En esta página, se describe cómo administrar el control de acceso cuando implementas y ejecutas una canalización. que usa clústeres de Dataproc en otro proyecto de Google Cloud.
Situación
De forma predeterminada, cuando una instancia de Cloud Data Fusion se inicia en un proyecto de Google Cloud, implementa y ejecuta canalizaciones con Clústeres de Dataproc dentro del mismo proyecto. Sin embargo, tu organización puede requerir que uses clústeres en otro proyecto. Para este caso de uso, debes administrar el acceso entre proyectos. La siguiente página se describe cómo cambiar los parámetros de configuración del modelo de referencia (predeterminado) y aplicarlos. los controles de acceso apropiados.
Antes de comenzar
Para comprender las soluciones de este caso de uso, necesitas el siguiente contexto:
- Conocimiento de los conceptos básicos de Cloud Data Fusion
- Conocimientos de Identity and Access Management (IAM) para Cloud Data Fusion
- Estar familiarizado con las herramientas de redes de Cloud Data Fusion
Suposiciones y alcance
Este caso de uso tiene los siguientes requisitos:
- Una instancia privada de Cloud Data Fusion. Por motivos de seguridad, es posible que una organización requiera que uses este tipo de instancia.
- Una fuente y un receptor de BigQuery
- Control de acceso con IAM, no basado en roles (RBAC).
Solución
Esta solución compara la arquitectura específica del caso de uso con el modelo de referencia configuración.
Arquitectura
En los siguientes diagramas, se compara la arquitectura del proyecto para crear una una instancia de Cloud Data Fusion y la ejecución de canalizaciones el mismo proyecto (modelo de referencia) y en un proyecto diferente a través del usuario la VPC del proyecto.
Arquitectura de referencia
En este diagrama, se muestra la arquitectura de referencia de los proyectos:
Para la configuración del modelo de referencia, debes crear una instancia privada de Cloud Data Fusion y ejecutar una canalización sin personalización adicional:
- Usas uno de los perfiles de procesamiento integrados
- La fuente y el receptor están en el mismo proyecto que la instancia
- No se otorgaron roles adicionales a ninguna de las cuentas de servicio
Para obtener más información sobre los proyectos de usuario y cliente, consulta Herramientas de redes.
Arquitectura de casos de uso
En este diagrama, se muestra la arquitectura del proyecto cuando usas clústeres en otro proyecto:
Configuraciones
En las siguientes secciones, se comparan las configuraciones de referencia con las configuraciones específicas del caso de uso para usar clústeres de Dataproc en un proyecto diferente a través de la VPC predeterminada del proyecto del inquilino.
En las siguientes descripciones de casos de uso, el proyecto del cliente es donde se Se ejecuta la instancia de Cloud Data Fusion y el proyecto de Dataproc. es donde se inicia el clúster de Dataproc.
VPC e instancia del proyecto del usuario
Modelo de referencia | Caso de uso |
---|---|
En el diagrama de arquitectura de referencia anterior, el proyecto de usuario
contiene los siguientes componentes:
|
No se necesita ninguna configuración adicional para este caso de uso. |
Proyecto del cliente
Modelo de referencia | Caso de uso |
---|---|
Tu proyecto de Google Cloud es donde implementas y ejecutas canalizaciones. De forma predeterminada, los clústeres de Dataproc se inician en este proyecto cuando ejecutas tus canalizaciones. | En este caso de uso, administras dos proyectos. En esta página,
proyecto del cliente se refiere a dónde Cloud Data Fusion
se ejecutan las instancias de VM. El proyecto de Dataproc se refiere a donde se inician los clústeres de Dataproc. |
VPC del cliente
Modelo de referencia | Caso de uso |
---|---|
Desde tu perspectiva (del cliente), la VPC del cliente es Cloud Data Fusion está ubicado de forma lógica. Conclusión clave: Puedes encontrar los detalles de la VPC del cliente en la página Redes de VPC de tu proyecto. |
No se necesita ninguna configuración adicional para este caso de uso. |
Subred de Cloud Data Fusion
Modelo de referencia | Caso de uso |
---|---|
Desde tu perspectiva (del cliente), esta subred es donde Cloud Data Fusion está ubicado de forma lógica. Conclusión clave: La región de esta subred es la misma como la ubicación de la instancia de Cloud Data Fusion en el usuario en un proyecto final. |
No se necesita configuración adicional para este caso de uso. |
Subred de Dataproc
Modelo de referencia | Caso de uso |
---|---|
La subred en la que se inician los clústeres de Dataproc cuando cuando ejecutes una canalización. Conclusiones clave:
|
