在 Dataproc 上运行关键业务工作负载需要各方承担不同的责任。本页面并非详尽列表,列出了 Google 和客户的责任。
Dataproc:Google 责任
保护底层基础架构,包括硬件、固件、内核、操作系统、存储、网络等。包括:
- 默认加密静态数据
- 提供额外的客户管理的磁盘加密
- 加密传输中的数据
- 使用定制硬件
- 铺设专用网线
- 保护数据中心免遭物理访问
- 使用安全强化型节点保护引导加载程序和内核免遭修改
- 通过 VPC Service Controls 提供网络保护
- 遵循安全的软件开发实践
发布了 Dataproc 映像的安全补丁。包括:
- 针对 Dataproc 映像(Ubuntu、Debian 和 Rocky Linux)中包含的基本操作系统的补丁
- 适用于 Dataproc 映像中包含的开源组件的补丁和修复程序
为 Connect、Identity and Access Management、Cloud Audit Logs、Cloud Key Management Service、Security Command Center 等提供 Google Cloud 集成。
出于合同支持目的,通过 Access Transparency 和 Access Approval 限制和记录 Google 对客户集群的管理员权限
推荐配置 Dataproc 映像中包含的开源组件和开源组件的最佳实践
Dataproc:客户责任
维护工作负载,包括应用代码、自定义映像、数据、IAM 政策和您正在运行的集群
在最新的 Dataproc 映像上运行集群和工作负载,方法是利用最新的次要映像版本,及时刷新自定义映像,并在可行时尽快迁移到最新的次要映像版本
出于问题排查目的而应要求向 Google 提供环境详情
配置 Dataproc 和其他 Google Cloud 服务,以及配置 Dataproc 映像中包含的开源组件时,应遵循最佳实践。