L'esecuzione di carichi di lavoro business-critical su Dataproc richiede che più parti assumano responsabilità diverse. Sebbene non si tratti di un elenco esaustivo, in questa pagina vengono indicate le responsabilità di Google e del cliente.
Dataproc: responsabilità di Google
Protezione dell'infrastruttura sottostante, inclusi hardware, firmware, kernel, sistema operativo, archiviazione, rete e altro ancora. Ciò include:
- crittografia dei dati at-rest per impostazione predefinita
- fornendo crittografia dei dischi gestita dal cliente aggiuntiva
- crittografia dei dati in transito
- utilizzando hardware progettato su misura
- posa di cavi di rete privata
- proteggere i data center dagli accessi fisici
- proteggendo il bootloader e il kernel dalle modifiche mediante i nodi schermati.
- fornire protezione della rete con i Controlli di servizio VPC
- seguenti pratiche sicure di sviluppo software
Rilascio delle patch di sicurezza per le immagini Dataproc . Ciò include:
- patch per i sistemi operativi di base inclusi nelle immagini Dataproc (Ubuntu, Debian e Rocky Linux)
- Patch e correzioni disponibili per i componenti open source inclusi nelle immagini Dataproc
Fornisce integrazioni Google Cloud per Connect, Identity and Access Management, Cloud Audit Logs, Cloud Key Management Service, Security Command Center e altro ancora.
Limitazione e logging dell'accesso amministrativo di Google ai cluster dei clienti per scopi di assistenza contrattuale con Access Transparency e Access Approval
Consigliare best practice per la configurazione di Dataproc e dei componenti open source inclusi
Dataproc: responsabilità del cliente
Mantenere i carichi di lavoro, compresi codice dell'applicazione, immagini personalizzate, dati, criteri IAM e cluster che esegui
Eseguire i cluster su immagini Dataproc aggiornate sfruttando la versione immagine secondaria più recente, aggiornando immediatamente le immagini personalizzate e eseguendo la migrazione alla versione dell'immagine secondaria più recente non appena possibile. I metadati delle immagini includono un'etichetta
previous-subminor
, che è impostata sutrue
se il cluster non utilizza l'ultima versione dell'immagine secondaria. Per informazioni su come visualizzare i metadati delle immagini, consulta Note importanti sul controllo delle versioni.Fornire a Google dettagli ambientali quando vengono richiesti per la risoluzione dei problemi
Seguendo le best practice per la configurazione di Dataproc e di altri servizi Google Cloud e per la configurazione dei componenti open source inclusi nelle immagini Dataproc