Customer-managed VPC
重要的
該功能需要在您的帳戶保費計劃。
概述
默認情況下,你的磚工作空間的計算資源,如磚GKE內運行時創建集群的集群在穀歌雲虛擬私有雲(VPC)網絡。磚創建和配置這個VPC雲在你的穀歌賬戶。
或者,您可以選擇創建你的磚在現有的工作空間customer-managed VPC你在穀歌創建雲賬戶。您可以使用一個customer-managed VPC鍛煉更多的控製你的網絡配置符合特定的雲安全組織和治理標準,可能需要。
customer-managed VPC是很好的解決方案,如果你有:
安全策略,防止PaaS提供者創建vpc穀歌雲在自己的帳戶。
一個審批流程創建一個新的VPC, VPC的配置和安全記錄的方式通過內部信息安全或雲工程團隊。
福利包括:
低特權級別:保持更多的控製自己的穀歌雲賬戶。磚不需要盡可能多的權限需要默認Databricks-managed VPC。有限的權限要求可以更容易獲得批準使用磚堆在你的平台。Beplay体育安卓版本看到低特權級別customer-managed vpc。
鞏固vpc:配置多個磚工作區平麵VPC共享一個數據。這通常是首選的計費和管理實例。
使用customer-managed VPC,您必須指定它當您創建磚工作區賬戶控製台。你不能移動現有Databricks-managed VPC的VPC的工作區。在工作區中創建之後你不能改變這customer-managed VPC工作區使用。
低特權級別customer-managed vpc
在創建一個工作區,磚創建一個服務帳戶和資助一個角色與權限磚需要管理您的工作區。
如果您的工作區使用customer-managed VPC,它不需要盡可能多的權限。磚的角色創建省略了權限,如創建、更新和刪除對象(如網絡、路由器和子網。的完整列表,請參閱權限自定義角色,磚資助服務帳戶。
需求
出口需求
作為創建一個工作空間的一部分,磚創建一個在VPC GKE集群。默認情況下,這是一個私人GKE集群,這意味著沒有公共IP地址。私人GKE集群,您提供的子網和二級IP範圍必須允許對外公共互聯網流量,默認不允許他們去做。為了支持出口,您可以添加一個穀歌雲NAT或使用類似的方法。看到步驟1:創建和設置VPC。
請注意
如果你選擇一個公共GKE集群,您的工作區沒有安全集群連接因為計算節點的公共IP地址。
網絡需求
下表列出了網絡資源和屬性使用的要求CIDR標記。
網絡資源或屬性 |
描述 |
有效範圍 |
|---|---|---|
子網範圍 |
VPC的IP範圍從分配你的工作空間的GKE集群節點。分級的建議和計算,看到計算子網大小為一個新的工作區。 |
的範圍從 |
子網區域 |
區域的子網 |
子網區域必須匹配地區磚的工作區提供GKE集群運行您的工作區。 |
二次範圍GKE豆莢 |
VPC的IP範圍從分配你的工作空間的GKE集群豆莢。 |
的範圍從 |
二次GKE服務範圍 |
VPC的IP範圍從分配你的工作空間的GKE集群服務。 |
的範圍從 |
分享一個VPC多個工作區
你可以使用穀歌雲VPC與多個工作區。您必須確保每個工作空間的子網不重疊。使用單獨的穀歌雲項目對於每個工作區,分開VPC的項目中,使用穀歌所說的共享VPC。有關詳細信息,請參見項目需求。
項目需求
的穀歌雲項目與你的VPC可以匹配工作空間的項目,但它不是必需的。
如果你使用一個標準的VPC,穀歌所說的獨立的VPC磚使用相同的穀歌的雲項目為以下:
VPC網絡
資源數據磚為計算和存儲資源創建為每個工作區。計算資源包括GKE集群和集群節點。存儲資源包括兩個係統數據和根DBFS GCS桶。
如果你想讓你的VPC有不同的Google雲計算項目的計算和存儲資源,您必須創建穀歌所說的共享VPC而不是一個獨立的VPC。共享VPC允許您將資源從多個項目連接到一個共同的VPC網絡相互通信使用內部ip網絡。
請注意
術語說明:
不要混淆術語共享VPC是否有多個工作區分享VPC。可以使用兩個獨立的vpc和共享vpc與單個磚工作區或多個工作區。
一個共享VPC也被稱為交叉項目網絡或XPN。磚文檔使用術語共享VPC最常見的使用穀歌文檔。
您可能想使用一個不同的項目工作區資源由於各種原因:
你想單獨計費元數據為每個工作區歸因和預算成本計算為每個業務單位有自己的磚工作區,但單個VPC,主機所有的工作區。
你想為每個目的限製每個項目的權限。例如,您所使用的項目,每個工作空間的計算和存儲資源不需要創建一個VPC的許可。
你的組織可能需要這種方法對穀歌雲應用程序。
穀歌所稱的主持的項目是你VPC的項目。穀歌所稱的服務項目是磚的項目使用每個工作空間的計算和存儲資源。
角色需求
的主要執行一個操作必須為每個操作有特定要求的角色。
重要的
項目的主體,需要特定的角色取決於你如何執行的操作。
