本文档介绍了 Google Cloud Serverless for Apache Spark 网络配置所需的要求。
虚拟私有云子网要求
本文档介绍了 Google Cloud Serverless for Apache Spark 批量工作负载和交互式会话的虚拟私有云网络要求。
专用 Google 访问通道
Serverless for Apache Spark 批量工作负载和交互式会话 仅在具有内部 IP 地址的虚拟机上运行,并且在子网上自动启用 专用 Google 访问通道 (PGA) 的区域子网上运行。
如果您未指定子网,Serverless for Apache Spark 会在批量工作负载或会话区域中选择
default子网作为
批量工作负载或会话的子网。
如果您的工作负载需要外部网络或互联网 访问权限(例如,从 PyTorch Hub 或 Hugging Face下载 ML 模型等资源), 您可以设置 Cloud NAT,以允许使用 VPC 网络上的内部 IP 进行出站流量。
开放式子网连接
为 Serverless for Apache Spark 批量工作负载或交互式会话选择的区域的 VPC 子网必须 允许虚拟机实例之间的所有端口上的内部子网通信。
以下 Google Cloud CLI 命令会将网络防火墙连接到子网,以允许使用所有端口上的所有协议在虚拟机之间进行内部入站流量通信:
gcloud compute firewall-rules create allow-internal-ingress \ --network=NETWORK_NAME \ --source-ranges=SUBNET_RANGES \ --destination-ranges=SUBNET_RANGES \ --direction=ingress \ --action=allow \ --rules=all
注意:
SUBNET_RANGES: 请参阅 允许虚拟机之间的内部入站连接。 具有
default-allow-internal防火墙规则的项目中的defaultVPC 网络允许在 所有端口(tcp:0-65535、udp:0-65535和icmp protocols:ports)上进行入站流量通信, 满足开放式子网连接要求。但是,此规则还允许 网络上的任何虚拟机实例的入站流量。
Serverless for Apache Spark 和 VPC-SC 网络
借助 VPC Service Controls, 网络管理员可以为 Google 托管式服务的资源定义安全边界,以控制与这些服务的通信以及这些服务之间的通信。
请注意,当 VPC-SC 网络与 Serverless for Apache Spark 搭配使用时,遵循以下策略:
创建自定义容器映像 ,该映像会在 VPC-SC 边界外预安装依赖项, 然后提交使用自定义容器映像的 Spark 批量工作负载 。
如需了解详情,请参阅 VPC Service Controls - Serverless for Apache Spark。