Menggunakan Kontrol Layanan VPC dengan Cloud Data Fusion

Jika Anda berencana membuat instance Cloud Data Fusion dengan alamat IP pribadi, Anda dapat memberikan keamanan tambahan dengan terlebih dahulu menetapkan perimeter keamanan untuk instance menggunakan VPC Service Controls (VPC-SC). Perimeter keamanan VPC-SC di sekitar instance Cloud Data Fusion pribadi dan resource Google Cloud lainnya membantu mengurangi risiko pemindahan data yang tidak sah. Misalnya, dengan VPC Service Controls, jika pipeline Cloud Data Fusion membaca data dari resource yang didukung, seperti set data BigQuery, yang berada dalam perimeter, lalu mencoba menulis output ke resource di luar perimeter, pipeline akan gagal.

Resource Cloud Data Fusion diekspos di dua platform API:

  1. Permukaan API bidang kontrol datafusion.googleapis.com, yang memungkinkan Anda melakukan operasi tingkat instance, seperti pembuatan dan penghapusan instance.

  2. Permukaan API bidang data datafusion.googleusercontent.com (UI Web Cloud Data Fusion di konsol Google Cloud ), yang dijalankan di instance Cloud Data Fusion untuk membuat dan menjalankan pipeline data.

Anda menyiapkan Kontrol Layanan VPC dengan Cloud Data Fusion dengan membatasi konektivitas ke kedua permukaan API ini.

Strategi:

  • Pipeline Cloud Data Fusion dijalankan di cluster Managed Service for Apache Spark. Untuk melindungi cluster Managed Service for Apache Spark dengan perimeter layanan, ikuti petunjuk untuk menyiapkan konektivitas pribadi agar cluster dapat berfungsi di dalam perimeter.

  • Jangan gunakan plugin yang menggunakan API Google Cloud yang tidak didukung oleh Kontrol Layanan VPC. Jika Anda menggunakan plugin yang tidak didukung, Cloud Data Fusion akan memblokir panggilan API, sehingga pratinjau dan eksekusi pipeline gagal.

  • Untuk menggunakan Cloud Data Fusion dalam perimeter layanan Kontrol Layanan VPC, tambahkan atau konfigurasi beberapa entri DNS untuk mengarahkan domain berikut ke VIP (Alamat IP Virtual) yang dibatasi:

    • datafusion.googleapis.com
    • *.datafusion.googleusercontent.com
    • *.datafusion.cloud.google.com

Batasan:

  • Tetapkan perimeter keamanan Kontrol Layanan VPC sebelum membuat instance pribadi Cloud Data Fusion. Perlindungan perimeter untuk instance yang dibuat sebelum Kontrol Layanan VPC disiapkan tidak didukung.

  • Saat ini, UI dataplane Cloud Data Fusion tidak mendukung penentuan level akses menggunakan akses berbasis identitas.

Membatasi permukaan Cloud Data Fusion API

Membatasi permukaan bidang kontrol

Lihat Menyiapkan konektivitas pribadi ke Google API dan layanan Google untuk membatasi konektivitas ke permukaan bidang kontrol API datafusion.googleapis.com.

Membatasi permukaan bidang data

Untuk menyiapkan konektivitas pribadi ke bidang data API, konfigurasi DNS dengan menyelesaikan langkah-langkah berikut untuk domain *.datafusion.googleusercontent.com dan *.datafusion.cloud.google.com.

  1. Buat zona pribadi baru menggunakan Cloud DNS:

    1. Jenis zona: Centang pribadi
    2. Nama zona: datafusiongoogleusercontentcom
    3. Nama DNS: datafusion.googleusercontent.com

    4. Jaringan: Pilih jaringan IP pribadi yang Anda pilih saat membuat instance Cloud Data Fusion.

      Cara mengisi kolom zona.

  2. Dari halaman Cloud DNS, klik nama zona DNS datafusiongoogleusercontent Anda untuk membuka halaman Zone details. Dua catatan tercantum: catatan NS dan SOA. Gunakan Add Standard untuk menambahkan dua set data berikut ke zona DNS datafusiongoogleusercontent Anda.

    1. Tambahkan data CNAME: Pada dialog Create record set, isi kolom berikut untuk memetakan nama DNS *.datafusion.googleusercontent.com. ke nama kanonis datafusion.googleusercontent.com:

      • Nama DNS: "*.datafusion.googleusercontent.com"

      • Nama kanonis: "datafusion.googleusercontent.com"

        Cara mengisi kolom zona.

    2. Tambahkan data A: Dalam dialog Create record set baru, isi kolom berikut untuk memetakan nama DNS datafusion.googleusercontent.com. ke alamat IP 199.36.153.4 - 199.36.153.7:

      • Nama DNS: ".datafusion.googleusercontent.com"

      • Alamat IPv4:

        • 199.36.153.4
        • 199.36.153.5
        • 199.36.153.6
        • 199.36.153.7
        Cara mengisi kolom zona.

      Halaman datafusiongoogleusercontent Zone details menampilkan set data berikut:

      Cara mengisi kolom zona.

  3. Ikuti langkah-langkah di atas untuk membuat zona DNS pribadi dan menambahkan set data untuk domain *.datafusion.cloud.google.com.

Langkah berikutnya