Für die Ausführung geschäftskritischer Arbeitslasten in Dataproc müssen mehrere Parteien unterschiedliche Verantwortlichkeiten übernehmen. Diese Seite ist zwar nicht vollständig, listet aber die Verantwortlichkeiten für Google und den Kunden auf.
Dataproc: Pflichten von Google
Die zugrunde liegende Infrastruktur schützen, einschließlich Hardware, Firmware, Kernel, Betriebssystem, Speicher, Netzwerk usw. Dazu zählen:
- inaktive Daten standardmäßig verschlüsseln
- zusätzliche vom Kunden verwaltete Verschlüsselung von Laufwerken
- Daten bei der Übertragung verschlüsseln
- mit eigens entwickelter Hardware
- Verlegen von privaten Netzwerkkabeln
- Rechenzentren vor physischem Zugriff schützen
- Bootloader und Kernel mithilfe von Shielded Nodes vor Änderungen schützen
- Netzwerkschutz durch VPC Service Controls
- Einhaltung von Best Practices für die Entwicklung sicherer Software
Sicherheitspatches für Dataproc-Images werden veröffentlicht . Dazu zählen:
- Patches für die grundlegenden Betriebssysteme, die in Dataproc-Images (Ubuntu, Debian und Rocky Linux) enthalten sind
- Verfügbare Patches und Fehlerkorrekturen für die Open-Source-Komponenten, die in Dataproc-Images enthalten sind
Bereitstellung von Google Cloud-Integrationen für Connect, Identity and Access Management, Cloud-Audit-Logs, Cloud Key Management Service, Security Command Center und andere.
Beschränkung und Logging des Administratorzugriffs von Google auf Kundencluster für vertragliche Supportzwecke mit Access Transparency und Access Approval
Best Practices für die Konfiguration von Dataproc und der Open-Source-Komponenten, die in Dataproc-Images enthalten sind
Dataproc: Pflichten des Kunden
Arbeitslasten verwalten, einschließlich Anwendungscode, benutzerdefinierter Images, Daten, IAM-Richtlinien und ausgeführter Cluster
Ausführen von Clustern mit aktuellen Dataproc-Images unter Nutzung der neuesten Sub-Minor-Image-Version, sofortige Aktualisierung Ihrer benutzerdefinierten Images und Migration zur neuesten Neben-Image-Version, sobald dies möglich ist. Image-Metadaten enthalten das Label
previous-subminor
, das auftrue
gesetzt wird, wenn der Cluster nicht die neueste Sub-Minor-Image-Version verwendet. Informationen zum Aufrufen von Bildmetadaten finden Sie unter Wichtige Hinweise zur Versionsverwaltung.Bereitstellung von Umgebungsdetails an Google, wenn diese zur Fehlerbehebung angefordert werden
Best Practices für die Konfiguration von Dataproc und anderen Google Cloud-Diensten sowie für die Konfiguration von Open-Source-Komponenten, die in Dataproc-Images enthalten sind