使私人服务连接您的工作区
请注意
砖支持私人连接使用私人服务连接(PSC)是在有限的可用性,GA-level功能。联系你的砖代表请求访问。
安全工作区与私人连接和减少数据漏出风险通过启用Google私人服务连接(PSC)工作区。这篇文章包含一些配置步骤,您可以执行使用砖帐户的控制台或API。
两个私人服务连接选项
有两种方法,您可以使用私人连接,这样你就不会向公众公开交通网络。本文讨论如何配置一个或两个私人服务连接连接类型:
前端私人服务(用户连接到工作区):允许用户连接到砖web应用程序中,REST API,砖连接API了虚拟私有云(VPC)端点端点。
私人服务端连接(数据平面控制平面):连接砖customer-managed虚拟私有云计算资源(VPC)(数据平面)砖工作空间的核心服务(控制平面)。集群连接到控制平面两个目的地:砖和REST api安全集群连接继电器。这个私人服务连接连接类型包括两种不同的VPC接口端点,因为两个不同的目的地服务。数据和控制飞机的信息,请参阅砖体系结构概述。
您可以实现前端和后端私人服务连接或只是其中之一。如果您实现私人服务连接的前端和后端连接,您可以选择授权私人空间连接,这意味着砖拒绝任何在公共网络连接。如果你拒绝执行任何其中一个连接类型,您不能执行此要求。
启用私人服务连接,您必须创建砖配置对象,添加新字段的现有配置对象。
重要的
在这个版本中,您可以创建一个新的工作区与私人服务连接的连接使用customer-managed VPC你设置。你不能将私人服务连接的连接添加到现有的工作空间。你不能让私人服务连接使用Databricks-managed VPC的工作区。
下图是一个私人服务连接网络流和架构的概述与砖。
更详细的图和有关使用防火墙的更多信息,见参考体系结构。
术语
以下谷歌云计算中使用本指南描述砖配置:
谷歌的术语 |
描述 |
|---|---|
私人服务连接(PSC) |
谷歌云功能,提供私人VPC网络和谷歌云服务之间的连接。 |
主持的项目 |
如果你使用谷歌所说的共享vpc,它允许您使用不同的谷歌云项目VPC工作区分开的主要项目ID计算资源,这是创建了VPC的项目。这既适用于数据平面VPC(后端私人服务连接)和交通VPC(前端私人服务连接) |
服务项目 |
如果你使用谷歌所说的共享vpc,它允许您使用不同的谷歌云项目VPC工作区分开的主要项目ID计算资源,这是项目工作空间计算资源。 |
私人服务连接端点或VPC端点 |
私人从VPC网络连接服务,例如砖发布的服务。 |
下表描述了重要的术语。
砖的术语 |
描述 |
|---|---|
砖的客户 |
一个用户在浏览器上访问数据砖UI或应用程序客户端访问数据砖api。 |
交通VPC |
VPC网络托管客户端访问数据砖工作区应用或者api。 |
前端(用户工作区)私人服务连接端点 |
交通上的私人服务连接端点配置VPC网络,私下允许客户机连接到砖和api的web应用程序。 |
后端(数据平面控制平面)私人服务连接端点 |
私人服务连接端点配置customer-managed VPC网络允许私人之间的通信砖控制平面和数据平面。 |
数据平面VPC |
VPC网络主机的计算资源砖工作区。你在谷歌配置customer-managed数据平面VPC云组织。 |
私人空间 |
是指一个工作区,经典的虚拟机数据平面没有公共IP地址。工作区端点砖控制飞机上只能私下从授权VPC网络或授权访问IP地址,如经典的VPC数据平面或你的PSC交通VPC。 |
要求和限制
下列条件和限制适用:
新工作空间:您可以创建一个新的工作区与私人服务连接的连接。你不能将私人服务连接的连接添加到现有的工作空间。
Customer-managed VPC是必需的。你必须使用customer-managed VPC。你需要创建谷歌云VPC的控制台或与另一个工具。接下来,在砖帐户的控制台或API,您创建一个引用VPC的网络配置和设置附加字段特定于私人服务连接。
自助服务除了启用您的帐户预览。特性:砖必须启用您的帐户。使私人服务连接在一个或多个工作区,联系你的砖代表和请求启用您的帐户。和你提供谷歌云区域主持的项目ID为私人储备配额服务连接的连接。为私人服务连接启用您的帐户后,使用砖帐户的控制台或API来配置您的私人服务连接对象和创建新的工作区。
配额:您可以配置两个私人服务端点连接到砖为每个VPC主机项目服务。您可以部署数据平面计算相同的VPC网络上多个砖工作区。在这种情况下,所有这些工作区将共享相同的私人服务连接端点。请联系您的帐户的团队如果这种限制不为你工作。
没有区域的连通性:私人服务连接工作区组件必须在同一地区包括:
交通VPC网络和子网
数据平面VPC网络和子网
砖的工作区
私人服务连接端点
私人服务连接端点子网
网络拓扑结构的多个选项
您可以部署一个私人砖工作区与下面的网络配置选项:
主机砖用户(客户)和砖数据平面在同一网络:在这个选项中,交通VPC和数据平面VPC指相同的底层VPC网络。如果你选择这种拓扑,所有访问任何砖工作区VPC必须走在前端的VPC的私人服务连接的连接。看到要求和限制。
