为进一步保护 Dataproc Metastore 服务,您可以使用 VPC Service Controls (VPC-SC) 来保护它们。
VPC Service Controls 有助于降低数据渗漏的风险。使用 VPC Service Controls,您可以将项目添加到服务边界,从而防止资源和服务免受跨边界请求的影响。
如需详细了解 VPC Service Controls,请参阅 VPC Service Controls 概览。
Dataproc Metastore 资源会显示在 metastore.googleapis.com API 上,该 API 可让您执行服务级操作,例如创建和删除服务。
您可以通过限制与此 API 表面的连接来设置 VPC Service Controls 和 Dataproc Metastore。
限制和建议
- 使用 gRPC 端点协议时,Dataproc Metastore 会利用 Cloud Run 进行连接。将此端点与 VPC Service Controls 搭配使用时,同样适用 Cloud Run 的限制和注意事项。
- 仅当调用 Cloud Run 服务且入站流量为内部流量时,才会写入 Cloud Run 试运行请求日志。仅当安全边界处于强制执行模式时,Dataproc Metastore 才使用内部入站流量。在试运行模式下使用 Cloud Run 端点时,您不会看到试运行违规情况。
配置虚拟私有云 (VPC) 网络
您可以将 VPC 网络配置为限制服务边界的专用 Google 访问通道。这可确保 VPC 或本地网络中的主机只能按照符合相关边界政策的方式与 VPC Service Controls 支持的 Google API 和服务进行通信。
如需了解详情,请参阅设置与 Google API 和服务的专用连接。
创建服务边界
在此过程中,您需要选择自己希望 VPC 服务边界保护的 Dataproc Metastore 项目。
如需创建服务边界,请按照创建服务边界中的说明操作。
向服务边界添加更多项目
要将现有 Dataproc Metastore 项目添加到边界,请按照更新服务边界中的说明操作。
向服务边界添加 Dataproc Metastore 和 Cloud Storage API
为了降低 Dataproc Metastore 渗漏数据的风险(例如,在使用 Dataproc Metastore 导入或导出 API 时),您必须同时限制 Dataproc Metastore API 和 Cloud Storage API。
如需将 Dataproc Metastore 和 Cloud Storage API 添加为受限服务,请执行以下操作:
控制台
在 Google Cloud 控制台中,打开 VPC Service Controls 页面:
在 VPC Service Controls 页面的表中,点击要修改的服务边界的名称。
点击修改边界。
在修改 VPC 服务边界页面上,点击添加服务。
添加 Dataproc Metastore API 和 Cloud Storage API。
点击保存。
gcloud
运行以下 gcloud access-context-manager perimeters update 命令:
gcloud access-context-manager perimeters update PERIMETER_ID
--policy=POLICY_ID
--add-restricted-services=metastore.googleapis.com,storage.googleapis.com
替换以下内容:
PERIMETER_ID:边界的 ID 或边界的完全限定标识符。POLICY_ID:访问权限政策的 ID。
创建访问权限级别
(可选)要允许从外部访问边界内受保护的资源,您可以使用访问权限级别。访问权限级别仅应用于来自服务边界外对受保护资源的请求。您无法使用访问权限级别向受保护的资源授予对边界外的数据和服务的访问权限。
请参阅允许从边界外访问受保护的资源。