Questo documento illustra i concetti di networking per Batch, tra cui le opzioni di networking, la configurazione del networking e il funzionamento del networking.
Opzioni di networking
Le opzioni di Networking controllano il modo in cui Batch è connesso con altre origini, come internet e altre risorse e servizi Google Cloud.
Batch ha le seguenti opzioni di networking:
- Specifica la rete per un job o utilizza la rete predefinita.
- Utilizza ulteriori restrizioni di rete:
- Blocca le connessioni esterne per gli ambienti di runtime dei job, in tutte le VM o in container specifici.
- Proteggi le risorse e i dati in modalità batch utilizzando i Controlli di servizio VPC.
Per ulteriori informazioni sulla determinazione delle opzioni di networking da utilizzare per Batch, vedi Quando configurare il networking in questo documento. Per ulteriori informazioni sui concetti di networking per ciascuna opzione, consulta la sezione Come funziona il networking in questo documento.
Quando configurare il networking
Esamina questa sezione per determinare se configurare il networking durante l'utilizzo di batch o se utilizzare la configurazione di rete predefinita.
Devi configurare il networking per Batch nei seguenti casi:
- Se il tuo progetto o la tua rete utilizzano Controlli di servizio VPC per limitare l'accesso di rete per Batch, devi configurare il networking seguendo la documentazione Utilizzare i Controlli di servizio VPC con Batch.
- Se il vincolo del criterio dell'organizzazione
compute.vmExternalIpAccess
richiede che il progetto crei VM senza indirizzi IP esterni o se la tua rete utilizza l'accesso privato Google, devi creare job che blocchino l'accesso esterno per tutte le VM. Se non puoi o non vuoi utilizzare la rete predefinita, devi Specificare la rete per i job.
Per determinare se puoi utilizzare la rete predefinita per un job, verifica quanto segue:
- Esiste una rete predefinita per il progetto. I nuovi progetti Google Cloud includono automaticamente la rete predefinita, a meno che non sia abilitato il vincolo del criterio dell'organizzazione
compute.skipDefaultNetworkCreation
. - La rete predefinita supporta eventuali requisiti di rete specifici. In particolare, se la rete predefinita del progetto viene modificata, tu o altri utenti potreste riscontrare problemi. Se hai bisogno di ulteriori informazioni sulla rete predefinita, consulta Configurazione di rete predefinita in questo documento.
- Esiste una rete predefinita per il progetto. I nuovi progetti Google Cloud includono automaticamente la rete predefinita, a meno che non sia abilitato il vincolo del criterio dell'organizzazione
Anche se non è obbligatorio, può essere opportuno configurare il networking per migliorare la sicurezza delle risorse e dei dati di Batch. Ad esempio, se vuoi migliorare la sicurezza per i job che utilizzano i container e non bloccare l'accesso esterno per tutte le VM, puoi scegliere di creare job che blocchino l'accesso esterno solo per uno o più container. L'utilizzo di una rete non predefinita o di limitazioni di rete aggiuntive può aiutarti a implementare i principi del privilegio minimo. Per ulteriori informazioni sulle opzioni che puoi utilizzare per configurare il networking per Batch, vedi Come funziona il networking in questo documento.
Altrimenti, se non hai bisogno o non vuoi configurare il networking, puoi creare un job senza specificare alcuna opzione di networking per utilizzare la configurazione di rete predefinita.
Come funziona il networking
Le seguenti sezioni illustrano i concetti di networking per Batch:
Rete job
Ogni job viene eseguito su macchine virtuali (VM) Compute Engine, che devono far parte di una rete Virtual Private Cloud (VPC) di Google Cloud e di una subnet di tale rete.
Le reti VPC connettono le VM ad altre origini, come internet e altre risorse e servizi Google Cloud. Ogni rete è costituita da almeno una sottorete, nota anche come subnet, ovvero uno o più intervalli di indirizzi IP associati a un'area geografica. Ogni VM ha un'interfaccia di rete con un indirizzo IP interno e un indirizzo IP esterno facoltativo allocato dalla subnet. Puoi configurare le regole firewall VPC per consentire o negare le connessioni per le VM in una rete. In ogni rete sono previste regole firewall che bloccano tutte le connessioni in entrata e consentono tutte le connessioni in uscita. In genere, una rete VPC può essere utilizzata solo all'interno del relativo progetto, ma se vuoi utilizzare la stessa rete in più progetti, puoi utilizzare VPC condiviso.
In sintesi, ogni job viene eseguito su VM che usano ognuna degli indirizzi IP per effettuare connessioni controllate dalle regole firewall per la rete.
