Mise en réseau des services

Cette page fournit des informations sur la mise en réseau avec Dataproc Metastore.

Présentation

Les services Dataproc Metastore utilisent des adresses IP privées, qui offrent de nombreux avantages. Les adresses IP privées offrent une latence réseau inférieure à celle des adresses IP publiques. Vous pouvez vous connecter via une adresse IP privée depuis n'importe quelle région. Vous pouvez également vous connecter par le biais de VPC partagés entre des projets.

Vous pouvez également utiliser des adresses IP privées pour connecter les hôtes de votre réseau VPC à un service Dataproc Metastore, en appairant votre réseau VPC avec le réseau VPC du producteur de services Dataproc Metastore. Google alloue les plages d'adresses IP utilisées par votre réseau VPC au projet producteur de services de Dataproc Metastore.

Exemple

Dans l'exemple suivant, Google alloue les plages d'adresses 10.100.0.0/17 et 10.200.0.0/20 dans le réseau VPC client pour les services Google, et utilise les plages d'adresses dans un réseau VPC appairé.

Schéma de mise en réseau des projets client, de service et Cloud SQL

  • Du côté des services Google de l'appairage VPC, Google crée un projet pour le client. Le projet est isolé, ce qui signifie qu'il n'est partagé avec aucun autre client, et le client est facturé à hauteur des seules ressources qu'il fournit.
  • Lors de la création du premier service Dataproc Metastore dans une région, Dataproc Metastore attribue une plage /17 et une plage /20 au réseau du client pour toute utilisation future des services Dataproc Metastore dans cette région et réseau. Dataproc Metastore subdivise davantage ces plages pour créer des sous-réseaux et des plages d'adresses dans le projet producteur de services.
  • Les services de VM du réseau du client peuvent accéder aux ressources du service Dataproc Metastore dans n'importe quelle région si le service Google Cloud le permet. Certains services Google Cloud peuvent ne pas être compatibles avec la communication interrégionale.
  • Les coûts de sortie pour le trafic interrégional, où une instance de machine virtuelle communique avec des ressources situées dans une région différente, continuent de s'appliquer.
  • Google attribue au service Dataproc Metastore l'adresse IP 10.100.0.100. Dans le réseau VPC client, les requêtes dont la destination est 10.100.0.100 sont acheminées via l'appairage VPC vers le réseau du producteur de services. Lorsque les requêtes ont atteint le réseau de service, celui-ci contient des routes qui les dirigent vers la ressource appropriée.
  • Le trafic entre les réseaux VPC circule en interne au sein du réseau de Google et non via l'Internet public.

Problèmes de réseau

Dataproc Metastore alloue une plage /17 et une plage /20 à partir de l'espace d'adressage pour chaque région. Par exemple, pour placer des services Dataproc Metastore dans deux régions, la plage d'adresses IP allouée doit contenir au moins deux blocs d'adresses inutilisés de taille /17 et deux blocs d'adresses inutilisés de taille /20.

Les connexions à un service Dataproc Metastore à l'aide d'une adresse IP privée utilisent les plages d'adresses RFC 1918. Si les blocs d'adresses RFC 1918 sont introuvables, Dataproc Metastore trouve des blocs d'adresses non-RFC 1918 appropriés. Notez que l'allocation de blocs non-RFC 1918 ne prend pas en compte l'utilisation ou non de ces adresses dans votre réseau VPC ou sur site.

Sécurité

Un certain niveau de chiffrement est fourni pour le trafic circulant sur l'appairage de réseaux VPC. Pour en savoir plus, consultez la page Chiffrement et authentification du réseau virtuel de Google Cloud.

La création d'un réseau VPC pour chaque service avec une adresse IP privée offre une meilleure isolation du réseau plutôt que de placer tous les services dans le réseau VPC "par défaut".

Aide-mémoire des rubriques concernant la mise en réseau

Sujet Discussion
Réseaux VPC partagés Vous pouvez créer des services Dataproc Metastore dans un réseau VPC partagé. Pour configurer un VPC partagé lors de la création d'un service, consultez la page Configurer un VPC partagé.
Anciens réseaux Vous ne pouvez pas vous connecter à un service Dataproc Metastore à partir d'un ancien réseau. Les anciens réseaux ne sont pas compatibles avec l’appairage de réseaux VPC.
Services Dataproc Metastore existants Vous ne pouvez pas modifier le réseau auquel un service Dataproc Metastore est connecté.
Adresses IP statiques L'adresse IP privée du service Dataproc Metastore ne change pas.
Appairage de réseaux VPC Vous ne créez pas explicitement l'appairage de réseaux VPC, car celui-ci est interne à Google Cloud. Après avoir créé un service Dataproc Metastore, vous pouvez voir son appairage de réseaux VPC sous-jacent sur la page "Appairage de réseaux VPC" de Cloud Console. L'appairage est partagé par des services de la même région et du même réseau. Ne le supprimez pas. Pour en savoir plus, consultez la section Appairage de réseaux VPC.
VPC Service Controls VPC Service Controls améliore votre capacité à limiter le risque d'exfiltration des données. Cette solution vous permet de créer des périmètres autour du service Dataproc Metastore. VPC Service Controls limite l'accès depuis l'extérieur aux ressources situées dans le périmètre. Seuls les clients et les ressources situés dans le périmètre peuvent interagir entre eux. Pour en savoir plus, consultez la page Présentation de VPC Service Controls.

Consultez également les limites applicables à Dataproc Metastore lors de l'utilisation de VPC Service Controls. Pour utiliser VPC Service Controls avec Dataproc Metastore, consultez la page VPC Service Controls avec Dataproc Metastore.

Appairage transitif Seuls les réseaux directement appairés peuvent communiquer. L'appairage transitif n'est pas disponible. En d'autres termes, si le réseau VPC N1 est appairé à N2 et N3, mais si N2 et N3 ne sont pas directement connectés, le réseau VPC N2 ne peut pas communiquer avec le réseau VPC N3 via l'appairage de réseaux VPC. De plus, les VM des réseaux appairés avec le réseau de votre projet Dataproc Metastore ne peuvent pas atteindre Dataproc Metastore. Seuls les hôtes du réseau VPC peuvent atteindre Dataproc Metastore.

Un service Dataproc Metastore dans un projet peut être connecté aux clients de plusieurs projets à l'aide de réseaux VPC partagés.

Étapes suivantes