Private Service Connect mit Dataproc Metastore

Mit Private Service Connect können Sie einen Dataproc Metastore-Dienst erstellen, der kein VPC-Peering verwendet. Auf dieser Seite wird erläutert, was Private Service Connect ist und wie Sie es als alternative Netzwerkoption für Dataproc Metastore verwenden können.

Funktionsweise von Dataproc Metastore mit VPC

Dataproc Metastore schützt den Metadatenzugriff, indem nur private IP-Endpunkte verfügbar gemacht werden. Außerdem wird die Konnektivität zu VMs in Ihrem VPC-Netzwerk durch VPC-Peering eingeschränkt.

Für Dataproc Metastore sind für jedes VPC-Netzwerk die folgenden Konfigurationen pro Region erforderlich:

Daher kann die Einrichtung von VPC-Peering und IP-Adressreservierungen in überlasteten VPC-Netzwerken schwierig sein. Ebenso kann es sein, dass ein VPC-Netzwerk nicht genügend Peering-Kontingent für zusätzliche Peering-Anfragen hat. Beide Einschränkungen können verhindern, dass Sie einen neuen Dataproc Metastore-Dienst erstellen.

Um diese Probleme zu umgehen, können Sie Dataproc Metastore mit Private Service Connect verwenden.

Funktionsweise von Dataproc Metastore mit Private Service Connect

Private Service Connect bietet eine private Verbindung zu Dataproc Metastore-Metadaten über VPC-Netzwerke hinweg.

Wenn Sie Private Service Connect mit Dataproc Metastore verwenden möchten, sind die folgenden Konfigurationen erforderlich:

  • Eine einzelne Adressreservierung im Subnetzwerk.
  • Eine Weiterleitungsregel, die auf den Dienstanhang ausgerichtet ist, der den Dataproc Metastore-Endpunkt verfügbar macht. Die Adressreservierung und die Weiterleitungsregel werden im Rahmen des Aufrufs zum Erstellen des Dataproc Metastore-Dienstes erstellt.

Hinweise

  • Dataproc Metastore-Dienste, die Private Service Connect verwenden, unterstützen nur den Zugriff über VPC-Netzwerke der Subnetzwerke, die bei der Diensterstellung angegeben wurden.

  • Dataproc Metastore reserviert Adressen und erstellt Weiterleitungsregeln in jedem der angegebenen Subnetzwerke. Jedes Subnetz hat einen Thrift-Endpunkt-URI, mit dem Sie auf den Dataproc Metastore-Metadatenendpunkt zugreifen können.

Beschränkungen

  • Dataproc Metastore-Dienste, die das gRPC-Endpunktprotokoll verwenden, unterstützen Private Service Connect nicht.
  • Die Reverse-Konnektivität wird mit Private Service Connect nicht unterstützt. Das bedeutet, dass Sie keine Kerberos-Konfiguration mit Private Service Connect verwenden können.
  • Sie können einem Dataproc Metastore-Dienst, der mit Private Service Connect konfiguriert ist, keine Subnetze dynamisch hinzufügen oder daraus entfernen. Stattdessen müssen Sie einen Dienst neu erstellen, wenn Sie Subnetze hinzufügen oder entfernen möchten.
  • Sie können einen Dataproc Metastore-Dienst, der Private Service Connect verwendet, nicht so aktualisieren, dass er VPC verwendet, oder umgekehrt.

Dataproc Metastore-Dienst mit Private Service Connect erstellen

In der folgenden Anleitung wird gezeigt, wie Sie Private Service Connect beim Erstellen eines Dienstes konfigurieren.

Console

  1. Öffnen Sie in der Google Cloud Console- die Seite „Dataproc Metastore“:

    Zu Dataproc Metastore

  2. Klicken Sie oben auf der Seite Dataproc Metastore auf Erstellen.

    Die Seite Dienst erstellen wird geöffnet.

  3. Konfigurieren Sie den Dienst nach Bedarf.

  4. Klicken Sie unter Netzwerkkonfiguration auf Dienste in mehreren VPC-Subnetzwerken zugänglich machen.

  5. Wählen Sie die Subnetzwerke aus. Sie können bis zu fünf Subnetzwerke angeben.

  6. Klicken Sie auf Fertig.

  7. Klicken Sie auf Senden.

Netzwerkkonfiguration des Dienstes prüfen:

  1. Öffnen Sie in der Google Cloud Console- die Seite „Dataproc Metastore“:

    Zu Dataproc Metastore

  2. Klicken Sie auf der Seite Dataproc Metastore auf den Dienstnamen des Dienstes, den Sie ansehen möchten.

    Die Seite Dienstdetails für diesen Dienst wird geöffnet.

  3. Prüfen Sie auf dem Tab Konfiguration, ob in den Details mehrere VPC-Subnetzwerk-URIs angezeigt werden.

gcloud

  1. Führen Sie den folgenden Befehl gcloud metastore services create aus, um einen Dienst mit Private Service Connect zu erstellen:

    gcloud metastore services create SERVICE \
   --location=LOCATION \
   --consumer-subnetworks="projects/PROJECT_ID/regions/LOCATION/subnetworks/SUBNET1, projects/PROJECT_ID/regions/LOCATION/subnetworks/SUBNET2"

    oder

    gcloud metastore services create SERVICE \
   --location=LOCATION \
   --network-config-from-file=NETWORK_CONFIG_FROM_FILE

  2. Prüfen Sie, ob die Erstellung erfolgreich war.

REST

Folgen Sie der API-Anleitung zum Erstellen eines Dienstes mit dem APIs Explorer.

Verwenden Sie in den create-Anfrageparametern das Feld Network Config, um Private Service Connect zu konfigurieren. Sie können 1 bis 5 Subnetzwerke angeben.

     "network_config": {
       "consumers": [
           {"subnetwork": "projects/PROJECT_ID/regions/LOCATION/subnetworks/SUBNET1"},
           {"subnetwork": "projects/PROJECT_ID/regions/LOCATION/subnetworks/SUBNET2"}
       ]
     }

Nächste Schritte