Batch-Netzwerk – Übersicht

In diesem Dokument werden Netzwerkkonzepte für Batch erläutert, einschließlich Netzwerkoptionen, Zeitpunkt der Netzwerkkonfiguration und Funktionsweise des Netzwerks.

Netzwerkoptionen

Mit den Netzwerkoptionen wird festgelegt, wie Batch mit anderen Quellen wie dem Internet und anderen Google Cloud Ressourcen und Diensten verbunden ist.

Batch bietet folgende Netzwerkoptionen:

  • Geben Sie das Netzwerk für einen Job an oder verwenden Sie das Standardnetzwerk.
  • Verwenden Sie zusätzliche Netzwerkeinschränkungen:
    • Externe Verbindungen für Job-Laufzeitumgebungen blockieren, entweder alle VMs oder bestimmte Container.
    • Schützen Sie Batch-Ressourcen und ‑Daten mit VPC Service Controls.

Weitere Informationen dazu, welche Netzwerkoptionen für Batch verwendet werden sollten, finden Sie in diesem Dokument unter Wann Sie das Netzwerk konfigurieren sollten. Weitere Informationen zu den Netzwerkkonzepten für die einzelnen Optionen finden Sie in diesem Dokument unter Funktionsweise von Netzwerken.

Wann das Netzwerk konfiguriert werden sollte

In diesem Abschnitt erfahren Sie, ob Sie das Netzwerk bei der Verwendung von Batch konfigurieren oder die Standardnetzwerkkonfiguration verwenden sollten.

In den folgenden Fällen müssen Sie die Netzwerkkonfiguration für Batch konfigurieren:

  • Wenn in Ihrem Projekt oder Netzwerk VPC Service Controls verwendet werden, um den Netzwerkzugriff für Batch einzuschränken, müssen Sie das Netzwerk gemäß der Dokumentation VPC Service Controls mit Batch verwenden konfigurieren.
  • Wenn die Organisationsrichtlinien-Einschränkung compute.vmExternalIpAccess für Ihr Projekt erfordert, dass VMs ohne externe IP-Adressen erstellt werden, oder wenn in Ihrem Netzwerk der private Google-Zugriff verwendet wird, müssen Sie Jobs erstellen, die den externen Zugriff für alle VMs blockieren.

  • Wenn Sie das Standardnetzwerk nicht verwenden können oder möchten, müssen Sie das Netzwerk für Jobs angeben.

    Prüfen Sie Folgendes, um festzustellen, ob Sie das Standardnetzwerk für einen Job verwenden können:

    • Das Standardnetzwerk ist für Ihr Projekt vorhanden. NeueGoogle Cloud -Projekte enthalten automatisch das Standardnetzwerk, es sei denn, die Einschränkung der Organisationsrichtlinie compute.skipDefaultNetworkCreation ist aktiviert.
    • Das Standardnetzwerk unterstützt alle spezifischen Netzwerkanforderungen, die Sie haben. Wenn das Standardnetzwerk für Ihr Projekt geändert wird, können Sie oder andere Nutzer Probleme haben. Weitere Informationen zum Standardnetzwerk finden Sie in diesem Dokument unter Standardnetzwerkkonfiguration.

Auch wenn es nicht erforderlich ist, sollten Sie das Netzwerk konfigurieren, um die Sicherheit Ihrer Batch-Ressourcen und ‑Daten zu verbessern. Wenn Sie beispielsweise die Sicherheit für Jobs mit Containern verbessern und den externen Zugriff nicht für alle VMs blockieren möchten, können Sie optional Jobs erstellen, die den externen Zugriff nur für einen oder mehrere Container blockieren. Wenn Sie ein anderes Netzwerk als das Standardnetzwerk verwenden oder zusätzliche Netzwerkeinschränkungen festlegen, können Sie die Prinzipien der geringsten Berechtigung implementieren. Weitere Informationen zu den Optionen, mit denen Sie das Netzwerk für Batch konfigurieren können, finden Sie in diesem Dokument unter Funktionsweise von Netzwerken.

Wenn Sie das Netzwerk nicht konfigurieren müssen oder möchten, können Sie einen Job erstellen, ohne Netzwerkoptionen anzugeben, um die Standardnetzwerkkonfiguration zu verwenden.

So funktioniert Networking

In den folgenden Abschnitten werden die Netzwerkkonzepte für Batch erläutert:

Jobnetzwerk

Jeder Job wird auf Compute Engine-VMs ausgeführt, die Teil eines Google Cloud VPC-Netzwerks (Virtual Private Cloud) und eines Subnetzes dieses Netzwerks sein müssen.

