在 Dataproc 上运行关键业务工作负载需要多方 承担不同的责任本页列出了(虽然并不是详尽无遗的) Google 和客户的责任。
Dataproc:Google 的责任
保护底层基础设施,包括硬件、固件、内核 操作系统、存储空间、网络等其中包括:
- 默认加密静态数据
- 提供额外的客户管理的磁盘加密功能
- 对传输中的数据进行加密
- 使用定制的硬件
- 铺设专用网线
- 防止对数据中心进行物理访问
- 使用安全强化型节点保护引导加载程序和内核免遭修改
- 通过 VPC Service Controls 提供网络保护
- 遵循安全软件开发实践
发布 Dataproc 映像的安全补丁。其中包括:
- 基本操作系统的补丁 Dataproc 映像 (Ubuntu、Debian 和 Rocky Linux)
- 适用于 开源组件 包含在 Dataproc 映像中
为 Connect、Identity and Access Management、 Cloud Audit Logs、Cloud Key Management Service、Security Command Center 等。
限制并记录 Google 对客户集群的管理员权限 Access Transparency 提供合同支持的目的 和 Access Approval
推荐有关配置 Dataproc 和开源项目的最佳实践 Dataproc 映像中包含的组件
Dataproc:客户的责任
以维护工作负载,包括应用代码、自定义映像、数据 IAM 政策以及您运行的集群
在最新的 Dataproc 映像上运行集群 充分利用 次要映像版本、 及时更新您的自定义映像,并迁移到 尽快提供映像版本图像元数据包括
previous-subminor
标签,如果集群不是true
使用最新的次要映像版本。有关如何查看 请参阅 有关版本控制的重要说明。在收到问题排查请求时向 Google 提供环境详情 用途
遵循配置 Dataproc 和其他 Google Cloud 的最佳实践 以及用于配置 Cloud SDK 中所包含的开源组件, Dataproc 映像