主机砖用户(客户)和砖数据平面在不同的网络:在这个选项中,用户或应用程序客户机可以访问不同的砖工作区使用不同的网络路径。您可以选择允许用户在运输VPC访问私人空间在一个私人服务连接的连接,并允许用户在公共互联网上的工作区。
多个砖工作区主机数据平面在同一网络:在这个选项中,数据平面VPC多个砖工作区是指相同的底层VPC网络。所有这些工作空间必须共享相同的后端私人服务连接端点。这个部署模式可以允许您配置一个小数量的私人服务连接端点配置大量的工作区。
你可以共享一个运输VPC多个工作区。然而,每个交通VPC必须只包含使用前端PSC的工作区,或不使用前端PSC的工作区。由于DNS解析的工作方式在谷歌云,你不能使用这两种类型的工作区与单个运输VPC。
参考体系结构
砖工作区部署包括以下网络路径,您可以获得:
砖的客户在你的交通VPC砖控制飞机。这包括web应用程序和REST API访问。
砖砖控制平面的平面VPC网络数据服务。这包括安全集群连接继电器和工作区连接的REST API端点。
砖面数据存储在Databricks-managed项目。
砖数据平面VPC网络GKE API服务器。
砖控制平面存储在您的项目包括DBFS桶。
可以有一个没有防火墙体系结构限制出站流量,使用外部metastore理想。出站流量公共图书馆存储库默认是不可能的,但是你可以把你自己的本地镜像包回购。下图显示了一个完整的网络体系结构(前端和后端)私人服务连接部署没有防火墙:
您还可以使用一个防火墙的体系结构,允许出口公共包回购和(可选)Databricks-managed metastore。下图显示了一个完整的网络体系结构(前端和后端)私人服务连接与防火墙部署出口控制:
区域服务附件参考
启用私人服务连接,您需要的服务附件为以下端点uri地区:
工作区端点。这个后缀结尾
plproxy-psc-endpoint。这有一个双重角色。这是由后端所使用的私人服务连接到连接到控制平面REST api。这也是前端使用的私人服务连接到连接你的交通VPC工作区和REST api的web应用程序。安全集群连接(SCC)继电器端点。这个后缀结尾
ngrok-psc-endpoint。这是仅用于私人服务的后端连接。它是用来连接到控制飞机安全集群连接(SCC)继电器。
工作区端点和SCC继电器端点服务附件uri区域,看到的私人服务连接(PSC)附件uri和项目数字。
步骤1:启用您的帐户为私人服务连接
之前砖可以接受私人服务连接的连接从你的谷歌云项目,你必须联系你的砖代表每个工作区,并提供以下信息,你想使私人服务连接:
砖帐户ID
作为一个账户管理,去砖帐户的控制台。
底部的左边菜单(您可能需要滚动),单击用户按钮(图标)的人。
在出现的弹出,复制帐户ID通过单击图标右边的ID。
VPC主机项目的ID数据平面VPC,如果你是让私人服务的后端连接
VPC主机项目的ID交通VPC,如果你是使前端私人服务连接
地区的工作区
重要的
砖代表的回复进行确认一旦砖配置为接受私人服务连接的连接从你的谷歌云项目。这需要三个工作日。
步骤2:创建一个子网
在数据平面VPC网络,创建一个子网专为私人服务连接端点。下面的说明假定使用的是谷歌的云主机,但您还可以使用gcloudCLI执行类似的任务。
创建一个子网:
谷歌的云主机,云去VPC列表页面。
点击添加子网。
设置名称、描述和地区。
如果目的字段是可见的(可能不可见),选择没有一个:
设置一个私有IP子网范围,如
10.0.0.0/24。重要的
你的IP范围不能重叠有下列:
自带食物VPC的子网,二级IPv4范围。
子网持有私人服务连接端点。
GKE集群IP范围,这是一个领域,当你创建砖工作区。
页面看起来通常如下:
确认你的子网是添加到VPC视图为您的VPC谷歌云控制台:
步骤3:创建VPC端点
您需要创建VPC端点连接到数据砖服务附件。服务附件url随工作空间区域。下面的说明假定使用的是谷歌的云主机,但您还可以使用gcloudCLI执行类似的任务。说明创建VPC端点服务附件使用gcloudCLI或API,请参阅谷歌的文章“创建一个私有服务端点连接”。
创建子网,创建以下VPC端点服务附件从你的数据平面VPC:
工作区端点。这个后缀结尾
plproxy-psc-endpoint。安全集群连接继电器端点。这个后缀结尾
ngrok-psc-endpoint
创建一个VPC端点在谷歌云控制台:
在谷歌云控制台,去私人服务连接。
单击连接的端点选项卡。
点击+连接端点。
为目标中,选择发布的服务。
为目标服务,输入服务附件URI。
重要的
看到桌子上区域服务附件参考得到两个砖服务附件uri工作区区域。
端点的名称,输入一个名称使用的端点。
选择一个VPC网络端点。
选择一个子网的端点。指定你为私人服务创建连接的子网端点。
为端点选择IP地址。如果你需要一个新的IP地址:
单击IP地址下拉菜单并选择创建IP地址。
输入一个名称和描述(可选)。
对于一个静态IP地址,选择自动分配或让我选择。
如果你选择让我选择,输入自定义的IP地址。
点击储备。
从下拉列表中选择一个名称空间,或者创建一个新的命名空间。该地区人口的基础上,选定的子网。
