Networking dei servizi

Questa pagina fornisce informazioni sul networking con Dataproc Metastore.

Panoramica

I servizi Dataproc Metastore utilizzano IP privati, che offrono numerosi vantaggi. Gli IP privati offrono una latenza di rete più bassa rispetto agli IP pubblici. Puoi connetterti tramite IP privato da qualsiasi area geografica. Puoi anche connetterti tramite VPC condivisi tra progetti.

Puoi inoltre utilizzare IP privati per connettere gli host della tua rete VPC a un servizio Dataproc Metastore, eseguendo il peering della rete VPC con la rete VPC del producer di servizi Dataproc Metastore. Google alloca intervalli IP utilizzati dalla tua rete VPC al progetto del producer di servizi Dataproc Metastore.

Esempio

Nell'esempio seguente, Google alloca gli intervalli di indirizzi 10.100.0.0/17 e 10.200.0.0/20 nella rete VPC del cliente per i servizi Google e utilizza gli intervalli di indirizzi in una rete VPC in peering.

Diagramma di networking di clienti, servizi e progetti Cloud SQL

  • Sul lato servizi Google del peering VPC, Google crea un progetto per il cliente. Il progetto è isolato, il che significa che nessun altro cliente lo condivide e al cliente vengono fatturate solo le risorse fornite dal cliente.
  • Quando crei il primo servizio Dataproc Metastore in un'area geografica, Dataproc Metastore alloca un intervallo /17 e un intervallo /20 nella rete del cliente per tutti i futuri utilizzi dei servizi Dataproc Metastore in tale area geografica e rete. Dataproc Metastore suddivide ulteriormente questi intervalli per creare subnet e intervalli di indirizzi nel progetto del producer di servizi.
  • I servizi VM nella rete del cliente possono accedere alle risorse di servizio Dataproc Metastore in qualsiasi area geografica se il servizio Google Cloud lo supporta. Alcuni servizi Google Cloud potrebbero non supportare la comunicazione tra aree geografiche.
  • Si applicano comunque i costi in uscita per il traffico tra aree geografiche in cui un'istanza VM comunica con le risorse in un'altra area geografica.
  • Google assegna al servizio Dataproc Metastore l'indirizzo IP 10.100.0.100. Nella rete VPC del cliente, le richieste con destinazione 10.100.0.100 vengono instradate attraverso il peering VPC alla rete del producer di servizi. Una volta raggiunta la rete di servizio, la rete di servizio contiene route che indirizzano la richiesta alla risorsa corretta.
  • Il traffico tra le reti VPC viaggia internamente all'interno della rete Google, non attraverso la rete Internet pubblica.

Problemi di rete

Dataproc Metastore alloca un intervallo /17 e un intervallo /20 dallo spazio degli indirizzi per ogni area geografica. Ad esempio, il posizionamento dei servizi Dataproc Metastore in due aree geografiche richiede che l'intervallo di indirizzi IP allocato contenga almeno due blocchi di indirizzi inutilizzati di dimensione /17 e due blocchi di indirizzi inutilizzati di dimensione /20.

Le connessioni a un servizio Dataproc Metastore utilizzando un indirizzo IP privato utilizzano gli intervalli di indirizzi RFC 1918. Se non vengono rilevati i blocchi di indirizzi RFC 1918, Dataproc Metastore trova invece blocchi di indirizzi non RFC 1918 adatti. Tieni presente che l'allocazione dei blocchi non conformi alla RFC 1918 non prende in considerazione l'utilizzo o meno di tali indirizzi nella rete VPC o on-premise.

Sicurezza

Il traffico sul peering di rete VPC è fornito con un determinato livello di crittografia. Per ulteriori informazioni, consulta l'articolo sulla crittografia e l'autenticazione della rete virtuale di Google Cloud.

La creazione di una rete VPC per ogni servizio con un indirizzo IP privato fornisce un isolamento di rete migliore rispetto all'inserimento di tutti i servizi nella rete VPC predefinita.

Riferimento rapido per gli argomenti di networking

Argomento Discussione
Reti VPC condivise Puoi creare servizi Dataproc Metastore in una rete VPC condivisa. Per configurare il VPC condiviso durante la creazione di un servizio, consulta Configurazione del VPC condiviso.
Reti precedenti Non puoi connetterti a un servizio Dataproc Metastore da una rete legacy. Le reti legacy non supportano il peering di rete VPC.
Servizi Dataproc Metastore esistenti Non puoi modificare la rete a cui è collegato un servizio Dataproc Metastore.
Indirizzi IP statici L'indirizzo IP privato del servizio Dataproc Metastore non cambia.
Peering di rete VPC Non crei esplicitamente il peering di rete VPC, perché il peering è interno a Google Cloud. Dopo aver creato un servizio Metastore Dataproc, puoi visualizzare il relativo peering di rete VPC nella pagina Peering di rete VPC in Google Cloud Console. Il peering è condiviso da servizi nella stessa area geografica e nella stessa rete. Non eliminarlo. Per maggiori informazioni, consulta la pagina sul peering di rete VPC.
Controlli di servizio VPC I Controlli di servizio VPC migliorano la tua capacità di ridurre il rischio di esfiltrazione dei dati. Con i Controlli di servizio VPC, puoi creare perimetri intorno al servizio Dataproc Metastore. I Controlli di servizio VPC limitano l'accesso alle risorse all'interno del perimetro dall'esterno. Solo i client e le risorse all'interno del perimetro possono interagire tra loro. Per ulteriori informazioni, consulta la Panoramica dei Controlli di servizio VPC.

Esamina anche le limitazioni di Dataproc Metastore quando utilizzi i Controlli di servizio VPC. Per utilizzare i Controlli di servizio VPC con Dataproc Metastore, consulta la pagina relativa ai controlli di servizio VPC con Dataproc Metastore.

Peering transitivo Possono comunicare soltanto le reti in peering. Il peering transitivo non è supportato. In altre parole, se la rete VPC N1 è in peering con N2 e N3, ma N2 e N3 non sono direttamente collegate, la rete VPC N2 non può comunicare con la rete VPC N3 tramite Peering di rete VPC. Inoltre, le VM nelle reti in peering con la rete del progetto Dataproc Metastore non possono raggiungere Dataproc Metastore. Solo gli host della rete VPC possono raggiungere Dataproc Metastore.

Un servizio Dataproc Metastore di un progetto può essere collegato dai client in più progetti diversi utilizzando reti VPC condivise.

Passaggi successivi