage de réseaux VPC vers le réseau du producteur de services. Une fois atteint sur le réseau de service, ce réseau contient des routes qui dirigent la requête vers la ressource appropriée.
  • Le trafic entre les réseaux VPC circule en interne au sein du réseau de Google et non via l'Internet public.

Problèmes de réseau

Dataproc Metastore alloue une plage /17 et une plage /20 à partir de l'espace d'adressage de chaque région. Par exemple, pour placer des services Dataproc Metastore dans deux régions, la plage d'adresses IP allouée doit contenir au moins deux blocs d'adresses inutilisés de taille /17 et deux blocs d'adresses inutilisés de taille \20 (Installation de Python groupée).

Les connexions à un service Dataproc Metastore à l'aide d'une adresse IP privée utilisent des plages d'adresses RFC 1918. Si les blocs d'adresses RFC 1918 sont introuvables, Dataproc Metastore trouvera les blocs d'adresses non-RFC 1918 appropriés. Notez que l'allocation de blocs non-RFC 1918 ne tient pas compte du fait que ces adresses soient utilisées ou non sur votre réseau VPC ou sur site.

Sécurité

Le trafic via l'appairage de réseaux VPC est fourni avec un certain niveau de chiffrement. Pour en savoir plus, consultez la page Chiffrement et authentification du réseau virtuel de Google Cloud.

La création d'un réseau VPC pour chaque service avec une adresse IP privée offre une meilleure isolation du réseau plutôt que de placer tous les services dans le réseau VPC "par défaut".

Guide de référence rapide sur les sujets de mise en réseau

Si vous gérez les services Dataproc Metastore, certaines des thématiques suivantes peuvent vous intéresser:

Sujet Discussion
Réseaux VPC partagés Vous pouvez créer des services Dataproc Metastore dans un réseau VPC partagé. Pour configurer un VPC partagé lors de la création d'un service, consultez la page Configurer un VPC partagé.
Anciens réseaux Vous ne pouvez pas vous connecter à un service Dataproc Metastore à partir d'un ancien réseau. Les anciens réseaux ne sont pas compatibles avec l'appairage de réseaux VPC.
Services Dataproc Metastore existants Vous ne pouvez pas modifier le réseau auquel un service Dataproc Metastore est connecté.
Adresses IP statiques L'adresse IP privée du service Dataproc Metastore ne change pas.
Appairage de réseaux VPC Vous ne créez pas explicitement l'appairage de réseaux VPC, car celui-ci est interne à Google Cloud. Après avoir créé un service Dataproc Metastore, vous pouvez voir l'appairage de réseaux VPC sous-jacent sur la page "Appairage de réseaux VPC" de Cloud Console. L'appairage est partagé par des services de la même région et du même réseau. Ne le supprimez pas.

Apprenez-en plus sur l'appairage de réseaux VPC.

VPC Service Controls VPC Service Controls améliore votre capacité à limiter le risque d'exfiltration des données. Cette solution vous permet de créer des périmètres autour du service Dataproc Metastore. VPC Service Controls limite l'accès depuis l'extérieur aux ressources situées dans le périmètre. Seuls les clients et les ressources situés dans le périmètre peuvent interagir entre eux. Pour en savoir plus, consultez la page Présentation de VPC Service Controls. Consultez également les limites de Dataproc Metastore lors de l'utilisation de VPC Service Controls. Pour utiliser VPC Service Controls avec Dataproc Metastore, consultez la page VPC Service Controls avec Dataproc Metastore.
Appairage transitif Seuls les réseaux directement appairés peuvent communiquer. L'appairage transitif n'est pas disponible. En d'autres termes, si le réseau VPC N1 est appairé à N2 et N3, mais si N2 et N3 ne sont pas directement connectés, le réseau VPC N2 ne peut pas communiquer avec le réseau VPC N3 via le réseau VPC Appairage En outre, les VM des réseaux appairés au réseau de votre projet Dataproc Metastore ne peuvent pas atteindre Dataproc Metastore. Seuls les hôtes du réseau VPC peuvent accéder à Dataproc Metastore.

Un service Dataproc Metastore dans un projet peut être connecté par des clients dans plusieurs projets différents à l'aide de réseaux VPC partagés.

Étape suivante