单击Add端点。
端点的数据平面VPC工作区服务附件URI是这样的:
端点的数据平面VPC工作区服务附件URI是这样的:
第四步:配置前端的私人访问
为前端配置私人访问数据砖客户私人服务连接:
创建一个交通VPC网络或重用现有的一个。
创建或重用一个子网私有IP范围访问前端的私人服务连接端点。
重要的
确保您的用户可以访问虚拟机或设备子网。
创建一个VPC端点从交通VPC工作区(
plproxy-psc-endpoint)服务附件。的全名为您的地区使用,明白了私人服务连接(PSC)附件uri和项目数字。
这个端点的形式在谷歌云控制台看起来通常如下:
第五步:注册您的VPC端点
使用帐户控制台
注册你的谷歌云端点使用砖帐户的控制台。
去砖帐户的控制台。
单击云资源选项卡,然后VPC端点。
点击注册VPC端点。
对于每一个你的私人服务连接端点,填写注册一个新的VPC端点所需的字段:
VPC端点名称:一个人类可读的名字来识别VPC端点。砖建议使用相同的作为你的私人服务连接端点ID,但这不是必需的,这些比赛。
地区:谷歌云地区私人服务连接端点定义。
谷歌云VPC网络工程ID:谷歌云项目ID定义这个端点。为后端连接,这是您的工作区项目ID的VPC网络。对于前端连接,这是项目ID的VPC用户连接产生,有时被称为一个交通VPC。
下表显示了每个端点什么信息需要使用如果您使用后端和前端私人服务连接。
端点类型 |
场 |
例子 |
|---|---|---|
前端交通VPC端点( |
VPC端点名称(砖推荐匹配的谷歌云端点ID) |
|
谷歌云VPC网络工程ID |
|
|
谷歌云区域 |
|
|
后端数据平面VPC休息/工作区端点( |
VPC端点名称(砖推荐匹配的谷歌云端点ID) |
|
谷歌云VPC网络工程ID |
|
|
谷歌云区域 |
|
|
后端数据平面VPC SCC继电器端点( |
VPC端点名称(砖推荐匹配的谷歌云端点ID) |
|
谷歌云VPC网络工程ID |
|
|
谷歌云区域 |
|
当你完成,你可以使用VPC端点列表在账户控制台中审查并确认的端点列表信息。它看起来一般是这样的:
使用API
API参考信息,请参阅API参考文档,特别是对于VPC端点。
注册一个VPC端点使用REST API:
创建一个谷歌标识牌。按照说明上与谷歌身份验证ID标记对帐户级别api。API来注册一个VPC端点需要谷歌访问令牌,这是除了Google ID。
使用
旋度或另一个REST API客户端,做一个帖子请求accounts.gcp.www.neidfyre.com服务器和调用/账户/ <帐户id > / vpc-endpoints端点。请求参数如下:参数
描述
vpc_endpoint_name人类可读的名称注册端点
gcp_vpc_endpoint_info端点的细节,作为一个JSON对象有以下字段:
project_id:项目IDpsc_endpoint_name:PSC端点的名字endpoint_region:谷歌云地区的端点
检查JSON响应。这返回一个对象,类似于请求负载但响应有一些额外的字段。响应字段:
参数
描述
vpc_endpoint_name人类可读的名称注册端点
account_id砖帐户ID
use_caseWORKSPACE_ACCESSgcp_vpc_endpoint_info端点的细节,作为一个JSON对象有以下字段:
project_id:项目IDpsc_endpoint_name:PSC端点的名字endpoint_region:谷歌云地区的端点psc_connection_id:PSC连接IDservice_attachment_id附件:PSC服务ID
以下旋度示例添加额外要求谷歌访问令牌HTTP头和寄存器VPC端点:
旋度\- x的帖子\——头“授权:无记名< google-id-token >”\——头“X-Databricks-GCP-SA-Access-Token: < access-token-sa-2 >”\https://accounts.gcp.www.neidfyre.com/api/2.0/accounts/ <帐户id > / vpc-endpoints - h“application / json内容类型:- d”{vpc_endpoint_name”:“psc-demo-dp-rest-api”," gcp_vpc_endpoint_info ": {:“project_id databricks-dev-xpn-host”,:“psc_endpoint_name psc-demo-dp-rest-api”,:“endpoint_region us-east4”}'
步骤6:创建一个砖私有访问设置的对象
创建一个私人访问设置对象,它定义了几个私人服务连接设置您的工作区。这个对象将被附加到您的工作空间中。一个私人访问设置对象可以被附加到多个工作区。
使用帐户控制台
创建一个砖私人使用砖账户控制台访问设置对象:
去砖帐户的控制台。
单击云资源选项卡,然后私有访问设置。
点击添加私有访问设置。
设置必需的字段:
私有访问设置名称:人类可读的名字来识别这个私有访问设置对象。
地区:该地区VPC端点之间的连接和工作区,这私人访问设置对象配置。
公共访问启用:指定是否允许公共访问。仔细的选择这个值,因为它不能改变后创建私有访问设置对象。
如果启用了公共访问,用户可以配置IP访问列表允许/阻止公共访问的工作区(从公共互联网)使用这个私人访问设置对象。
如果公共访问是禁用的,没有公共交通可以访问使用这种私人访问设置对象的工作区。不影响公共访问IP访问列表。
请注意
在这两种情况下,IP访问列表不能阻止私人交通从私人服务连接,因为从公共网络访问只列出了控制访问。
私人访问级别:一个规范来限制访问只有经过授权的私人服务连接的连接。它可以是以下值之一:
账户:任何VPC端点注册你的砖帐户可以访问该工作区。这是默认值。
端点:只有你明确指定的VPC端点可以访问工作区。如果你选择这个值,你可以选择从您的注册VPC端点。
使用API
API参考信息,请参阅API参考文档,特别是对于私有访问设置。
创建数据砖私人使用REST API访问设置对象:
如果你没有这样做,或者如果您的令牌过期了,创建一个谷歌标识牌。按照说明上与谷歌身份验证ID标记对帐户级别api。API创建一个私人设置的对象不需要一个谷歌访问令牌,这需要一些api。你需要谷歌其他步骤的访问令牌,但不是为这一步。
使用
旋度或另一个REST API客户端,做一个帖子请求accounts.gcp.www.neidfyre.com服务器和调用/账户/ <帐户id > / private-access-settings端点。请求参数如下:参数
描述
private_access_settings_name人类可读的私人访问设置对象的名称
地区谷歌云地区的私人访问设置对象
private_access_level定义了VPC端点工作区接受:
账户:工作区只接受VPC端点的砖账户注册的工作空间。这是默认值,如果省略了。端点:工作区只接受VPC端点所明确列出的单独的IDallowed_vpc_endpoints字段。
allowed_vpc_endpointsVPC端点IDs允许列表的数组。只有使用
private_access_level是端点。public_access_enabled指定是否允许公共访问。仔细的选择这个值,因为它不能改变后创建私有访问设置对象。
如果启用了公共访问,用户可以配置IP访问列表允许/阻止公共访问的工作区(从公共互联网)使用这个私人访问设置对象。
如果公共访问是禁用的,没有公共交通可以访问使用这种私人访问设置对象的工作区。不影响公共访问IP访问列表。
请注意
在这两种情况下,IP访问列表不能阻止私人交通从私人服务连接,因为从公共网络访问只列出了控制访问。只有VPC端点中定义
allowed_vpc_endpoints可以访问您的工作区。检查响应。这返回一个对象,类似于请求对象,但额外的字段:
account_id:砖帐户ID。private_access_settings_id:私人访问设置对象ID。
例如:
旋度\- x的帖子\——头“授权:无记名< google-id-token >”\https://accounts.gcp.www.neidfyre.com/api/2.0/accounts/ <帐户id > / private-access-settings - h“application / json内容类型:- d”{:“private_access_settings_name psc-demo-pas-account”,“地区”:“us-east4”,“private_access_level”:“账户”,“public_access_enabled”:没错,}'
这生成一个响应类似于:
{“private_access_settings_id”:“999999999 - 95 - af - 4 - abc - ab7c b590193a9c74”,“account_id”:“实际帐户id > <”,“private_access_settings_name”:“psc-demo-pas-account”,“地区”:“us-east4”,“public_access_enabled”:真正的,“private_access_level”:“账户”}
提示
如果你想回顾私人使用的API访问设置对象的集合,做一个得到请求https://accounts.gcp.www.neidfyre.com/api/2.0/accounts/ <帐户id > / private-access-settings端点。
第七步:创建一个网络配置
创建一个砖网络配置,它封装了customer-managed VPC的信息为您的工作区。这个对象将被附加到您的工作空间中。
使用帐户控制台
创建一个网络配置使用帐户控制台:
如果您还没有为你创造了你的VPC工作区,现在这样做。
去砖帐户的控制台。
单击云资源选项卡,然后网络配置。
点击添加网络配置。
场 |
示例值 |
|---|---|
网络配置名称 |
|
网络质量项目ID |
|
VPC的名字 |
