Сеть в Managed Service for Trino

При создании кластера вы можете задать следующие сетевые настройки:

• Сеть и подсеть в ее пределах.

  Для подсети действуют определенные требования, так как кластер выделяет специальные IP-адреса.

• Группы безопасности для разрешения только определенного исходящего трафика.

• Приватный доступ, чтобы кластер был доступен только через сервисное подключение.

IP-адреса кластераIP-адреса кластера

Кластер Managed Service for Trino выделяет специальные IP-адреса в своей подсети. С них кластер подключается к другим ресурсам Yandex Cloud. Вы можете добавить каталог и настроить его на подключение к ресурсам в вашем облаке, которые поддерживаются коннекторами Managed Service for Trino.

По умолчанию IP-адреса кластера работают только во внутренней сети. Если нужно предоставить кластеру доступ к ресурсам в интернете, настройте NAT-шлюз.

IP-адреса кластера Managed Service for Trino распределяются динамически и могут быть изменены, например при техническом обслуживании. Поэтому при необходимости определить адреса кластера используйте диапазоны подсетей вместо конкретных адресов. Например, если вы используете Yandex Cloud Interconnect для подключения кластера Managed Service for Trino к вашей собственной (on-premise) инфраструктуре, то в настройках межсетевого экрана лучше добавить в исключения весь диапазон подсети.

Требования к подсетям кластераТребования к подсетям кластера

Для подсети кластера Managed Service for Trino должны выполняться следующие условия:

• Диапазон IP-адресов кластера не пересекается со служебным диапазоном IP-адресов 10.248.0.0/13, через который Yandex Cloud управляет компонентами кластера Managed Service for Trino.

  Если условие не выполняется, при создании кластера возникнет ошибка.

  Требование относится в том числе к сетям в вашей собственной (on-premise) инфраструктуре, если она подключена к кластеру Managed Service for Trino через Yandex Cloud Interconnect. Из кластера Trino не получится установить подключение к ресурсам с IP-адресами из диапазона 10.248.0.0/13.

• Диапазон подсети включает не менее 2 × N свободных IP-адресов, где N — это суммарное количество экземпляров всех компонентов кластера Managed Service for Trino. Допустим, кластер состоит из координатора и четырех воркеров. Тогда N = 5, и в подсети должно быть не меньше десяти свободных адресов.

  Если вы настроили автоматическое изменение количества воркеров, используйте при расчетах максимально возможное количество воркеров в кластере.

Группы безопасностиГруппы безопасности

Группы безопасности не ограничивают входящий трафик кластера Managed Service for Trino и не влияют на доступность веб-интерфейса Trino. Настраивать правила для входящего трафика не нужно.

Вы можете использовать группы безопасности, чтобы задавать правила для исходящего трафика, например при настройке нового каталога.

Если вы не назначили кластеру Managed Service for Trino ни одной группы безопасности, ему автоматически назначается группа, используемая по умолчанию.

Сервисное подключениеСервисное подключение

Для защиты кластера Managed Service for Trino от внешнего доступа может использоваться сервисное подключение (Private Endpoint). Оно позволяет подключаться к кластеру по внутренним IP-адресам VPC без доступа в интернет.

Сервисное подключение для Managed Service for Trino создается и настраивается в сервисе Yandex Virtual Private Cloud. При создании сервисного подключения в VPC автоматически создаются следующие объекты:

• Подключению назначается внутренний IP-адрес в сети, для которой создано это подключение.
• В сервисной DNS-зоне добавляются записи A-типа *.trino.pe.yandexcloud.net и trino.pe.yandexcloud.net для обращения к эндпоинту кластера Managed Service for Trino. В DNS-записях указан внутренний IP-адрес, выделенный для сервисного подключения.

Чтобы использовать сервисное подключение, при создании кластера Managed Service for Trino включите приватный доступ к кластеру.