Bloccare l'accesso esterno per un job

Questo documento spiega come configurare un job batch per bloccare l'accesso esterno per tutte le relative VM o container specifici.

Blocca l'accesso esterno per un job per soddisfare i requisiti di rete o migliorare la sicurezza. Devi bloccare l'accesso esterno alle VM di un job utilizzando VM senza indirizzi IP esterni se si verifica una delle seguenti condizioni:

Il progetto è limitato dal vincolo del criterio dell'organizzazione compute.vmExternalIpAccess.
La rete specificata per il job utilizza l'accesso privato Google per configurare la connettività privata alle API e ai servizi Google. L'accesso privato Google non ha effetto sulle VM che hanno indirizzi IP esterni.

Se la rete specificata per il job utilizza l'accesso privato Google con i Controlli di servizio VPC per il batch, consulta Utilizzare i controlli di servizio VPC e il batch.

In alternativa, se non vuoi bloccare tutti gli accessi esterni diretti per un job, puoi bloccare l'accesso esterno per tutti i container eseguiti da un job.

Per ulteriori informazioni sui concetti di networking e su quando configurare il networking, consulta la Panoramica del networking in batch.

Prima di iniziare

Se non hai mai utilizzato Batch, consulta la Guida introduttiva all'utilizzo di Batch e abilita Batch completando i prerequisiti per progetti e utenti.
Per ottenere le autorizzazioni necessarie per creare un job che blocca l'accesso esterno, chiedi all'amministratore di concederti i seguenti ruoli IAM:
- Editor job batch (roles/batch.jobsEditor) nel progetto
- Utente account di servizio (roles/iam.serviceAccountUser) nell'account di servizio del job, che per impostazione predefinita è l'account di servizio Compute Engine predefinito
- Per identificare la rete e la subnet per un job: Visualizzatore di rete Compute (roles/compute.networkViewer) nel progetto
Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso.

Potresti anche essere in grado di ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.
Se blocchi l'accesso esterno per le VM di un job, devi identificare la rete che vuoi utilizzare per il job. La rete specificata per un job che blocca l'accesso esterno per le relative VM deve soddisfare i seguenti requisiti:
- La rete è una rete Virtual Private Cloud (VPC) che si trova nello stesso progetto del job o che è una rete VPC condivisa ospitata dal progetto del job o condivisa con quest'ultimo.
- La rete include una sottorete (subnet) nella località in cui vuoi eseguire il job.
- La rete consente qualsiasi accesso richiesto per il tuo job. Se blocchi l'accesso esterno per le VM di un job, la rete deve utilizzare Cloud NAT o l'accesso privato Google per consentire l'accesso ai domini per le API e i servizi utilizzati dal job. Ad esempio, tutti i job utilizzano le API Batch e Compute Engine e molto spesso l'API Cloud Logging.
Per ulteriori informazioni, consulta Creare e gestire le reti VPC.

Crea un job che blocca l'accesso esterno per tutte le VM

Blocca l'accesso esterno alle VM di un job quando lo crei. Quando blocchi l'accesso esterno per tutte le VM su cui viene eseguito un job, devi anche specificare una rete e una subnet che consentano al job di accedere alle API richieste.

Se vuoi utilizzare un modello di istanza VM durante la creazione di questo job, devi specificare la rete e disabilitare gli indirizzi IP esterni nel modello di istanza VM. In caso contrario, segui questi passaggi per bloccare l'accesso esterno per le VM di un job utilizzando l'interfaccia a riga di comando gcloud o l'API Batch.

gcloud

Per creare un job che blocchi l'accesso esterno utilizzando gcloud CLI, seleziona una delle seguenti opzioni:

Utilizzare i flag gcloud per bloccare l'accesso esterno per tutte le VM
Utilizzare i campi JSON per bloccare l'accesso esterno per tutte le VM

Utilizzare i flag gcloud per bloccare l'accesso esterno per tutte le VM

Per creare un job e utilizzare i flag gcloud per bloccare l'accesso esterno al job, completa i seguenti passaggi:

Crea un file JSON che specifichi i dettagli di configurazione del job.

Ad esempio, per creare un job di script di base, crea un file JSON con i contenuti seguenti.

