„Managed Service for Apache Spark“ ist der neue Name für das Produkt, das früher als „Dataproc on Compute Engine“ (Clusterbereitstellung) und „Google Cloud Serverless for Apache Spark“ (serverlose Bereitstellung) bekannt war.

Sichere Tags verwenden

In diesem Dokument wird beschrieben, wie Sie sichere Tags erstellen, sie an einen Managed Service for Apache Spark-Cluster anhängen und dann die Tags verwenden, um die Clusternetzwerke zu sichern.

Vorteile der Verwendung sicherer Tags

Sichere Tags unterscheiden sich in vielerlei Hinsicht von Netzwerktags, einschließlich der Zugriffssteuerung für Identity and Access Management, der Tag-Übernahme und der Bindung an ein einzelnes VPC-Netzwerk. Daraus ergeben sich die folgenden Hauptvorteile:

Verbesserte Zugriffssteuerung und Sicherheit

Sichere Tags beheben die Sicherheitsprobleme, die mit Netzwerktags einhergehen, indem sie einen IAM-gesteuerten Zugriff bieten. Im Gegensatz zu Netzwerktags, die von einem Nutzer mit Clusterzugriff geändert werden können, verhindern sichere Tags die unbefugte Änderung von Tags und die daraus resultierenden unerwünschten Änderungen an Firewallregeln.

Durch die Verwendung sicherer Tags in IAM-Richtlinien wird eine bedingte Zugriffssteuerung ermöglicht, wodurch die Sicherheit erhöht wird, indem Rollen basierend auf dem Vorhandensein von Tags gewährt oder verweigert werden.

Vereinfachte Firewallverwaltung

Die globalen und regionalen Netzwerk-Firewall richtlinien unterstützen sichere Tags. Diese Unterstützung vereinfacht die Firewallverwaltung in Managed Service for Apache Spark in freigegebenen Netzwerken.

Im Gegensatz zu VPC-Firewallregeln ermöglichen Netzwerk-Firewallrichtlinien, die durch sichere Tags erweitert werden, eine effiziente Gruppierung und gleichzeitige Aktualisierung mehrerer Regeln, die alle durch IAM-Zugriffssteuerungen verwaltet werden. Im Vergleich zu VPC-Firewallregeln, die Netzwerktags verwenden, bieten sichere Tags erweiterte Sicherheits- und Verwaltungsfunktionen in Netzwerk-Firewallrichtlinien.

Hierarchische Ressourcenübernahme für eine effiziente Verwaltung

Sichere Tags werden von übergeordneten Ressourcen in der Google Cloud Hierarchie übernommen. Diese Übernahme vereinfacht die Verwaltung, da Sie Tags auf einer höheren Ebene definieren können, z. B. auf Organisationsebene, sodass sie automatisch an untergeordnete Ressourcen wie Ordner und Projekte weitergegeben werden. So können Sie Tags in Ihrer gesamten Organisation einheitlich verwenden. Weitere Informationen finden Sie unter Tag-Übernahme.

Verbesserte Netzwerkverwaltung in freigegebenen und per Peering verbundenen VPCs

Netzwerktags identifizieren Quellen oder Ziele in Firewallregeln innerhalb eines bestimmten VPC-Netzwerk. Wenn sichere Tags verwendet werden, um eine Quelle für eine Regel für eingehenden Traffic in einer Netzwerk-Firewallrichtlinie anzugeben, identifizieren sie Trafficquellen sowohl im VPC-Netzwerk des Managed Service for Apache Spark-Clusters als auch in per Peering verbundenen VPC-Netzwerken. Wenn sichere Tags verwendet werden, um Ziele für Regeln für eingehenden oder ausgehenden Traffic anzugeben, identifizieren sie Ziele nur innerhalb ihres eigenen VPC-Netzwerk.

Weitere Informationen zu den Unterschieden zwischen Resource Manager-Tags und Netzwerktags, finden Sie unter Vergleich von Tags und Netzwerktags.

Weitere Informationen zu den Unterschieden zwischen Resource Manager-Tags und Labels, finden Sie unter Tags und Labels.