|
子网的名字 |
|
区域的子网 |
|
次要的IP范围GKE吊舱 |
|
二次GKE服务IP范围名称 |
|
VPC端点安全集群连接继电器 |
|
REST api VPC端点(后端连接到工作区) |
|
使用API
使用REST API创建砖网络配置的对象:
如果您还没有为你创造了你的VPC工作区,现在这样做。
如果你没有这样做,或者如果您的令牌过期了,创建一个谷歌标识牌。按照说明上与谷歌身份验证ID标记对帐户级别api。创建一个网络配置做需要一个谷歌访问令牌,除了Google ID。
使用
旋度或另一个REST API客户端,做一个帖子请求accounts.gcp.www.neidfyre.com服务器和调用/账户/ <帐户id > /网络端点。审查所需的和可选的参数创建网络API。看到的文档为账户创建网络配置操作API。的参数集下面不能重复操作。
的私人服务连接支持,请求JSON必须添加参数
vpc_endpoints。它列出了注册端点的砖id和分为属性不同的用例。端点定义为数组但你提供不超过一个VPC端点在每个数组。这两个字段rest_api:VPC端点为工作区连接,使用数据平面上调用REST api控制飞机。dataplane_relay:VPC的端点安全集群连接继电器连接。
例如:
“vpc_endpoints”:{“rest_api”:(“63 d375c1 - 3 - ed8 - 403 b - 9 - a3d a648732c88e1”),“dataplane_relay”:(“d76a5c4a - 0451 - 4 - b19 - a4a8 b3df93833a26”]},
检查响应。这返回一个对象,类似于请求对象,但以下额外的字段:
account_id:砖帐户ID。
以下旋度示例添加额外要求谷歌访问令牌HTTP头和创建一个网络配置:
旋度\- x的帖子\——头“授权:无记名< google-id-token >”\——头“X-Databricks-GCP-SA-Access-Token: < access-token-sa-2 >”\https://accounts.gcp.www.neidfyre.com/api/2.0/accounts/ <帐户id > /网络- h“application / json内容类型:- d”{:“network_name psc-demo-network”," gcp_network_info ": {:“network_project_id databricks-dev-xpn-host”,:“vpc_id psc-private-preview-demo-dp-vpc”,:“subnet_id subnet-psc-private-preview-demo-dp-vpc”,:“subnet_region us-east4”,“pod_ip_range_name”:“pod”,:“service_ip_range_name svc”}," vpc_endpoints ": {“rest_api”:(“9999999 - 3 - ed8 - 403 b - 9 - a3d a648732c88e1”),“dataplane_relay”:(“9999999 - 0451 - 4 - b19 - a4a8 b3df93833a26”]}}'
这生成一个响应类似于:
{“network_id”:“b039f04c - 9 - b72 - 4973 - 8当- 97 - cf8defb1d7”,“account_id”:“实际帐户id > <”,“vpc_status”:“未婚”,“network_name”:“psc-demo-network”,“creation_time”:1658445719081,“vpc_endpoints”:{“rest_api”:(“63 d375c1 - 3 - ed8 - 403 b - 9 - a3d a648732c88e1”),“dataplane_relay”:(“d76a5c4a - 0451 - 4 - b19 - a4a8 b3df93833a26”]},“gcp_network_info”:{“network_project_id”:“databricks-dev-xpn-host”,“vpc_id”:“psc-private-preview-demo-dp-vpc”,“subnet_id”:“subnet-psc-private-preview-demo-dp-vpc”,“subnet_region”:“us-east4”,“pod_ip_range_name”:“紫蚕岛”,,“service_ip_range_name”:“svc”}}
提示
如果你想检查网络配置对象的集合使用API,使得到请求https://accounts.gcp.www.neidfyre.com/api/2.0/accounts/ <帐户id > /网络端点。
第八步:创建一个工作区
创建一个工作区使用您创建的网络配置。
使用帐户控制台
创建工作区与帐户控制台:
去砖帐户的控制台。
