Diese Seite wurde von der Cloud Translation API übersetzt.

Netzwerkkonfiguration für Serverless for Apache Spark

In diesem Dokument werden die Anforderungen für die Netzwerkkonfiguration von Google Cloud Serverless for Apache Spark beschrieben.

Anforderungen an Virtual Private Cloud-Subnetzwerke

In diesem Dokument werden die VPC-Netzwerkanforderungen fürGoogle Cloud Serverless für Apache Spark-Batcharbeitslasten und interaktive Sitzungen erläutert.

Privater Google-Zugriff

Batch-Arbeitslasten und interaktive Sitzungen für Serverless for Apache Spark werden auf VMs mit nur internen IP-Adressen und in einem regionalen Subnetz mit automatisch aktiviertem privaten Google-Zugriff (Private Google Access, PGA) ausgeführt.

Wenn Sie kein Subnetz angeben, wird von Serverless for Apache Spark das default-Subnetz in der Region der Batcharbeitslast oder Sitzung als Subnetz für eine Batcharbeitslast oder Sitzung ausgewählt.

Wenn für Ihre Arbeitslast ein externes Netzwerk oder Internetzugriff erforderlich ist, z. B. um Ressourcen wie ML-Modelle von PyTorch Hub oder Hugging Face herunterzuladen, können Sie Cloud NAT einrichten, um ausgehenden Traffic über interne IPs in Ihrem VPC-Netzwerk zuzulassen.

Subnetzverbindung öffnen

Das VPC-Subnetz für die Region, die für die Serverless for Apache Spark-Batcharbeitslast oder die interaktive Sitzung ausgewählt wurde, muss die interne Subnetzkommunikation auf allen Ports zwischen VM-Instanzen zulassen.

Mit dem folgenden Google Cloud CLI-Befehl wird eine Netzwerkfirewall an ein Subnetz angehängt, die interne eingehende Kommunikation zwischen VMs über alle Protokolle auf allen Ports zulässt:

gcloud compute firewall-rules create allow-internal-ingress \
    --network=NETWORK_NAME \
    --source-ranges=SUBNET_RANGES \
    --destination-ranges=SUBNET_RANGES \
    --direction=ingress \
    --action=allow \
    --rules=all

Hinweise:

SUBNET_RANGES: Weitere Informationen finden Sie unter Interne eingehende Verbindungen zwischen VMs zulassen. Das VPC-Netzwerk default in einem Projekt mit der Firewallregel default-allow-internal, die eingehende Kommunikation auf allen Ports (tcp:0-65535, udp:0-65535 und icmp protocols:ports) zulässt, erfüllt die Anforderung für die Konnektivität offener Subnetze. Diese Regel ermöglicht jedoch auch den eingehenden Zugriff durch jede VM-Instanz im Netzwerk.

Netzwerktags verwenden, um die Konnektivität einzuschränken: In der Produktion empfiehlt es sich, Firewallregeln auf die IP-Adressen zu beschränken, die von Ihren Spark-Arbeitslasten verwendet werden.

Serverless für Apache Spark und VPC-SC-Netzwerke

Mit VPC Service Controls können Netzwerkadministratoren einen Sicherheitsbereich für Ressourcen aus von Google verwalteten Diensten festlegen, um die Kommunikation mit und zwischen diesen Diensten zu steuern.

Beachten Sie die folgenden Strategien bei Verwendung von VPC-SC-Netzwerken mit Serverless for Apache Spark:

Private Verbindung einrichten
Erstellen Sie ein benutzerdefiniertes Container-Image, in dem Abhängigkeiten außerhalb des VPC-SC-Bereichs vorinstalliert sind, und senden Sie dann einen Spark-Batch-Arbeitslast, der Ihr benutzerdefiniertes Container-Image verwendet.

Weitere Informationen finden Sie unter VPC Service Controls – Serverless für Apache Spark.