Hinweis

Bestimmte IAM-Rollen sind erforderlich, um die Beispiele auf dieser Seite auszuführen. Abhängig von den Organisationsrichtlinien wurden diese Rollen möglicherweise bereits gewährt. Informationen zum Prüfen von Rollenzuweisungen finden Sie unter Müssen Sie Rollen zuweisen?.

Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Nutzerrolle

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle „Tag-Administrator (roles/resourcemanager.tagAdmin)“ für Resource Manager-Tags zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Erstellen von Tags benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Dienstkontorolle

Bitten Sie Ihren Administrator, dem Dienstkonto des Managed Service for Apache Spark-Dienst-Agents die IAM-Rolle „Managed Service for Apache Spark-Dienst-Agent“ (roles/dataproc.serviceAgent) für das Projekt zuzuweisen, damit es die erforderlichen Berechtigungen hat, sichere Tags an einen Managed Service for Apache Spark-Cluster anzuhängen.

Beschränkungen

Sie können sichere Tags nur beim Erstellen des Clusters an einen Cluster anhängen.
Das Aktualisieren und Löschen sicherer Tags wird nicht unterstützt.

Sicheres Tag erstellen

Wenn Sie ein sicheres Tag an einen Managed Service for Apache Spark-Cluster anhängen möchten, müssen Sie zuerst ein Resource Manager-Tag mit einem bestimmten Schlüssel und einem oder mehreren Werten erstellen.

Sichere Tags an den Managed Service for Apache Spark-Cluster anhängen

Erstellen Sie einen Managed Service for Apache Spark-Cluster und geben Sie das sichere Tag TAG_KEY:TAG_VALUE Paar an.

Google Cloud CLI

Führen Sie den Befehl gcloud Managed Service for Apache Spark-Cluster erstellen mit dem --resource-manager-tags Flag aus, um einen Managed Service for Apache Spark-Cluster zu erstellen und dem Cluster ein sicheres Tag hinzuzufügen.

gcloud dataproc clusters create CLUSTER_NAME \
  --region REGION \
  --resource-manager-tags=TAG_KEY=TAG_VALUE

Ersetzen Sie Folgendes:

CLUSTER_NAME: der Name des neuen Clusters.
REGION: die Compute Engine-Region , in der sich der Cluster befinden soll.
TAG_KEY und TAG_VALUE: der Schlüssel und ein Wert des von Ihnen erstellten Resource Manager-Tags. Tag-Schlüssel können im Namespace-Format oder ohne Namespace angegeben werden:
- Namespace-Format: PROJECT-ID/KEY_NAME=PROJECT-ID/KEY_NAME/KEY_VALUE.
  Beispiel:
```
--resource-manager-tags="test-project/testkey"=test-project/testkey/testvalue
```
- Format ohne Namespace: tagKeys/TAG_KEY_ID=tagValues/TAG_VALUE_ID
  Beispiel:
```
--resource-manager-tags=tagKeys/123456789012=tagValues/987654321098
```
  - Sie können eine durch Kommas getrennte Liste angeben, um mehrere sichere Tags anzuhängen, die denselben Schlüssel mit unterschiedlichen Werten oder unterschiedliche Schlüssel und Werte haben.
  - Sie müssen alle Tag-Schlüssel/Wert-Paare entweder im Namespace-Format oder ohne Namespace angeben. Wenn beide Formate verwendet werden, wird ein Fehler generiert.

REST

Wenn Sie einen Managed Service for Apache Spark-Cluster erstellen und dem Cluster ein sicheres Tag hinzufügen möchten, fügen Sie das resourceManagerTags Feld als Teil einer clusters.create Anfrage hinzu, die das Anhängen eines "TAG_KEY":"TAG_VALUE" sicheren Tags an den Cluster umfasst.

{
  "clusterName": "CLUSTER_NAME",
  "config": {
    "gceClusterConfig": {
      "resourceManagerTags": {
        "TAG_KEY":"TAG_VALUE"
      }
    }
  }
}