"Managed Service for Apache Spark" is the new name for the product formerly known as "Dataproc on Compute Engine" (cluster deployment) and "Google Cloud Serverless for Apache Spark" (serverless deployment).

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Peran dan identitas Identity and Access Management Google Kubernetes Engine

Identitas bidang data

Managed Service untuk Apache Spark di GKE menggunakan identitas beban kerja GKE untuk memungkinkan pod dalam Managed Service untuk Apache Spark di cluster GKE bertindak dengan otoritas akun layanan VM Managed Service untuk Apache Spark default (identitas bidang data). Identitas beban kerja memerlukan izin berikut untuk memperbarui kebijakan IAM di GSA yang digunakan oleh cluster virtual Managed Service untuk Apache Spark di GKE:

compute.projects.get
iam.serviceAccounts.getIamPolicy
iam.serviceAccounts.setIamPolicy

Identitas beban kerja GKE menautkan Akun Layanan GKE (KSA) berikut ke Akun Layanan VM Managed Service untuk Apache Spark:

agent KSA (berinteraksi dengan bidang kontrol Managed Service untuk Apache Spark):
serviceAccount:${PROJECT}.svc.id.goog[${DPGKE_NAMESPACE}/agent]
spark-driver KSA (menjalankan driver Spark):
serviceAccount:${PROJECT}.svc.id.goog[${DPGKE_NAMESPACE}/spark-driver]
spark-executor KSA (menjalankan executor Spark):
serviceAccount:${PROJECT}.svc.id.goog[${DPGKE_NAMESPACE}/spark-executor]

Gunakan flag gcloud dataproc clusters gke create --setup-workload-identity saat Anda membuat Managed Service untuk Apache Spark di cluster GKE untuk membuat binding identitas beban kerja yang diperlukan untuk cluster.

Tetapkan peran

Berikan izin ke akun layanan VM Managed Service untuk Apache Spark agar spark-driver dan spark-executor dapat mengakses resource project, sumber data, sink data, dan layanan lain yang diperlukan oleh beban kerja Anda.

Contoh:

Perintah berikut menetapkan peran ke akun layanan VM Managed Service untuk Apache Spark default agar beban kerja Spark yang berjalan di VM cluster Managed Service untuk Apache Spark di GKE dapat mengakses bucket Cloud Storage dan set data BigQuery di project.

gcloud projects add-iam-policy-binding \
    --role=roles/storage.objectAdmin \
    --role=roles/bigquery.dataEditor \
    --member="project-number-compute@developer.gserviceaccount.com" \
    "${PROJECT}"

Konfigurasi IAM kustom

Managed Service untuk Apache Spark di GKE menggunakan identitas beban kerja GKE untuk menautkan akun layanan VM Managed Service untuk Apache Spark default (identitas bidang data) ke tiga akun layanan GKE (KSA).

Untuk membuat dan menggunakan akun layanan Google (GSA) yang berbeda untuk ditautkan ke KSA:

Buat GSA (lihat Membuat dan mengelola akun layanan).

Contoh gcloud CLI:
```
gcloud iam service-accounts create "dataproc-${USER}" \
    --description "Used by Managed Service for Apache Spark on GKE workloads."
```
Catatan:
- Contoh ini menetapkan nama GSA sebagai "dataproc-${USER}", tetapi Anda dapat menggunakan nama yang berbeda.
Tetapkan variabel lingkungan:
```
PROJECT=project-id \
  DPGKE_GSA="dataproc-${USER}@${PROJECT}.iam.gserviceaccount.com"
  DPGKE_NAMESPACE=GKE namespace
```
Catatan:
- DPGKE_GSA: Contoh ini menetapkan dan menggunakan DPGKE_GSA sebagai nama variabel yang berisi alamat email GSA Anda. Anda dapat menetapkan dan menggunakan nama variabel yang berbeda.
- DPGKE_NAMESPACE: Namespace GKE default adalah nama cluster Managed Service untuk Apache Spark di GKE.

Saat Anda membuat Managed Service untuk Apache Spark di cluster GKE, tambahkan properti berikut untuk Managed Service untuk Apache Spark agar menggunakan GSA Anda, bukan GSA default:

--properties "dataproc:dataproc.gke.agent.google-service-account=${DPGKE_GSA}" \
--properties "dataproc:dataproc.gke.spark.driver.google-service-account=${DPGKE_GSA}" \
--properties "dataproc:dataproc.gke.spark.executor.google-service-account=${DPGKE_GSA}" \

Jalankan perintah berikut untuk menetapkan izin Workload Identity yang diperlukan ke akun layanan:

Tetapkan peran dataproc.worker ke GSA Anda agar dapat bertindak sebagai agen:

gcloud projects add-iam-policy-binding \
    --role=roles/dataproc.worker \
    --member="serviceAccount:${DPGKE_GSA}" \
    "${PROJECT}"

Tetapkan peran iam.workloadIdentityUser ke KSA agent agar dapat bertindak sebagai GSA Anda:

gcloud iam service-accounts add-iam-policy-binding \
    --role=roles/iam.workloadIdentityUser \
    --member="serviceAccount:${PROJECT}.svc.id.goog[${DPGKE_NAMESPACE}/agent]" \
    "${DPGKE_GSA}"

Berikan peran iam.workloadIdentityUser ke KSA spark-driver agar dapat bertindak sebagai GSA Anda:

gcloud iam service-accounts add-iam-policy-binding \
    --role=roles/iam.workloadIdentityUser \
    --member="serviceAccount:${PROJECT}.svc.id.goog[${DPGKE_NAMESPACE}/spark-driver]" \
    "${DPGKE_GSA}"

Berikan peran iam.workloadIdentityUser ke KSA spark-executor agar dapat bertindak sebagai GSA Anda:

gcloud iam service-accounts add-iam-policy-binding \
    --role=roles/iam.workloadIdentityUser \
    --member="serviceAccount:${PROJECT}.svc.id.goog[${DPGKE_NAMESPACE}/spark-executor]" \
    "${DPGKE_GSA}"

Peran dan identitas Identity and Access Management Google Kubernetes Engine Tetap teratur dengan koleksi Simpan dan kategorikan konten berdasarkan preferensi Anda.

Identitas bidang data

Tetapkan peran

Konfigurasi IAM kustom

Peran dan identitas Identity and Access Management Google Kubernetes Engine