„Managed Service for Apache Spark“ ist der neue Name für das Produkt, das früher als „Dataproc on Compute Engine“ (Clusterbereitstellung) und „Google Cloud Serverless for Apache Spark“ (serverlose Bereitstellung) bekannt war.

Flottenverwaltung mit benutzerdefinierten Organisationsrichtlinien

Sie können den Organization Policy Service mit benutzerdefinierten Einschränkungen verwenden, um bestimmte Konfigurationen für die Managed Service for Apache Spark-Cluster Ihrer Organisation zu erzwingen. Dieser zentralisierte Ansatz trägt dazu bei, die Compliance zu gewährleisten, die Kosten zu kontrollieren und Ihre Managed Service for Apache Spark-Flotte zu standardisieren.

In diesem Leitfaden erfahren Sie, wie Sie eine benutzerdefinierte Organisationsrichtlinie für Managed Service for Apache Spark-Cluster erstellen und erzwingen. Weitere Informationen finden Sie unter Einführung in die Organisationsrichtlinie.

Hinweis

Melden Sie sich in Ihrem Google Cloud -Konto an. Wenn Sie mit Google Cloudnoch nicht vertraut sind, erstellen Sie ein Konto, um die Leistungsfähigkeit unserer Produkte in der Praxis sehen und bewerten zu können. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Resource Manager API.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the API

Make sure that you have the following role or roles on the project: Organization Policy Administrator

Check for the roles

In the Google Cloud console, go to the IAM page.
Go to IAM
Select the project.
In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.
For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

In the Google Cloud console, go to the IAM page.
Go to IAM
Select the project.
Click Grant access.
In the New principals field, enter your user identifier. This is typically the email address for a Google Account.
Click Select a role, then search for the role.
To grant additional roles, click Add another role and add each additional role.
Click Save.

Installieren Sie die Google Cloud CLI.

Hinweis:Wenn Sie die gcloud CLI zuvor installiert haben, prüfen Sie, ob Sie die aktuelle Version haben, indem Sie gcloud components update ausführen.

Wenn Sie einen externen Identitätsanbieter (IdP) verwenden, müssen Sie sich zuerst mit Ihrer föderierten Identität in der gcloud CLI anmelden.

Führen Sie den folgenden Befehl aus, um die gcloud CLI zu initialisieren:

gcloud init

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Enable the Resource Manager API.

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the API

Make sure that you have the following role or roles on the project: Organization Policy Administrator

Check for the roles

In the Google Cloud console, go to the IAM page.
Go to IAM
Select the project.
In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.
For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

In the Google Cloud console, go to the IAM page.
Go to IAM
Select the project.
Click Grant access.
In the New principals field, enter your user identifier. This is typically the email address for a Google Account.
Click Select a role, then search for the role.
To grant additional roles, click Add another role and add each additional role.
Click Save.

Installieren Sie die Google Cloud CLI.

Hinweis:Wenn Sie die gcloud CLI zuvor installiert haben, prüfen Sie, ob Sie die aktuelle Version haben, indem Sie gcloud components update ausführen.

Wenn Sie einen externen Identitätsanbieter (IdP) verwenden, müssen Sie sich zuerst mit Ihrer föderierten Identität in der gcloud CLI anmelden.

Führen Sie den folgenden Befehl aus, um die gcloud CLI zu initialisieren:

gcloud init

Benutzerdefinierte Einschränkung erzwingen

In den folgenden Schritten wird gezeigt, wie Sie eine allgemeine Sicherheitsanforderung erzwingen: Alle neuen Managed Service for Apache Spark-Cluster müssen Kerberos aktiviert haben.

Definieren Sie die benutzerdefinierte Einschränkung.

Erstellen Sie eine YAML-Datei mit folgendem Inhalt:

name: organizations/ORGANIZATION_ID/customConstraints/custom.dataprocKerberos
resourceTypes:
-   dataproc.googleapis.com/Cluster
methodTypes:
-   CREATE
condition: "resource.config.securityConfig.kerberosConfig.enableKerberos == true"
actionType: ALLOW
displayName: Cluster must have Kerberos enabled.

Ersetzen Sie ORGANIZATION_ID durch Ihre Organisations-ID.

Legen Sie die benutzerdefinierte Einschränkung fest, um sie für Ihre Organisation verfügbar zu machen.
```
gcloud org-policies set-custom-constraint CONSTRAINT_PATH
```
Ersetzen Sie CONSTRAINT_PATH durch den Pfad zu Ihrer YAML-Datei mit Einschränkungen.
Erstellen Sie eine Organisationsrichtlinie, die die Einschränkung erzwingt.
1. Erstellen Sie eine weitere YAML-Datei mit folgendem Inhalt:
```
name: projects/PROJECT_ID/policies/custom.dataprocKerberos
spec:
  rules:
    -   enforce: true
```
Ersetzen Sie PROJECT_ID durch die ID des Projekts, auf das die Richtlinie angewendet werden soll. Sie können diese Richtlinie auch auf Ordner- oder Organisationsebene anwenden.
Wenden Sie die Richtlinie an:
```
gcloud org-policies set-policy POLICY_PATH
```
Ersetzen Sie POLICY_PATH durch den Pfad zur YAML-Richtliniendatei.

Nachdem Sie die Richtlinie angewendet haben, schlägt der Versuch fehl, einen Managed Service for Apache Spark-Cluster in der angegebenen Ressource ohne aktivierte Kerberos-Authentifizierung zu erstellen.

Anwendungsfälle für benutzerdefinierte Einschränkungen

Sie können benutzerdefinierte Einschränkungen erstellen, um eine Vielzahl von Richtlinien für Ihre Managed Service for Apache Spark-Flotte zu erzwingen. Das Anwenden von Flottenrichtlinien hilft bei der Kostenkontrolle, Standardisierung und Sicherheit.

Beispiel: Sie können bestimmte Maschinentypen für Clusterknoten vorschreiben oder öffentliche IP-Adressen für Clusterknoten verhindern.

Flottenverwaltung mit benutzerdefinierten Organisationsrichtlinien

Hinweis

Check for the roles

Grant the roles

Check for the roles

Grant the roles

Benutzerdefinierte Einschränkung erzwingen

Anwendungsfälle für benutzerdefinierte Einschränkungen

Nächste Schritte