在 Dataproc 上執行業務關鍵工作負載時,需要多方共同承擔不同責任。本頁面列出 Google 和客戶的責任,但並非詳盡清單。
Dataproc:Google 的責任
保護底層基礎架構,包括硬體、韌體、核心、作業系統、儲存空間、網路等。包括:
- 預設加密靜態資料
- 提供額外的客戶管理磁碟加密
- 加密傳輸中的資料
- 使用專為 Google 打造的硬體
- 鋪設私人網路線
- 保護資料中心,防止實體存取
- 使用受防護的節點保護啟動載入程式和核心,避免遭到修改
- 使用 VPC Service Controls 提供網路保護
- 遵循安全的軟體開發做法
發布 Dataproc 映像檔的安全修補程式。包括:
- Dataproc 映像檔 (Ubuntu、Debian 和 Rocky Linux) 內含基本作業系統的修補程式
- Dataproc 映像檔中包含的開放原始碼元件適用的修補程式和修正檔
提供 Connect、Identity and Access Management、Cloud Audit Logs、Cloud Key Management Service、Security Command Center 等服務的整合功能。 Google Cloud
透過資料存取透明化控管機制和存取權核准,限制並記錄 Google 管理員基於合約支援目的存取客戶叢集的行為
建議設定 Dataproc 和 Dataproc 映像檔中包含的開放原始碼元件時,採用最佳做法
Dataproc:客戶責任
維護工作負載,包括應用程式程式碼、自訂映像檔、資料、IAM 政策和執行的叢集
使用最新子次要映像檔版本,在最新 Dataproc 映像檔上執行叢集、立即重新整理自訂映像檔,並盡快遷移至最新次要映像檔版本。圖片中繼資料包含
previous-subminor標籤,如果叢集未使用最新的次要版本圖片,系統會將標籤設為true。如要瞭解如何查看圖片中繼資料,請參閱「版本管理的重要注意事項」。在 Google 要求提供環境詳細資料時,提供相關資訊以利疑難排解
遵循 Dataproc 和其他 Google Cloud服務的設定最佳做法,以及 Dataproc 映像檔中開放原始碼元件的設定最佳做法