Сеть в Managed Service for Trino
При создании кластера вы можете задать следующие сетевые настройки:
-
Сеть и подсеть в ее пределах.
Для подсети действуют определенные требования, так как кластер выделяет специальные IP-адреса.
-
Группы безопасности для разрешения только определенного исходящего трафика.
IP-адреса кластера
Кластер Managed Service for Trino выделяет специальные IP-адреса в своей подсети. С них кластер подключается к другим ресурсам Yandex Cloud. Вы можете добавить каталог и настроить его на подключение к ресурсам в вашем облаке, которые поддерживаются коннекторами Managed Service for Trino.
По умолчанию IP-адреса кластера работают только во внутренней сети. Если нужно предоставить кластеру доступ к ресурсам в интернете, настройте NAT-шлюз.
IP-адреса кластера Managed Service for Trino распределяются динамически и могут быть изменены, например при техническом обслуживании. Поэтому при необходимости определить адреса кластера используйте диапазоны подсетей вместо конкретных адресов. Например, если вы используете Yandex Cloud Interconnect для подключения кластера Managed Service for Trino к вашей собственной (on-premise) инфраструктуре, то в настройках межсетевого экрана лучше добавить в исключения весь диапазон подсети.
Требования к подсетям кластера
Для подсети кластера Managed Service for Trino должны выполняться следующие условия:
-
Диапазон IP-адресов кластера не пересекается со служебным диапазоном IP-адресов 10.248.0.0/13, через который Yandex Cloud управляет компонентами кластера Managed Service for Trino.
Если условие не выполняется, при создании кластера возникнет ошибка.
Требование относится в том числе к сетям в вашей собственной (on-premise) инфраструктуре, если она подключена к кластеру Managed Service for Trino через Yandex Cloud Interconnect. Из кластера Trino не получится установить подключение к ресурсам с IP-адресами из диапазона 10.248.0.0/13.
-
Диапазон подсети включает не менее
2 × Nсвободных IP-адресов, гдеN— это суммарное количество экземпляров всех компонентов кластера Managed Service for Trino. Допустим, кластер состоит из координатора и четырех воркеров. ТогдаN = 5, и в подсети должно быть не меньше десяти свободных адресов.Если вы настроили автоматическое изменение количества воркеров, используйте при расчетах максимально возможное количество воркеров в кластере.
Группы безопасности
Группы безопасности не ограничивают входящий трафик кластера Managed Service for Trino и не влияют на доступность веб-интерфейса Trino. Настраивать правила для входящего трафика не нужно.
Вы можете использовать группы безопасности, чтобы задавать правила для исходящего трафика, например при настройке нового каталога.
Совет
Перед подключением из кластера Managed Service for Trino к другому ресурсу Yandex Cloud убедитесь, что группы безопасности этого ресурса разрешают такое подключение.
Если вы не назначили кластеру Managed Service for Trino ни одной группы безопасности, ему автоматически назначается группа, используемая по умолчанию.