Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

VPC Service Controls עם Dataproc Metastore

כדי לאבטח עוד יותר את שירותי Dataproc Metastore, אפשר להגן עליהם באמצעות VPC Service Controls (VPC-SC).

VPC Service Controls עוזר לצמצם את הסיכון לזליגת נתונים. בעזרת VPC Service Controls, אתם יכולים להוסיף פרויקטים לגבולות גזרה לשירות שמגינים על המשאבים והשירותים מפני בקשות שחוצות את גבולות הגזרה.

מידע נוסף על VPC Service Controls זמין במאמר סקירה כללית על VPC Service Controls.

המשאבים של Dataproc Metastore נחשפים ב-metastore.googleapis.com API, שמאפשר לכם לבצע פעולות ברמת השירות, כמו יצירה ומחיקה של שירותים.

כדי להגדיר את VPC Service Controls עם Dataproc Metastore, צריך להגביל את הקישוריות לפלטפורמת ה-API הזו.

מגבלות והמלצות

‫Dataproc Metastore משתמש ב-Cloud Run לקישוריות כשמשתמשים בפרוטוקול נקודת הקצה gRPC. אותן מגבלות והמלצות של Cloud Run חלות כשמשתמשים בנקודת הקצה הזו עם VPC Service Controls.
יומני בקשות של הרצת בדיקה ב-Cloud Run נכתבים רק כשמפעילים את שירותי Cloud Run והכניסה היא פנימית. ‫Dataproc Metastore משתמש בכניסה פנימית בלבד כשההיקף נמצא במצב אכיפה. לא יוצגו הפרות של מצב פרימטר לבדיקות כשמשתמשים בנקודת הקצה של Cloud Run במצב פרימטר לבדיקות.

הגדרת רשת הענן הווירטואלי הפרטי (VPC)

אתם יכולים להגדיר את רשת ה-VPC כדי להגביל את הגישה הפרטית ל-Google ביחס לגבולות גזרה לשירות. כך תוכלו להבטיח שהמארחים ב-VPC או ברשת המקומית יוכלו לתקשר רק עם Google APIs ושירותים של Google שנתמכים על ידי VPC Service Controls, באופן שתואם למדיניות של גבולות הגזרה המשויכים.

למידע נוסף, אפשר לקרוא את המאמר הגדרת קישוריות פרטית ל-Google APIs ולשירותים של Google.

יצירה של גבולות גזרה לשירות

במהלך התהליך הזה, בוחרים את פרויקטי Dataproc Metastore שרוצים שגבולות הגזרה לשירות של ה-VPC יגנו עליהם.

כדי ליצור גבולות גזרה לשירות, פועלים לפי ההוראות במאמר יצירת גבולות גזרה לשירות.

הוספת פרויקטים נוספים לגבולות גזרה לשירות

כדי להוסיף פרויקטים קיימים של Dataproc Metastore לגבול הגזרה, פועלים לפי ההוראות שבמאמר בנושא עדכון גבול גזרה לשירות.

הוספת ממשקי ה-API של Dataproc Metastore ו-Cloud Storage לגבולות גזרה לשירות

כדי לצמצם את הסיכון לזליגת נתונים מ-Dataproc Metastore, למשל כשמשתמשים בממשקי ה-API של Dataproc Metastore לייבוא או לייצוא, צריך להגביל את Dataproc Metastore API ואת Cloud Storage API.

כדי להוסיף את Dataproc Metastore ואת Cloud Storage APIs כשירותים מוגבלים:

המסוף

במסוף Google Cloud , פותחים את הדף VPC Service Controls:

מעבר לדף VPC Service Controls במסוףGoogle Cloud
בדף VPC Service Controls (אמצעי בקרה של שירות VPC), בטבלה, לוחצים על השם של גבולות גזרה לשירות שרוצים לשנות.
לוחצים על עריכת ההיקף.
בדף עריכת גבולות גזרה לשירות VPC, לוחצים על הוספת שירותים.
מוסיפים את Dataproc Metastore API ואת Cloud Storage API.
לוחצים על Save.

gcloud

מריצים את הפקודה הבאה:gcloud access-context-manager perimeters update

 gcloud access-context-manager perimeters update PERIMETER_ID 

     --policy=POLICY_ID 

     --add-restricted-services=metastore.googleapis.com,storage.googleapis.com

מחליפים את מה שכתוב בשדות הבאים:

‫PERIMETER_ID: המזהה של גבולות הגזרה או המזהה המלא של גבולות הגזרה.
‫POLICY_ID: המזהה של מדיניות הגישה.

יצירה של רמת גישה

אם רוצים לאפשר גישה חיצונית למשאבים מוגנים בתוך גבולות הגזרה, אפשר להשתמש ברמות גישה. רמות הגישה חלות רק על בקשות למשאבים מוגנים שמגיעות מחוץ לגבולות גזרה לשירות. אי אפשר להשתמש ברמות גישה כדי לתת למשאבים מוגנים הרשאה לגשת לנתונים ולשירותים מחוץ לגבולות הגזרה.

איך מאפשרים גישה למשאבים מוגנים מחוץ לגבולות הגזרה