為一個獨立的VPC賬戶,穀歌有一個雲項目VPC和資源部署。如果你的VPC穀歌所說的共享VPC,它意味著VPC有一個單獨的項目從項目用於每個工作空間的計算和存儲資源。共享VPC,執行操作的實體(用戶或服務帳戶)必須有特定的角色這兩個VPC的項目和工作空間的項目。有關詳細信息,請參閱下麵的表。共享vpc的詳細信息,請參閱項目需求。
創建工作區customer-managed VPC,你需要創建一個網絡配置的角色和一個工作區。
操作 |
所需的角色在工作空間的項目如果你的VPC是一個獨立的VPC |
所需的角色在這個項目如果你VPC VPC共享 |
|---|---|---|
下麵列出執行所有customer-managed VPC操作 |
所有者( |
VPC的項目:查看器( |
創建網絡配置 |
查看器( |
在VPC的項目和工作空間的項目:查看器( |
刪除網絡配置 |
沒有一個 |
沒有一個 |
創建一個磚工作區 |
(一)查看器( |
VPC的項目:查看器( |
刪除一個工作區 |
所有者( |
VPC的項目:不需要任何角色。在工作區項目:(a)所有者( |
步驟1:創建和設置VPC
決定你是否想要創建穀歌所說的一個獨立的VPC或共享VPC。共享VPC允許您指定一個穀歌VPC雲項目,為每個單獨的項目工作區。磚使用工作區項目創建工作空間的存儲和計算資源。看到項目需求。
使用VPC的同一項目對於每個工作空間的計算和存儲資源,創建一個獨立的VPC。
否則,創建一個共享VPC。
創建一個VPC根據網絡需求:
創建一個獨立的VPC,使用穀歌雲控製台或者是穀歌CLI。使用穀歌CLI創建一個獨立的VPC的IP範圍足夠磚工作區,運行以下命令。取代
<地區>與穀歌的雲地區你計劃來創建你的磚工作區。取代< vpc-name >用一個新的VPC的名字。取代< subnet-name >用一個新的子網的名字。取代<項目id >與項目獨立VPC的ID。gcloud配置集項目<項目id >創建< vpc-name >——subnet-mode gcloud計算網絡=自定義gcloud計算網絡子網創建< subnet-name >\——網絡=< vpc-name >——範圍=10.0.0.0/16——地區=<地區>\——secondary-range圓莢體=10.1.0.0/16,svc=10.2.0.0/20
在這個例子中,二級IP範圍命名
圓莢體和svc。這些名字後麵相關的配置步驟。創建一個共享的VPC:
如果您計劃使用私人GKE集群對於任何工作區VPC,工作區創建期間默認設置,計算資源節點沒有公共IP地址。
請注意
如果你打算使用公共GKE集群在工作區中創建,創建公共IP地址計算資源節點,在本節跳到下一步。
與私人GKE集群支持工作區,VPC必須包括資源,允許出口(出站)流量VPC公共網絡,這樣你的工作區可以連接到磚控製飛機。
使出口的一種簡單的方法是添加一個穀歌雲NAT。按照說明穀歌的文章“設置網絡地址轉換與雲NAT”。這種方法使出口目的地。如果你想隻限製出口所需的目的地,你可以現在或以後使用中的說明使用防火牆限製網絡出口您的工作區。
如果你使用穀歌CLI在這個步驟中,您可以使用以下命令。取代
< vpc-name >VPC的名字在前麵的步驟中指定。取代< nat-name >與新NAT的名字。<地區>替換為該地區名稱,你打算使用你的工作區(或多個工作區在同一地區):gcloud計算路由器創建了路由器上——網絡=< vpc-name >——地區=<地區> gcloud計算路由器nats創建< nat-name >\——路由器=我的路由器\——auto-allocate-nat-external-ips\——nat-all-subnet-ip-ranges\——router-region=<地區>
更多的例子,看到穀歌的文章”例子GKE設置”。
第二步:確認或添加項目角色管理用戶帳戶
的主要執行一個操作必須為每個操作有特定要求的角色。看到角色需求所需的角色創建工作區和其他相關業務
重要的
項目的主體,需要特定的角色取決於你如何執行的操作。
確認或更新角色的主要項目:
第三步:注冊您的網絡與數據磚,創建一個網絡配置對象
注冊您的網絡(VPC)作為一種新的磚網絡配置對象。
去賬戶控製台。
在左側導航中,單擊雲資源
。點擊添加網絡配置。
在一個單獨的瀏覽器窗口,打開穀歌雲控製台。
導航到您的VPC。
點擊你的子網的名字。穀歌雲控製台顯示一個頁麵,其中包含子網的細節和其他信息您所需要的形式。
將信息複製到添加網絡配置的形式。
輸入一個人類可讀的網絡配置在第一個字段的名稱。
為您的VPC名稱輸入正確的值,子網名稱和子網的區域。
進入二級IP範圍GKE豆莢和服務。如果使用前麵的例子創建獨立的VPC的
gcloudCLI命令,這些次要的IP範圍命名圓莢體和svc。點擊添加。
。