サービス ネットワーキング

このページでは、Dataproc Metastore によるネットワーキングについて説明します。

概要

Dataproc Metastore サービスは、プライベート IP を使用することから、多くのメリットが得られます。プライベート IP は、パブリック IP よりもネットワーク レイテンシを低く抑えることができます。プライベート IP を経由して、どのリージョンからでも接続できます。プロジェクト間で共有 VPC を使用して接続することもできます。

プライベート IP を使用して Dataproc Metastore サービスと VPC ネットワーク内のホストを接続するには、VPC ネットワークを Dataproc Metastore のサービス プロデューサー VPC ネットワークとピアリングします。Google は、VPC ネットワークで使用される IP 範囲を Dataproc Metastore のサービス プロデューサー プロジェクトに割り当てます。

次の例では、Google がお客様の VPC ネットワークに 10.100.0.0/1710.200.0.0/20 のアドレス範囲を割り当て、ピアリングされた VPC ネットワーク内のアドレス範囲を使用します。

お客様、サービス、Cloud SQL プロジェクトのネットワーキング図

  • VPC ピアリングの Google サービス側では、Google がお客様のプロジェクトを作成します。このプロジェクトは分離されていて他のお客様と共有されることはなく、費用はお客様がプロビジョニングしたリソースに対してのみ発生します。
  • リージョンで最初の Dataproc Metastore サービスを作成すると、Dataproc Metastore は、そのリージョンで今後使用するすべての Dataproc Metastore サービスに対して、お客様のネットワークに /17 範囲と /20 範囲を割り当てます。Dataproc Metastore では、これらの範囲をさらに分割し、サービス プロデューサー プロジェクトでサブネットワークとアドレス範囲を作成します。
  • Google Cloud サービスがサポートしていれば、お客様のネットワーク内の VM サービスで、どのリージョンの Dataproc Metastore サービス リソースにもアクセスできます。一部の Google Cloud サービスは、リージョン間通信をサポートしていない場合があります。
  • VM インスタンスが異なるリージョンのリソースと通信する場合、リージョン間トラフィックの下りのコストが引き続き適用されます。
  • Google は、Dataproc Metastore サービスに IP アドレス 10.100.0.100 を割り当てます。お客様の VPC ネットワークでは、宛先が 10.100.0.100 のリクエストは、VPC ピアリングを介してサービス プロデューサーのネットワークにルーティングされます。サービス ネットワークに到達すると、サービス ネットワークにはリクエストを正しいリソースに送るルートが含まれます。
  • VPC ネットワーク間のトラフィックは、公共のインターネットを経由せず、Google のネットワーク内を内部的に転送されます。

ネットワークに関する問題

Dataproc Metastore は、各リージョンのアドレス空間から /17 範囲と /20 範囲を割り当てます。たとえば、Dataproc Metastore サービスを 2 つのリージョンに配置するには、割り当てられた IP アドレス範囲に、サイズ /17 の未使用のアドレス ブロックと、サイズ /20 の未使用のアドレス ブロックが少なくとも 2 つ含まれている必要があります。

プライベート IP アドレスを使用しての Dataproc Metastore サービスへの接続には、RFC 1918 アドレス範囲が使用されます。RFC 1918 アドレス ブロックが見つからない場合、Dataproc Metastore は代わりに RFC 1918 以外の適切なアドレス ブロックを検出します。RFC 1918 以外のブロックの割り当てでは、それらのアドレスが VPC ネットワークまたはオンプレミスで使用されているかどうかが考慮されません。

セキュリティ

VPC ネットワーク ピアリングを介したトラフィックでは、特定のレベルの暗号化が提供されています。詳細については、Google Cloud の仮想ネットワークの暗号化と認証をご覧ください。

プライベート IP アドレスを持つサービスごとに 1 つの VPC ネットワークを作成すると、すべてのサービスを「デフォルト」の VPC ネットワークに接続するよりも適切にネットワークが分離されます。

ネットワーキングのトピックに関するクイック リファレンス

トピック ディスカッション
共有 VPC ネットワーク Dataproc Metastore サービスは、共有 VPC ネットワークで作成できます。サービスの作成時に共有 VPC を設定するには、共有 VPC の設定をご覧ください。
レガシー ネットワーク レガシー ネットワークから Dataproc Metastore サービスには接続できません。レガシー ネットワークでは VPC ネットワーク ピアリングがサポートされません。
既存の Dataproc Metastore サービス Dataproc Metastore サービスが接続されているネットワークは変更できません。
静的 IP アドレス Dataproc Metastore サービスのプライベート IP アドレスは変更されません。
VPC ネットワーク ピアリング ピアリングは Google Cloud の内部にあるため、VPC ネットワーク ピアリングを明示的に作成する必要はありません。Dataproc Metastore サービスを作成すると、Cloud Console の VPC ネットワーク ピアリング ページで基盤となる VPC ネットワーク ピアリングを確認できます。ピアリングは、同じリージョンとネットワーク内のサービスによって共有されます。削除しないでください。詳細については、VPC ネットワーク ピアリングをご覧ください。
VPC Service Controls VPC Service Controls を使用すると、データの引き出しのリスクを軽減できます。VPC Service Controls で Dataproc Metastore サービスの周囲に境界を作成します。VPC Service Controls により、境界内部のリソースへのアクセスが制限されます。境界内のクライアントとリソースだけが相互に通信可能です。詳細については、VPC Service Controls の概要をご覧ください。

また、VPC Service Controls を使用する場合の Dataproc Metastore の制限もご覧ください。Dataproc Metastore で VPC Service Controls を使用するには、Dataproc Metastore での VPC Service Controls をご覧ください。

推移的ピアリング 通信できるのは、直接ピアリングしたネットワークだけです。推移的ピアリングはサポートされていません。たとえば、VPC ネットワーク N1 が N2 と N3 にピアリングされ、N2 と N3 が直接接続されていない場合、VPC ネットワーク N2 は VPC ネットワーク ピアリング経由で VPC ネットワーク N3 と通信できません。さらに、Dataproc Metastore プロジェクト ネットワークとピアリングしているネットワーク内の VM は、Dataproc Metastore に到達できません。Dataproc Metastore にアクセスできるのは、VPC ネットワーク上のホストに限られます。

1 つのプロジェクトの Dataproc Metastore サービスは、共有 VPC ネットワークを使用して、複数の異なるプロジェクトのクライアントに接続できます。

次のステップ