Account di servizio Managed Service per Apache Spark

I workload batch e le sessioni interattive di Managed Service for Apache Spark vengono eseguiti con le credenziali dell'utente finale o del account di servizio. Quando vengono utilizzate le credenziali del account di servizio, il account di servizio utilizzato per eseguire i workload batch o le sessioni interattive dipende dalla versione del runtime batch o della sessione.

Service account di runtime precedenti alla versione 3.0

Le versioni del runtime Spark precedenti alla versione 3.0 con le credenziali del account di servizio utilizzano il service account predefinito di Compute Engine o un account di servizio personalizzato specificato dall'utente per inviare un workload batch o creare una sessione interattiva.

Service account di runtime versione 3.0 e successive

Le versioni del runtime Spark 3.0 e successive con le credenziali del account di servizio utilizzano un account di servizio personalizzato specificato dall'utente per inviare un workload batch o creare una sessione interattiva.

I runtime di Managed Service for Apache Spark versione 3.0 e successive creano il service account di servizio dell'agente del nodo di Dataproc Resource Manager, service-project-number@gcp-sa-dataprocrmnode.iam.gserviceaccount.com, con il ruolo Agente del nodo di Dataproc Resource Manager in un progetto utente di Managed Service for Apache Spark Google Cloud . Questo service account esegue le seguenti operazioni di sistema sulle risorse di Managed Service for Apache Spark che si trovano nel progetto in cui viene creato un workload:

  • Cloud Logging e Cloud Monitoring
  • Operazioni di base del nodo di Resource Manager di Managed Service for Apache Spark, come get, heartbeat e mintOAuthToken

Visualizzare e gestire i ruoli del account di servizio IAM

Per visualizzare e gestire i ruoli concessi al service account del workload batch o della sessione:

  1. Nella Google Cloud console vai alla pagina IAM.

    Vai a IAM'

  2. Fai clic su Includi concessioni di ruoli fornite da Google.

  3. Visualizza i ruoli elencati per il account di servizio predefinito o personalizzato del workload batch o della sessione.

    L'immagine seguente mostra il ruolo Managed Service for Apache Spark Worker richiesto elencato per il account di servizio predefinito di Compute Engine, project_number-compute@developer.gserviceaccount.com, che Managed Service for Apache Spark utilizza per impostazione predefinita come account di servizio del workload o della sessione.

    Ruolo Dataproc Worker per il account di servizio predefinito di Compute Engine nella console IAM
    Il ruolo Managed Service for Apache Spark Worker assegnato al account di servizio predefinito di Compute Engine nella sezione IAM della Google Cloud console.
  4. Puoi fare clic sull'icona a forma di matita visualizzata nella riga del account di servizio per concedere o rimuovere account di servizio account.

Come utilizzare un account di servizio tra progetti

Puoi inviare un workload batch che utilizza un account di servizio di un progetto diverso dal progetto del workload batch (il progetto in cui viene inviato il batch). In questa sezione, il progetto in cui si trova il account di servizio è chiamato service account project, mentre il progetto in cui viene inviato il batch è chiamato batch project.

Perché utilizzare un account di servizio tra progetti per eseguire un workload batch? Un motivo possibile è che al account di servizio dell'altro progetto sono stati assegnati ruoli IAM che forniscono un accesso granulare a le risorse di quel progetto.

Procedura di configurazione

Gli esempi in questa sezione si applicano all'invio di un workload batch eseguito con una versione del runtime precedente alla versione 3.0.

  1. Nel progetto del account di servizio:

    1. Consenti l'allegato dei service account tra progetti.

    2. Abilita l'API Dataproc.

      Ruoli necessari per abilitare le API

      Per abilitare le API, devi disporre del ruolo IAM Amministratore utilizzo servizi (roles/serviceusage.serviceUsageAdmin), che contiene l'autorizzazione serviceusage.services.enable. Scopri come concedere i ruoli.

      Abilitare l'API

    3. Concedi al tuo account email (l'utente che sta creando il cluster) il ruolo Utente account di servizio nel progetto del service account o, per un controllo più granulare, nel service account nel progetto del service account.

      Per ulteriori informazioni, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni per concedere i ruoli a livello di progetto e Gestisci l'accesso ai service account per concedere i ruoli a livello di account di servizio.