{
  "taskGroups": [
    {
      "taskSpec": {
        "runnables": [
          {
            "script": {
              "text": "echo Hello world! This is task ${BATCH_TASK_INDEX}. This job has a total of ${BATCH_TASK_COUNT} tasks."
            }
          }
        ]
      },
      "taskCount": 3
    }
  ],
  "logsPolicy": {
    "destination": "CLOUD_LOGGING"
  }
}

Crea il job utilizzando il comando gcloud batch jobs submit. Per bloccare l'accesso esterno per tutte le VM, includi i flag --no-external-ip-address, --network e --subnetwork.
```
gcloud batch jobs submit JOB_NAME \
    --location LOCATION \
    --config JSON_CONFIGURATION_FILE \
    --no-external-ip-address \
    --network projects/HOST_PROJECT_ID/global/networks/NETWORK \
    --subnetwork projects/HOST_PROJECT_ID/regions/REGION/subnetworks/SUBNET
```
Sostituisci quanto segue:
- JOB_NAME: il nome di questo job.
- LOCATION: la località per questo job.
- JSON_CONFIGURATION_FILE: il percorso del file JSON con i dettagli di configurazione del job.
- HOST_PROJECT_ID: l'ID progetto del progetto per la rete specificata:
  - Se utilizzi una rete VPC condiviso, specifica il progetto host.
  - Altrimenti, specifica il progetto corrente.
- NETWORK: il nome di una rete VPC nel progetto attuale o di una rete VPC condivisa ospitata o condivisa con il progetto attuale.
- REGION: la regione in cui si trovano la subnet e le VM per il job:
  - Se includi il campo allowedLocations per specificare la località consentita per le VM per il job, devi specificare qui la stessa regione.
  - In caso contrario, la regione deve essere uguale alla località selezionata per il job (LOCATION).
- SUBNET: il nome di una subnet che fa parte della rete VPC e si trova nella stessa regione delle VM per il job.

Utilizzare i campi JSON per bloccare l'accesso esterno per tutte le VM

Per creare un job e utilizzare i campi del file di configurazione JSON per bloccare l'accesso esterno per tutte le VM, segui questi passaggi:

Crea un file JSON che specifichi i dettagli di configurazione del job. Per bloccare l'accesso esterno per tutte le VM:
- Imposta il campo noExternalIpAddress su true.
- Specifica la rete per il job nei campi network e subnetwork.
Ad esempio, per creare un job di script di base che blocca l'accesso esterno per tutte le VM, crea un file JSON con i seguenti contenuti.
```
{
  "taskGroups": [
    {
      "taskSpec": {
        "runnables": [
          {
            "script": {
              "text": "echo Hello world! This is task ${BATCH_TASK_INDEX}. This job has a total of ${BATCH_TASK_COUNT} tasks."
            }
          }
        ]
      },
      "taskCount": 3
    }
  ],
  "allocationPolicy": {
    "network": {
      "networkInterfaces": [
        {
          "network": "projects/HOST_PROJECT_ID/global/networks/NETWORK",
          "subnetwork": "projects/HOST_PROJECT_ID/regions/REGION/subnetworks/SUBNET",
          "noExternalIpAddress": true
        }
      ]
    }
  },
  "logsPolicy": {
    "destination": "CLOUD_LOGGING"
  }
}
```
Sostituisci quanto segue:
- HOST_PROJECT_ID: l'ID progetto del progetto per la rete specificata:
  - Se utilizzi una rete VPC condiviso, specifica il progetto host.
  - Altrimenti, specifica il progetto corrente.
- NETWORK: il nome di una rete che fornisce l'accesso necessario per questo job. La rete deve essere una rete VPC nel progetto attuale o una rete VPC condivisa ospitata dal progetto attuale o condivisa con il progetto attuale.
- REGION: la regione in cui si trovano la subnet e le VM per il job:
  - Se includi il campo allowedLocations per specificare la località consentita per le VM per il job, devi specificare qui la stessa regione.
  - In caso contrario, la regione deve essere uguale alla località selezionata per il job (LOCATION).
- SUBNET: il nome di una subnet che fa parte della rete VPC e si trova nella stessa regione delle VM per il job.
Crea il job utilizzando il comando gcloud batch jobs submit.
```
gcloud batch jobs submit JOB_NAME \
    --location LOCATION \
    --config JSON_CONFIGURATION_FILE
```
Sostituisci quanto segue:
- JOB_NAME: il nome che vuoi assegnare al job.
- LOCATION: la località che vuoi per il lavoro.
- JSON_CONFIGURATION_FILE: il percorso del file JSON con i dettagli di configurazione del job.

API

Per creare un job con l'API Batch, utilizza il metodo jobs.create e specifica i dettagli di configurazione del job. Per bloccare l'accesso esterno per tutte le VM:

Imposta il campo noExternalIpAddress su true.
Specifica la rete per il job nei campi network e subnetwork.