单击工作区选项卡。
点击创建工作区。
设置这些标准工作区字段:
工作区名称
地区
谷歌云项目ID(项目工作空间的计算资源,这可能是不同的项目ID VPC)。
确保使私有集群检查。
IP范围GKE主资源
私人设置服务连接特定字段:
点击高级配置。
在网络配置字段中,选择你的网络配置您在前面的步骤中创建。
在私人的连接字段中,选择您的私有访问设置您在前面的步骤中创建的对象。注意,一个私有访问设置对象可以被附加到多个工作区。
点击保存。
使用API
使用REST API创建砖工作区:
如果你没有这样做,或者如果您的令牌过期了,创建一个谷歌标识牌。按照说明上与谷歌身份验证ID标记。重要的是要注意以下说明这个页面:
API来注册一个VPC端点是一个户头级别API。
注册一个VPC的API端点做需要一个谷歌访问令牌,提到一些所需的api。
使用
旋度或另一个REST API客户端,做一个帖子请求accounts.gcp.www.neidfyre.com服务器和调用/账户/ <帐户id > /工作区端点。审查所需的和可选的参数创建工作区API。看到的文档创建工作区操作帐户API。参数的设置,这里不重复操作。
的私人服务连接支持,请求JSON必须添加参数
private_access_settings_id。将其设置为私人设置的砖ID对象创建。ID是在响应private_access_settings_id。
检查响应。这返回一个对象,类似于请求对象,但附加字段。看到的文档创建工作区操作帐户API然后单击响应代码201 (
成功)。字段的设置下面的响应不重复。
以下旋度示例添加额外要求谷歌访问令牌HTTP头并创建一个工作区:
旋度\- x的帖子\——头“授权:无记名< google-id-token >”\——头“X-Databricks-GCP-SA-Access-Token: < access-token-sa-2 >”\https://accounts.gcp.www.neidfyre.com/api/2.0/accounts/ <帐户id > /工作区- h“application / json内容类型:- d”{:“workspace_name psc-demo-workspace”,“pricing_tier”:“溢价”," cloud_resource_container ": {"质量":{:“project_id示例项目”}},“位置”:“us-east4”,“private_access_settings_id”:“9999999 - 95 - af - 4 - abc - ab7c b590193a9c74”,“network_id”:“9999999 - 9 - b72 - 4973 - 8当- 97 - cf8defb1d7”," gke_config ": {:“gke_connectivity_type PRIVATE_NODE_PUBLIC_MASTER”,:“gke_cluster_master_ip_range 10.5.0.0/28”}}'
这生成一个响应类似于:
{“workspace_id”:999997997552291,“workspace_name”:“ps-demo-workspace”,“creation_time”:1669744259011,“deployment_name”:“7732657997552291.1”,“workspace_status”:“运行”,“account_id”:“实际帐户id > <”,“workspace_status_message”:“工作空间运行。”,“pricing_tier”:“溢价”,“private_access_settings_id”:“93 b1ba70 - 95 - af - 4 - abc - ab7c b590193a9c74”,“位置”:“us-east4”,“云”:“质量”,“network_id”:“b039f04c - 9 - b72 - 4973 - 8当- 97 - cf8defb1d7”,“gke_config”:{“connectivity_type”:“PRIVATE_NODE_PUBLIC_MASTER”,“master_ip_range”:“10.5.0.0/28”},“cloud_resource_container”:{“质量”:{“Project_id”:“示例项目”}}}
提示
如果你想回顾工作区使用API的集合,做一个得到请求https://accounts.gcp.www.neidfyre.com/api/2.0/accounts/ <帐户id > /工作区端点。
第九步:验证工作区配置
创建工作区后,回到工作区页面找到您新创建的工作区。它通常需要30秒到3分钟工作区交通供应地位运行的地位。后的状态变化运行成功,您的工作区配置。
您可以使用砖帐户验证配置控制台:
点击云资源然后网络配置。找到你的网络配置VPC使用帐户控制台。审查确认所有字段是正确的。
点击工作区并找到工作。确认工作空间运行:
提示