      Esempi dell'interfaccia a riga di comando gcloud:

      Il seguente comando di esempio concede all'utente il ruolo Utente account di servizio a livello di progetto:

      gcloud projects add-iam-policy-binding SERVICE_ACCOUNT_PROJECT_ID \
          --member=USER_EMAIL \
          --role="roles/iam.serviceAccountUser"
      

      Note:

      • USER_EMAIL: fornisci l'indirizzo email dell'account utente, nel formato: user:user-name@example.com.

      Il seguente comando di esempio concede all'utente il ruolo Utente account di servizio a livello di service account:

      gcloud iam service-accounts add-iam-policy-binding VM_SERVICE_ACCOUNT_EMAIL \
          --member=USER_EMAIL \
          --role="roles/iam.serviceAccountUser"
      

      Note:

      • USER_EMAIL: fornisci l'indirizzo email del tuo account utente, nel formato: user:user-name@example.com.
    4. Concedi al account di servizio il ruolo Managed Service for Apache Spark Worker nel progetto batch.

      Esempio dell'interfaccia a riga di comando gcloud:

      gcloud projects add-iam-policy-binding BATCH_PROJECT_ID \
          --member=serviceAccount:SERVICE_ACCOUNT_NAME@SERVICE_ACCOUNT_PROJECT_ID.iam.gserviceaccount.com \
          --role="roles/dataproc.worker"
      
  2. Nel progetto batch:

    1. Concedi al service account dell'agente di servizio di Managed Service for Apache Spark i ruoli Utente account di servizio e Creatore token account di servizio nel progetto del service account o, per un controllo più granulare, nel service account nel progetto del service account. In questo modo, consenti al account di servizio dell'agente di servizio di Managed Service for Apache Spark nel progetto batch di creare token per il account di servizio nel progetto del account di servizio.

      Per ulteriori informazioni, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni per concedere i ruoli a livello di progetto e Gestisci l'accesso ai service account per concedere i ruoli a livello di account di servizio.

      Esempi dell'interfaccia a riga di comando gcloud:

      I seguenti comandi concedono al service account dell'agente di servizio di Managed Service for Apache Spark nel progetto batch i ruoli Utente account di servizio e Creatore token account di servizio a livello di progetto:

      gcloud projects add-iam-policy-binding SERVICE_ACCOUNT_PROJECT_ID \
          --member=serviceAccount:service-BATCH_PROJECT_NUMBER@dataproc-accounts.iam.gserviceaccount.com \
          --role="roles/iam.serviceAccountUser"
      
      gcloud projects add-iam-policy-binding SERVICE_ACCOUNT_PROJECT_ID \
          --member=serviceAccount:service-BATCH_PROJECT_NUMBER@dataproc-accounts.iam.gserviceaccount.com \
          --role="roles/iam.serviceAccountTokenCreator"
      

      I seguenti comandi di esempio concedono al service account dell'agente di servizio di Managed Service for Apache Spark nel progetto batch i ruoli Utente account di servizio e Creatore token account di servizio a livello di service account:

      gcloud iam service-accounts add-iam-policy-binding VM_SERVICE_ACCOUNT_EMAIL \
          --member=serviceAccount:service-BATCH_PROJECT_NUMBER@dataproc-accounts.iam.gserviceaccount.com \
          --role="roles/iam.serviceAccountUser"
      
      gcloud iam service-accounts add-iam-policy-binding VM_SERVICE_ACCOUNT_EMAIL \
          --member=serviceAccount:service-BATCH_PROJECT_NUMBER@dataproc-accounts.iam.gserviceaccount.com \
          --role="roles/iam.serviceAccountTokenCreator"
      
    2. Concedi al service account dell'agente di servizio di Compute Engine nel progetto batch il ruolo Creatore token account di servizio nel progetto del service account o, per un controllo più granulare, nel service account nel progetto del service account. In questo modo, concedi al account di servizio dell'agente di servizio di Compute Engine nel progetto batch la possibilità di creare token per il account di servizio nel progetto del service account.

      Per ulteriori informazioni, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni per concedere i ruoli a livello di progetto e Gestisci l'accesso ai service account per concedere i ruoli a livello di account di servizio.