Per ulteriori informazioni sui concetti di networking, consulta la panoramica del networking per le VM nella documentazione di Compute Engine e la panoramica di Virtual Private Cloud (VPC) nella documentazione di VPC.
Ulteriori limitazioni di rete
Per migliorare la sicurezza, una configurazione di rete potrebbe prevedere più restrizioni rispetto alle sole regole firewall per la sua rete. Ad esempio, il tuo progetto o la tua organizzazione può utilizzare i vincoli dei criteri dell'organizzazione o altri servizi Google Cloud per limitare il networking.
Le seguenti sezioni illustrano le opzioni comuni per limitare ulteriormente il networking:
- Blocco delle connessioni esterne per gli ambienti di runtime dei job
- Limita l'accesso al networking per Batch utilizzando i Controlli di servizio VPC
Blocca le connessioni esterne per gli ambienti di runtime dei job
Puoi bloccare le connessioni esterne direttamente da e verso l'ambiente di runtime per un job utilizzando fino a una delle seguenti opzioni:
Blocca l'accesso esterno per tutte le VM per un job. Blocca l'accesso esterno alle VM di un job per creare un job eseguito su VM senza indirizzi IP esterni. Questa opzione è spesso obbligatoria per una rete o un progetto oppure viene utilizzata facoltativamente per migliorare la sicurezza.
È possibile accedere alle VM senza indirizzi IP esterni solo tramite i relativi indirizzi IP interni da un altro nodo sulla stessa rete. Per configurare l'accesso a queste VM, procedi nel seguente modo:
Per eseguire un job su VM senza indirizzi IP esterni, utilizza Cloud NAT o l'accesso privato Google per consentire l'accesso ai domini per le API e i servizi utilizzati dal job. Ad esempio, tutti i job batch utilizzano le API Batch e Compute Engine e molto spesso usano l'API Cloud Logging.
Se tu o altri utenti dovete connettervi a VM senza indirizzi IP esterni, consulta Scegliere un'opzione di connessione per le VM solo interne nella documentazione di Compute Engine.
Blocca l'accesso esterno per uno o più container per un job. Se un job utilizza i container e non blocca già l'accesso esterno per tutte le sue VM, puoi scegliere se bloccare l'accesso esterno per ogni container. Questa opzione è facoltativa e può essere utilizzata per migliorare la sicurezza quando specifichi la rete per un job o quando crei un job che utilizza la configurazione di rete predefinita.
Proteggi le risorse e i dati in modalità batch utilizzando i Controlli di servizio VPC
Oltre a bloccare l'accesso esterno per tutte le VM per un job, puoi facoltativamente limitare ulteriormente il networking utilizzando i Controlli di servizio VPC.
A differenza delle altre opzioni di networking illustrate in questo documento, che possono limitare il networking solo per le VM o i container che eseguono job, Controlli di servizio VPC consente di limitare l'accesso al networking per le risorse e i dati per i servizi Google Cloud, ad esempio job e dati in batch.
Puoi utilizzare Controlli di servizio VPC per creare perimetri che proteggono le risorse e i dati dei servizi Google Cloud da te specificati. Il perimetro di servizio isola i servizi e le risorse selezionati, bloccando le connessioni con i servizi Google Cloud al di fuori del perimetro e le eventuali connessioni da internet non consentite esplicitamente. Per ulteriori informazioni, consulta la documentazione sui controlli di servizio VPC e utilizzare i controlli di servizio VPC con batch.
Configurazione di rete predefinita
Quando crei un job e non specifichi alcuna opzione di networking, le VM del job utilizzano la rete predefinita e la subnet per la località della VM.
Ogni progetto ha una rete predefinita denominata default
, a meno che non la elimini o la disabiliti utilizzando il vincolo del criterio dell'organizzazione compute.skipDefaultNetworkCreation
.
La rete predefinita è una rete in modalità automatica, quindi ha una subnet in ogni regione. Oltre alle regole firewall integrate per ogni rete, la rete default
dispone anche di regole firewall precompilate, che consentono l'accesso per i casi d'uso comuni. Per ulteriori informazioni, consulta Regole precompilate nella rete predefinita nella documentazione relativa a VPC.
Valuta la possibilità di utilizzare la configurazione di rete predefinita se non hai requisiti di rete per un job e non vuoi configurare il networking. Per maggiori dettagli su quando utilizzare la configurazione di rete predefinita, vedi Quando configurare il networking in questo documento.
Passaggi successivi
- Configura il networking per Batch:
- In alternativa, per creare un job che utilizza la configurazione di rete predefinita, consulta Creare ed eseguire un job di base.
- Puoi anche controllare l'accesso a un job utilizzando un account di servizio personalizzato.