Dataproc Metastore ネットワーキングの概要

コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。

Dataproc Metastore サービスは、プライベート IP を使用し、これにより多くのメリットが得られます。プライベート IP では、パブリック IP よりもネットワーク レイテンシが低く抑えられます。プライベート IP を経由して、どのリージョンからでも接続できます。プロジェクト間で共有 VPC を使用して接続することもできます。

プライベート IP は、VPC ネットワークを Dataproc Metastore のサービス プロデューサー VPC ネットワークとピアリングすることによって、VPC ネットワーク内のホストを Dataproc Metastore サービスと接続するために使用することもできます。Google では、VPC ネットワークで使用される IP 範囲を Dataproc Metastore のサービス プロデューサー プロジェクトに割り振ります。

次の例では、Google がお客様の VPC ネットワークに 10.100.0.0/1710.200.0.0/20 のアドレス範囲を Google サービス用に割り振り、ピアリングされた VPC ネットワーク内のアドレス範囲を使用します。

お客様、サービス、Cloud SQL プロジェクトのネットワーク図

  • VPC ピアリングの Google サービス側では、Google がお客様用のプロジェクトを作成します。このプロジェクトは分離されて、他のお客様と共有されることはなく、費用はお客様がプロビジョニングしたリソースに対してのみ発生します。
  • リージョンで最初の Dataproc Metastore サービスを作成すると、Dataproc Metastore は、そのリージョンとネットワークで今後使用するすべての Dataproc Metastore サービスの使用に対して、お客様のネットワークに /17 範囲と /20 範囲を割り当てます。Dataproc Metastore では、これらの範囲をさらに分割し、サービス プロデューサー プロジェクトでサブネットワークとアドレス範囲を作成します。
  • Google Cloud サービスがサポートしていれば、お客様のネットワーク内の VM サービスで、どのリージョンの Dataproc Metastore サービス リソースにもアクセスできます。一部の Google Cloud サービスは、リージョン間通信をサポートしていない場合があります。
  • VM インスタンスが異なるリージョンのリソースと通信する場合、リージョン間トラフィックの下りのコストが引き続き適用されます。
  • Google は、Dataproc Metastore サービスに IP アドレス 10.100.0.100 を割り振ります。お客様の VPC ネットワークで、宛先が 10.100.0.100 のリクエストは、VPC ピアリングを介してサービス プロデューサーのネットワークに転送されます。サービス ネットワークに到達すると、サービス ネットワークにはリクエストを正しいリソースに送るルートが存在します。
  • VPC ネットワーク間のトラフィックは、公共のインターネットを経由せず、Google のネットワーク内を内部的に転送されます。

ネットワークに関する問題

Dataproc Metastore は、各リージョンのアドレス空間から /17 範囲と /20 範囲を割り振ります。たとえば、Dataproc Metastore サービスを 2 つのリージョンに配置するには、割り振られる IP アドレス範囲に、サイズ /17 の未使用のアドレス ブロックが 2 つ以上と、サイズ /20 の未使用のアドレス ブロックが 2 つ以上含まれている必要があります。

Dataproc Metastore サービスへのプライベート IP アドレスを使用した接続には、RFC 1918 アドレス範囲が使用されます。RFC 1918 アドレス ブロックが見つからない場合、Dataproc Metastore は RFC 1918 以外の適切なアドレス ブロックを代わりに検出します。なお、RFC 1918 以外のブロックの割り振りでは、それらのアドレスが VPC ネットワークで使用されているか、オンプレミスで使用されているかは考慮されません。

セキュリティ

VPC ネットワーク ピアリングを介したトラフィックは、特定のレベルの暗号化により実現されます。詳細については、Google Cloud の仮想ネットワークの暗号化と認証をご覧ください。

プライベート IP アドレスを持つサービスごとに 1 つの VPC ネットワークを作成すると、すべてのサービスを「デフォルト」の VPC ネットワークに接続するよりも適切にネットワークが分離されます。

ネットワーキングのトピックに関するクイック リファレンス

トピック ディスカッション
共有 VPC ネットワーク Dataproc Metastore サービスは、共有 VPC ネットワークに作成できます。サービスの作成時に共有 VPC を設定するには、共有 VPC の設定をご覧ください。
レガシー ネットワーク レガシー ネットワークから Dataproc Metastore サービスには接続できません。レガシー ネットワークでは VPC ネットワーク ピアリングがサポートされません。
既存の Dataproc Metastore サービス Dataproc Metastore サービスが接続されているネットワークは変更できません。
静的 IP アドレス Dataproc Metastore サービスのプライベート IP アドレスは変更されません。
VPC ネットワーク ピアリング このピアリングは Google Cloud の内部にあるため、VPC ネットワーク ピアリングを明示的に作成する必要はありません。Dataproc Metastore サービスを作成すると、Google Cloud コンソールの [VPC ネットワーク ピアリング] ページで基盤となる VPC ネットワーク ピアリングを確認できます。ピアリングは、同じリージョンとネットワーク内のサービスによって共有されます。削除しないでください。詳細については、VPC ネットワーク ピアリングをご覧ください。
VPC Service Controls VPC Service Controls を使用すると、データの引き出しのリスクを軽減できます。VPC Service Controls で Dataproc Metastore サービスの周囲に境界を作成します。VPC Service Controls により、境界内部のリソースへのアクセスが制限されます。境界内のクライアントとリソースだけが相互に通信可能です。詳細については、VPC Service Controls の概要をご覧ください。

また、VPC Service Controls を使用する場合の Dataproc Metastore の制限もご覧ください。 Dataproc Metastore で VPC Service Controls を使用するには、Dataproc Metastore を使用した VPC Service Controls をご覧ください。

推移的ピアリング 通信できるのは、直接ピアリングしたネットワークだけです。推移的ピアリングはサポートされていません。たとえば、VPC ネットワーク N1 が N2 と N3 にピアリングされ、N2 と N3 が直接接続されていない場合、VPC ネットワーク N2 は VPC ネットワーク ピアリング経由で VPC ネットワーク N3 と通信できません。さらに、Dataproc Metastore プロジェクト ネットワークとピアリングしているネットワーク内の VM は、Dataproc Metastore に到達できません。Dataproc Metastore にアクセスできるのは、VPC ネットワーク上のホストに限られます。

1 つのプロジェクトの Dataproc Metastore サービスは、共有 VPC ネットワークを使用して、複数の異なるプロジェクトのクライアントに接続できます。

次のステップ