      Esempi dell'interfaccia a riga di comando gcloud:

      Il seguente comando di esempio concede al service account dell'agente di servizio di Compute Engine nel progetto batch il ruolo Creatore token account di servizio a livello di progetto:

      gcloud projects add-iam-policy-binding SERVICE_ACCOUNT_PROJECT_ID \
          --member=serviceAccount:service-BATCH_PROJECT_NUMBER@compute-system.iam.gserviceaccount.com \
          --role="roles/iam.serviceAccountTokenCreator"
      

      Il seguente comando di esempio concede al service account dell'agente di servizio di Compute Engine nel progetto del cluster il ruolo Creatore token account di servizio a livello di service account:

      gcloud iam service-accounts add-iam-policy-binding VM_SERVICE_ACCOUNT_EMAIL \
          --member=serviceAccount:service-BATCH_PROJECT_NUMBER@compute-system.iam.gserviceaccount.com \
          --role="roles/iam.serviceAccountTokenCreator"
      

Inviare il workload batch

Dopo aver completato i passaggi di configurazione, puoi inviare un workload batch. Assicurati di specificare il account di servizio nel progetto del account di servizio come account di servizio da utilizzare per il workload batch.

Risolvere i problemi relativi agli errori basati sulle autorizzazioni

Autorizzazioni errate o insufficienti per il account di servizio utilizzato dal workload batch o dalla sessione possono causare errori di creazione del batch o della sessione che segnalano il messaggio di errore "Driver compute node failed to initialize for batch in 600 seconds". Questo errore indica che il driver Spark non è riuscito ad avviarsi entro il periodo di timeout assegnato, spesso a causa della mancanza dell'accesso necessario alle Google Cloud risorse.

Per risolvere il problema, verifica che il account di servizio disponga dei seguenti ruoli o autorizzazioni minimi:

  • Ruolo Managed Service for Apache Spark Worker (roles/dataproc.worker): questo ruolo concede le autorizzazioni necessarie a Managed Service for Apache Spark per gestire ed eseguire workload e sessioni Spark.
  • Storage Object Viewer (roles/storage.objectViewer), Storage Object Creator (roles/storage.objectCreator) o Storage Object Admin (roles/storage.admin): se l'applicazione Spark legge o scrive nei bucket Cloud Storage, il account di servizio deve disporre delle autorizzazioni appropriate per accedere ai bucket. Ad esempio, se i dati di input si trovano in un bucket Cloud Storage, è necessario il ruolo Storage Object Viewer. Se l'applicazione scrive l'output in un bucket Cloud Storage, è necessario il ruolo Storage Object Creator o Storage Object Admin.
  • Editor dati BigQuery (roles/bigquery.dataEditor) o Visualizzatore dati BigQuery (roles/bigquery.dataViewer): se l'applicazione Spark interagisce con BigQuery, verifica che il account di servizio disponga dei ruoli BigQuery appropriati.
  • Autorizzazioni Cloud Logging: il account di servizio deve disporre delle autorizzazioni per scrivere i log in Cloud Logging per un debug efficace. In genere, il ruolo Logging Writer (roles/logging.logWriter) è sufficiente.
  • Ruolo dataproc.worker mancante: senza questo ruolo principale, l'infrastruttura di Managed Service for Apache Spark non può eseguire il provisioning e gestire correttamente il nodo driver.

  • Autorizzazioni Cloud Storage insufficienti: se l'applicazione Spark tenta di leggere i dati di input da o scrivere l'output in un bucket Cloud Storage senza le autorizzazioni del account di servizio necessarie, il driver potrebbe non riuscire a inizializzarsi perché non ha accesso alle risorse critiche.

  • Problemi di rete o firewall: i Controlli di servizio VPC o le regole firewall possono bloccare inavvertitamente l'accesso account di servizio alle Google Cloud API o alle risorse.

Per verificare e aggiornare le autorizzazioni del account di servizio:

  1. Vai alla pagina IAM e amministrazione > IAM nella Google Cloud console.
  2. Individua il account di servizio utilizzato per i workload batch o le sessioni.
  3. Verifica che siano assegnati i ruoli necessari. In caso contrario, aggiungili.

Per un elenco dei ruoli e delle autorizzazioni di Managed Service for Apache Spark, consulta Autorizzazioni e ruoli IAM di Managed Service for Apache Spark.