Esta es una subred nueva en la que los clústeres de Dataproc que se inician cuando ejecutas una canalización. Conclusiones clave:
|
Fuentes y receptores
Modelo de referencia | Caso de uso |
---|---|
Las fuentes de las que se extraen los datos y los receptores donde se cargan los datos como fuentes y receptores de BigQuery. Conclusión clave:
|
Las configuraciones de control de acceso específicas del caso de uso en esta página son para fuentes y receptores de BigQuery. |
Cloud Storage
Modelo de referencia | Caso de uso |
---|---|
El bucket de almacenamiento en el proyecto del cliente que ayuda a transferir archivos entre Cloud Data Fusion y Dataproc. Conclusiones clave:
|
No se necesita configuración adicional para este caso de uso. |
Buckets temporales usados por fuente y receptor
Modelo de referencia | Caso de uso |
---|---|
Los buckets temporales creados por los complementos para tus fuentes y receptores como los trabajos de carga que inicia el complemento del receptor de BigQuery. Conclusiones clave:
|
Para este caso de uso, el bucket se puede crear en cualquier proyecto. |
Buckets que son fuentes o receptores de datos para complementos
Modelo de referencia | Caso de uso |
---|---|
Los buckets de clientes, que especificas en la configuración de complementos como el complemento de Cloud Storage y el FTP Complemento de Cloud Storage. | No se necesita ninguna configuración adicional para este caso de uso. |
IAM: Agente de servicio de la API de Cloud Data Fusion
Modelo de referencia | Caso de uso |
---|---|
Cuando la API de Cloud Data Fusion está habilitada, el
Nube
Rol de agente de servicio de la API de Data Fusion
( Conclusiones clave:
|
Para este caso de uso, otorga el rol de agente de servicio de la API de Cloud Data Fusion a la cuenta de servicio en el proyecto de Dataproc. Luego, otorga los siguientes roles en ese proyecto:
|
IAM: Cuenta de servicio de Dataproc
Modelo de referencia | Caso de uso |
---|---|
La cuenta de servicio que se usa para ejecutar la canalización como un trabajo en el clúster de Dataproc. De forma predeterminada, es el Cuenta de servicio de Compute Engine. Opcional: En la configuración del modelo de referencia, puedes cambiar el valor predeterminado a otra cuenta de servicio del mismo proyecto. Otorgar los siguientes roles de IAM a la nueva cuenta de servicio:
|
En este ejemplo de caso de uso, se supone que usas
Cuenta de servicio de Compute Engine ( Otorga los siguientes roles al servicio predeterminado de Compute Engine en el proyecto de Dataproc.
Otorga el rol Usuario de cuenta de servicio a Cloud Data Fusion Cuenta de servicio en la cuenta de servicio predeterminada de Compute Engine de el proyecto de Dataproc. Esta acción debe realizarse proyecto de Dataproc. Agrega la cuenta de servicio predeterminada de Compute Engine de la del proyecto de Dataproc al proyecto de Cloud Data Fusion. También otorga los siguientes roles:
|
API
Modelo de referencia | Caso de uso |
---|---|
Cuando habilitas la API de Cloud Data Fusion, se usan las siguientes APIs:
también está habilitada. Para obtener más información sobre estas APIs, visita la
APIs y de Google Cloud en tu proyecto.
Cuando habilitas la API de Cloud Data Fusion, los siguientes servicios automáticamente se agregan cuentas a tu proyecto:
|
Para este caso de uso, habilita las siguientes APIs en el proyecto que
Contiene el proyecto de Dataproc:
|
Claves de encriptación
Modelo de referencia | Caso de uso |
---|---|
En la configuración del modelo de referencia, las claves de encriptación pueden ser administradas por Google o CMEK. Conclusiones clave: Si usas CMEK, la configuración de tu modelo de referencia requiere lo siguiente:
Según los servicios que se usen en tu canalización, como BigQuery o Cloud Storage, las cuentas de servicio también deben tener el rol de Encriptador o Desencriptador de CryptoKey de Cloud KMS:
|
Si no usas CMEK, no es necesario realizar cambios adicionales para este caso de uso. Si usas CMEK, la función de Encriptador/Desencriptador de CryptoKey de Cloud KMS debe a la siguiente cuenta de servicio a nivel de clave en el proyecto en el que se crea:
Según los servicios que se usen en tu canalización, como BigQuery o Cloud Storage, a otras cuentas de servicio también se les debe otorgar el rol de encriptador/desencriptador de CryptoKey de Cloud KMS a nivel de la clave. Por ejemplo:
|
Luego de hacer estos parámetros de configuración específicos para casos de uso, comiencen a ejecutarse en clústeres de otro proyecto.
¿Qué sigue?
- Obtén más información sobre las herramientas de redes en Cloud Data Fusion.
- Consulta la referencia de funciones básicas y predefinidas de IAM.