如果你想回顾工作区使用API的集合,做一个得到请求https://accounts.gcp.www.neidfyre.com/api/2.0/accounts/ <帐户id > /工作区端点。
第十步:配置DNS
以下部分描述的前端和后端DNS配置单独的步骤。
前端DNS配置
本节将展示如何创建一个私人DNS区域的前端连接。
你可以共享一个运输VPC多个工作区。然而,每个交通VPC必须只包含使用前端PSC的工作区,或不使用前端PSC的工作区。由于DNS解析的工作方式在谷歌云,你不能使用这两种类型的工作区与单个运输VPC。
确保你有你的工作空间的URL为你部署砖工作区。这类似于形式https://33333333333333.3.gcp.www.neidfyre.com。你可以得到这个URL从web浏览器或当你浏览一个工作区账户控制台在其工作空间的列表。
创建一个私有DNS区域包括交通VPC网络。使用谷歌在云中云主机DNS页面,点击创建区域。
在DNS名称字段,类型
gcp.www.neidfyre.com。在网络字段中,选择你的运输VPC网络。
点击创建。
创建DNS
一个记录您的工作区URL映射到plproxy-psc-endpoint私人服务连接端点IP。定位的私人服务连接端点IP
plproxy-psc-endpoint私人服务连接端点。在这个例子中,假设为私人服务的IP连接端点psc-demo-user-cp是10.0.0.2。创建一个
一个记录工作空间的URL映射到私人服务连接端点IP。在这种情况下,域名(比如地图你独特的工作空间33333333333333333.3.gcp.www.neidfyre.com)为私人服务的IP地址连接端点,这在我们之前的例子10.0.0.2但是你的数量可能会有所不同。创建一个
一个记录映射dp - < workspace-url >私人服务IP连接端点。在这种情况下,使用示例工作区URL映射dp-333333333333333.3.gcp.www.neidfyre.com来10.0.0.2,但这些值可能不同。
如果用户将使用一个web浏览器在用户VPC访问工作区,必须创建一个支持身份验证
一个记录映射< workspace-gcp-region > .psc-auth.gcp.www.neidfyre.com来10.0.0.2。在这种情况下,地图us-east4.psc-auth.gcp.www.neidfyre.com来10.0.0.2。前端连接,这一步通常是必要的,但如果你计划从交通网络前端连接只对REST api(不是web浏览器用户访问),您可以省略这一步。
下面显示了谷歌云控制台将显示一个公认为前端私人服务端点连接DNS配置:
你带的前端DNS配置一个记录映射到您的工作区URL和砖身份验证服务看起来通常如下:
后端DNS配置
本节将展示如何创建一个私人DNS区域包括数据平面VPC网络。您需要创建DNS记录两个工作区URL映射到plproxy-psc-endpoint私人服务端点的IP连接:
确保你有你的工作空间的URL为你部署砖工作区。这类似于形式https://33333333333333.3.gcp.www.neidfyre.com。你可以得到这个URL从web浏览器或当你浏览一个工作区账户控制台在其工作空间的列表。
定位的私人服务连接端点IP
plproxy-psc-endpoint私人服务连接端点。使用工具等网路资讯查询获得IP地址。我们想要地图为私人服务的IP连接端点
psc-demo-dp-rest-api来10.10.0.2。下面显示了谷歌云控制台将显示一个公认为后端私人服务端点连接DNS配置:
创建以下
一个记录的映射:你的工作空间域(如
33333333333333.3.gcp.www.neidfyre.com)10.10.0.2你的工作空间域前缀
dp -,如dp-33333333333333.3.gcp.www.neidfyre.com)10.10.0.2
在同一区
gcp.www.neidfyre.com,创建一个私人DNS记录SCC继电器URL映射到SCC继电器端点ngrok-psc-endpoint利用其端点IP。SCC继电器URL的格式:
隧道。< workspace-gcp-region > .gcp.www.neidfyre.com。在这个例子中,SCC继电器的URLtunnel.us-east4.gcp.www.neidfyre.com。定位的私人服务连接端点IP
ngrok-psc-endpoint私人服务连接端点。在本例中,为私人服务的IP连接端点psc-demo-dp-ngrok是10.10.0.3。创建一个
一个记录映射tunnel.us-east4.gcp.www.neidfyre.com来10.10.0.3。
的列表一个记录在你的区域看起来一般如下:
验证您的DNS配置
在VPC网络,确保你的DNS正确配置:
在你运输VPC网络,使用网路资讯查询工具来确认以下url现在解决前端私人服务连接端点IP。
< workspace-url >dp - < workspace-url >< workspace-gcp-region > .psc-auth.gcp.www.neidfyre.com