Ad esempio, per creare un job di script di base che blocchi l'accesso esterno per tutte le VM, effettua la seguente richiesta POST:

POST https://batch.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/jobs?job_id=JOB_NAME

{
  "taskGroups": [
    {
      "taskSpec": {
        "runnables": [
          {
            "script": {
              "text": "echo Hello world! This is task ${BATCH_TASK_INDEX}. This job has a total of ${BATCH_TASK_COUNT} tasks."
            }
          }
        ]
      },
      "taskCount": 3
    }
  ],
  "allocationPolicy": {
    "network": {
      "networkInterfaces": [
        {
          "network": "projects/HOST_PROJECT_ID/global/networks/NETWORK",
          "subnetwork": "projects/HOST_PROJECT_ID/regions/REGION/subnetworks/SUBNET",
          "noExternalIpAddress": true
        }
      ]
    }
  },
  "logsPolicy": {
    "destination": "CLOUD_LOGGING"
  }
}

Sostituisci quanto segue:

PROJECT_ID: l'ID progetto del progetto.
LOCATION: la località che vuoi per questo lavoro.
JOB_NAME: il nome che vuoi assegnare al job.
HOST_PROJECT_ID: l'ID progetto del progetto per la rete specificata:
- Se utilizzi una rete VPC condiviso, specifica il progetto host.
- Altrimenti, specifica il progetto corrente (PROJECT_ID).
NETWORK: il nome di una rete che fornisce l'accesso necessario per questo job. La rete deve essere una rete VPC nel progetto attuale o una rete VPC condivisa ospitata dal progetto attuale o condivisa con il progetto attuale.
REGION: la regione in cui si trovano la subnet e le VM per il job:
- Se includi il campo allowedLocations per specificare la località consentita per le VM per il job, devi specificare qui la stessa regione.
- In caso contrario, la regione deve essere uguale alla località selezionata per il job (LOCATION).
SUBNET: il nome di una subnet che fa parte della rete VPC e si trova nella stessa regione delle VM per il job.

Crea un job che blocca l'accesso esterno per uno o più container

Blocca l'accesso esterno per qualsiasi container di un job quando lo crei.

Puoi bloccare l'accesso esterno per qualsiasi container del job utilizzando gcloud CLI o l'API Batch.

gcloud

Per creare un job che blocchi l'accesso esterno per uno o più container utilizzando gcloud CLI, completa questi passaggi:

Crea un file JSON che specifichi i dettagli di configurazione del job. Per ogni container nel job che vuoi limitare, imposta il campo blockExternalNetwork su true.

Ad esempio, per creare un job di container di base che blocchi l'accesso esterno per il container, crea un file JSON con i seguenti contenuti.

{
  "taskGroups": [
    {
      "taskSpec": {
        "runnables": [
          {
            "container": {
              "imageUri": "gcr.io/google-containers/busybox",
              "entrypoint": "/bin/sh",
              "commands": [
                "-c",
                "echo Hello world! This is task ${BATCH_TASK_INDEX}. This job has a total of ${BATCH_TASK_COUNT} tasks."
              ],
              "blockExternalNetwork": true
            }
          }
        ]
      },
      "taskCount": 4,
      "parallelism": 2
    }
  ],
  "logsPolicy": {
    "destination": "CLOUD_LOGGING"
  }
}

Crea il job utilizzando il comando gcloud batch jobs submit.
```
gcloud batch jobs submit JOB_NAME \
    --location LOCATION \
    --config JSON_CONFIGURATION_FILE
```
Sostituisci quanto segue:
- JOB_NAME: il nome che vuoi assegnare al job.
- LOCATION: la località che vuoi per il lavoro.
- JSON_CONFIGURATION_FILE: il percorso del file JSON con i dettagli di configurazione del job.

API

Per creare un job con l'API Batch, utilizza il metodo jobs.create e specifica i dettagli di configurazione del job. Per ogni container nel job che vuoi limitare, imposta il campo blockExternalNetwork su true.

Ad esempio, per creare un job di container di base che blocca l'accesso esterno per il container, effettua la seguente richiesta POST:

POST https://batch.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/jobs?job_id=JOB_NAME

{
  "taskGroups": [
    {
      "taskSpec": {
        "runnables": [
          {
            "container": {
              "imageUri": "gcr.io/google-containers/busybox",
              "entrypoint": "/bin/sh",
              "commands": [
                "-c",
                "echo Hello world! This is task ${BATCH_TASK_INDEX}. This job has a total of ${BATCH_TASK_COUNT} tasks."
              ],
              "blockExternalNetwork": true
            }
          }
        ]
      },
      "taskCount": 4,
      "parallelism": 2
    }
  ],
  "logsPolicy": {
    "destination": "CLOUD_LOGGING"
  }
}

Sostituisci quanto segue:

PROJECT_ID: l'ID progetto del progetto.
LOCATION: la località che vuoi per questo lavoro.
JOB_NAME: il nome che vuoi assegnare al job.

Passaggi successivi

In caso di problemi durante la creazione o l'esecuzione di un job, consulta Risoluzione dei problemi.
Scopri di più sul networking.
Scopri di più sulla creazione di un job.
Scopri come visualizzare job e attività.