Private Service Connect mit Dataproc Metastore

Mit Private Service Connect können Sie einen Dataproc Metastore-Dienst erstellen, der kein VPC-Peering verwendet. Auf dieser Seite wird erläutert, was Private Service Connect ist und wie Sie es als alternative Netzwerkoption für Dataproc Metastore verwenden können.

So funktioniert Dataproc Metastore mit VPC

Dataproc Metastore schützt den Metadatenzugriff, indem nur private IP-Endpunkte verfügbar gemacht werden. Außerdem wird die Verbindung zu VMs in Ihrem VPC-Netzwerk durch VPC-Peering eingeschränkt.

Dataproc Metastore erfordert die folgenden Konfigurationen pro Region und VPC-Netzwerk:

Daher kann das Einrichten von VPC-Peering und IP-Adressreservierungen in überfüllten VPC-Netzwerken schwierig sein. Ebenso kann es sein, dass das Peering-Kontingent eines VPC-Netzwerks nicht ausreicht, um zusätzliche Peering-Anfragen zu verarbeiten. Beide Einschränkungen können verhindern, dass Sie einen neuen Dataproc Metastore-Dienst erstellen.

Um diese Probleme zu umgehen, können Sie Dataproc Metastore mit Private Service Connect verwenden.

So funktioniert Dataproc Metastore mit Private Service Connect

Private Service Connect stellt eine private Verbindung zu Dataproc Metastore-Metadaten über VPC-Netzwerke hinweg bereit.

Zur Verwendung von Private Service Connect mit Dataproc Metastore sind die folgenden Konfigurationen erforderlich:

  • Eine einzelne Adressreservierung im Subnetzwerk.
  • Eine Weiterleitungsregel, die auf den Dienstanhang ausgerichtet ist und den Dataproc Metastore-Endpunkt verfügbar macht. Die Adressreservierung und die Weiterleitungsregel werden im Rahmen des Aufrufs zum Erstellen des Dataproc Metastore-Dienstes erstellt.

Hinweise

  • Dataproc Metastore-Dienste, die Private Service Connect verwenden, unterstützen nur den Zugriff von VPC-Netzwerken der Subnetzwerke, die bei der Diensterstellung angegeben wurden.

  • Dataproc Metastore reserviert Adressen und erstellt Weiterleitungsregeln in jedem der angegebenen Subnetzwerke. Jedes Subnetzwerk hat einen Thrift-Endpunkt-URI, über den Sie auf den Dataproc Metastore-Metadatenendpunkt zugreifen können.

Beschränkungen

  • Dataproc Metastore-Dienste, die das gRPC-Endpunktprotokoll verwenden, unterstützen Private Service Connect nicht.
  • Umgekehrte Verbindungen werden mit Private Service Connect nicht unterstützt. Das bedeutet, dass Sie keine Kerberos-Konfiguration mit Private Service Connect verwenden können.
  • Sie können einem Dataproc Metastore-Dienst, der mit Private Service Connect konfiguriert ist, keine Subnetze dynamisch hinzufügen oder entfernen. Wenn Sie Subnetze hinzufügen oder entfernen möchten, müssen Sie stattdessen einen Dienst neu erstellen.
  • Sie können einen Dataproc Metastore-Dienst, der Private Service Connect verwendet, nicht aktualisieren, um die VPC zu verwenden oder umgekehrt.

Dataproc Metastore-Dienst mit Private Service Connect erstellen

Die folgende Anleitung zeigt, wie Sie Private Service Connect während der Diensterstellung konfigurieren.

Console

  1. Öffnen Sie in der Google Cloud Console die Dataproc Metastore-Seite:

    Zu Dataproc Metastore

  2. Klicken Sie oben auf der Seite Dataproc Metastore auf Erstellen.

    Die Seite Dienst erstellen wird geöffnet.

  3. Konfigurieren Sie Ihren Dienst nach Bedarf.

  4. Klicken Sie unter Netzwerkkonfiguration auf Dienste in mehreren VPC-Subnetzwerken zugänglich machen.

  5. Wählen Sie Subnetzwerke aus. Sie können bis zu 5 Subnetzwerke angeben.

  6. Klicken Sie auf Fertig.

  7. Klicken Sie auf Senden.

Überprüfen Sie die Netzwerkkonfiguration des Dienstes:

  1. Öffnen Sie in der Google Cloud Console die Dataproc Metastore-Seite:

    Zu Dataproc Metastore

  2. Klicken Sie auf der Seite Dataproc Metastore auf den Dienstnamen des Dienstes, den Sie aufrufen möchten.

    Die Seite Dienstdetails für diesen Dienst wird geöffnet.

  3. Prüfen Sie auf dem Tab Konfiguration, ob in den Details mehrere URIs für VPC-Subnetzwerke angezeigt werden.

gcloud

  1. Führen Sie den folgenden gcloud metastore services create-Befehl aus, um einen Dienst mit Private Service Connect zu erstellen:

    gcloud metastore services create SERVICE \
   --location=LOCATION \
   --consumer-subnetworks="projects/PROJECT_ID/regions/LOCATION/subnetworks/SUBNET1, projects/PROJECT_ID/regions/LOCATION/subnetworks/SUBNET2"

    oder

    gcloud metastore services create SERVICE \
   --location=LOCATION \
   --network-config-from-file=NETWORK_CONFIG_FROM_FILE

  2. Prüfen Sie, ob die Erstellung erfolgreich war.

REST

Folgen Sie der API-Anleitung zum Erstellen eines Dienstes mit dem APIs Explorer.

Verwenden Sie in den create-Anfrageparametern das Feld Network Config, um Private Service Connect zu konfigurieren. Sie können 1 bis 5 Subnetzwerke angeben.

     "network_config": {
       "consumers": [
           {"subnetwork": "projects/PROJECT_ID/regions/LOCATION/subnetworks/SUBNET1"},
           {"subnetwork": "projects/PROJECT_ID/regions/LOCATION/subnetworks/SUBNET2"}
       ]
     }

Nächste Schritte