在您的数据平面VPC网络,使用网路资讯查询工具来确认以下url解决正确的私人服务连接端点IP
< workspace-url >映射到私人服务IP连接端点的端点plproxy-psc-endpoint它的名字。dp - < workspace-url >映射到私人服务IP连接端点的端点plproxy-psc-endpoint它的名字。隧道。< workspace-gcp-region > .gcp.www.neidfyre.com映射到私人服务IP连接端点的端点ngrok-psc-endpoint它的名字。
步骤11(可选):配置metastore访问
特性,比如SQL访问控制列表(acl)需要访问metastore。由于数据平面VPC不能访问公共网络默认情况下,您必须创建一个云与访问metastore NAT。看到控制飞机的服务端点的IP地址。
你可以另外配置一个防火墙来防止入口和出口流量来自其他来源。另外,如果你不想配置一个云NAT VPC,另一个选择是配置一个外部metastore私人联系。
步骤12(可选):配置IP访问列表
从用户私人服务前端连接连接默认工作区允许公众访问。
您可以配置允许或拒绝公众访问工作区当你创建一个私有访问设置对象。看到步骤6:创建一个砖私有访问设置的对象。
如果你选择否认公共访问,不允许公众访问工作区。
如果您选择允许公众访问,你可以配置IP访问列表为你的砖工作区。IP访问列表只适用于在互联网上请求来自公共IP地址。你不能使用IP访问列表块私人交通从私人服务连接。
阻止所有访问互联网:
启用IP访问列表的工作区。看到IP访问列表工作区。
创建一个
块0.0.0.0/0IP访问列表。
注意,请求VPC网络连接使用私有服务连接不影响IP访问列表。连接被授权使用私人服务连接访问级别的配置。看到相关的部分步骤6:创建一个砖私有访问设置的对象。
步骤13(可选):配置VPC服务控制
除了私下使用私人服务连接到连接到砖服务,您可以配置VPC服务控制保持你的私人和减轻交通数据漏出的风险。
添加您的数据平面VPC服务控制服务周边的项目
对于每个砖的工作空间,您可以添加以下谷歌云VPC服务控制的项目服务范围:
数据平面VPC主机项目
项目包含DBFS存储桶的工作区
服务项目包含工作空间的计算资源
在这个配置中,您需要授权访问下面两个:
砖的计算资源和DBFS存储桶控制飞机
从数据平面VPC Databricks-managed存储桶
能给予上述访问下面的入口和出口规定上述VPC服务控制服务周边。
把项目编号为这些入口和出口规则,明白了私人服务连接(PSC)附件uri和项目数字。
导入规则
您需要添加一个入口规则授予访问您的VPC服务控制服务从砖控制平面VPC的周长。下面是一个示例导入规则:
来自:身份:ANY_IDENTITY源>项目= < regional-control-plane-vpc-host-project-number > < regional-control-plane-uc-project-number > < regional-control-plane-audit-log-delivery-project-number >:项目= <数据平面项目id列表>服务=服务名称:storage.googleapis.com服务方法:所有操作服务名称:compute.googleapis.com服务方法:所有操作服务名称:container.googleapis.com服务方法:所有操作服务名称:logging.googleapis.com服务方法:所有操作服务名称:cloudresourcemanager.googleapis.com服务方法:所有操作服务名称:iam.googleapis.com服务方法:所有操作
出口规则
您需要添加一个出口规则授予访问Databricks-managed VPC存储桶从数据平面。下面是一个例子出口规则:
来自:身份:ANY_IDENTITY:项目= < regional-control-plane-asset-project-number > < regional-control-plane-vpc-host-project-number >服务=服务名称:storage.googleapis.com服务方法:所有操作服务名称:containerregistry.googleapis.com服务方法:containers.registry.read
获得的访问数据存储桶湖VPC服务控制
您可以添加谷歌云项目包含数据存储桶湖VPC服务控制服务周边。
您不需要任何额外的入口或出口规则如果数据存储桶和湖砖工作区项目在同一个VPC服务控制服务周边。
如果数据存储桶湖在一个单独的VPC服务控制服务周边,您需要配置如下:
湖入口规则对数据服务范围:
允许访问云存储的数据平面VPC砖
允许访问云存储的数据砖VPC使用控制飞机项目id地区页面上的记录。这个访问需要砖引入了新的数据治理的特征,如统一目录。
出口规定砖数据平面的服务范围:
允许出口的云存储数据湖上项目