VPC-Netzwerke verbinden VMs mit anderen Quellen wie dem Internet und anderen Google Cloud Ressourcen und Diensten. Jedes Netzwerk besteht aus mindestens einem Subnetzwerk, auch Subnetz genannt. Das sind einer oder mehrere Bereiche von IP-Adressen, die einer Region zugeordnet sind. Jede VM hat eine Netzwerkschnittstelle mit einer internen IP-Adresse und einer optionalen externen IP-Adresse, die aus dem Subnetz zugewiesen werden. Sie können VPC-Firewallregeln konfigurieren, um Verbindungen für die VMs in einem Netzwerk zuzulassen oder abzulehnen. Jedes Netzwerk hat implizite Firewallregeln, die alle eingehenden Verbindungen blockieren und alle ausgehenden Verbindungen zulassen. Normalerweise kann ein VPC-Netzwerk nur innerhalb seines Projekts verwendet werden. Wenn Sie dasselbe Netzwerk jedoch für mehrere Projekte verwenden möchten, können Sie eine freigegebene VPC verwenden.

Zusammenfassend lässt sich sagen, dass jeder Job auf VMs ausgeführt wird, die jeweils IP-Adressen verwenden, um Verbindungen herzustellen, die von den Firewallregeln für das Netzwerk gesteuert werden.

Weitere Informationen zu Netzwerkkonzepten finden Sie in der Compute Engine-Dokumentation unter Netzwerkübersicht für VMs und in der VPC-Dokumentation unter Virtual Private Cloud (VPC) – Übersicht.

Zusätzliche Netzwerkeinschränkungen

Um die Sicherheit zu verbessern, kann eine Netzwerkkonfiguration mehr Einschränkungen als nur die Firewallregeln für das Netzwerk umfassen. Ihr Projekt oder Ihre Organisation kann beispielsweise Einschränkungen für Organisationsrichtlinien oder andere Google Cloud Dienste verwenden, um die Vernetzung einzuschränken.

In den folgenden Abschnitten werden gängige Optionen zum weiteren Einschränken der Netzwerkverbindung beschrieben:

Externe Verbindungen für Job-Laufzeitumgebungen blockieren

Sie können externe Verbindungen direkt zur und von der Laufzeitumgebung für einen Job blockieren. Dazu haben Sie folgende Möglichkeiten:

  • Externen Zugriff für alle VMs für einen Job blockieren. Blockieren Sie den externen Zugriff für die VMs eines Jobs, um einen Job zu erstellen, der auf VMs ohne externe IP-Adressen ausgeführt wird. Diese Option ist häufig für ein Netzwerk oder Projekt erforderlich oder wird optional zur Verbesserung der Sicherheit verwendet.

    Auf VMs ohne externe IP-Adressen kann nur über ihre internen IP-Adressen von einem anderen Knoten im selben Netzwerk zugegriffen werden. Sie müssen daher den Zugriff auf diese VMs konfigurieren. Gehen Sie dazu so vor:

    • Wenn Sie einen Job auf VMs ohne externe IP-Adressen ausführen möchten, verwenden Sie Cloud NAT oder den privaten Google-Zugriff, um den Zugriff auf die Domains für die APIs und Dienste zuzulassen, die von Ihrem Job verwendet werden. So werden beispielsweise für alle Batchjobs die Batch- und Compute Engine APIs und sehr häufig die Cloud Logging API verwendet.

    • Wenn Sie oder andere Nutzer eine Verbindung zu VMs ohne externe IP-Adressen herstellen müssen, lesen Sie den Abschnitt Verbindungsoption für ausschließlich interne VMs auswählen in der Compute Engine-Dokumentation.

  • Externen Zugriff für einen oder mehrere Container für einen Job blockieren. Wenn für einen Job Container verwendet werden und der externe Zugriff für alle VMs noch nicht blockiert ist, können Sie festlegen, ob der externe Zugriff für jeden Container blockiert werden soll. Diese Option ist optional. Sie kann verwendet werden, um die Sicherheit zu verbessern, wenn Sie das Netzwerk für einen Job angeben oder einen Job erstellen, der die Standardnetzwerkkonfiguration verwendet.

Batchressourcen und ‑daten mit VPC Service Controls schützen

Zusätzlich zum Blockieren des externen Zugriffs für alle VMs für einen Job können Sie mit VPC Service Controls optional das Netzwerk weiter einschränken.

Im Gegensatz zu den anderen in diesem Dokument beschriebenen Netzwerkoptionen, mit denen das Netzwerk nur für die VMs oder Container eingeschränkt werden kann, die Jobs ausführen, können Sie mit VPC Service Controls den Netzwerkzugriff für die Ressourcen und Daten für Google Cloud Dienste einschränken, z. B. für Batchjobs und Daten.

Mit VPC Service Controls können Sie Perimeter zum Schutz von Ressourcen und Daten von Diensten erstellen, die Sie angeben. Google Cloud Der Dienstperimeter isoliert die ausgewählten Dienste und Ressourcen und blockiert Verbindungen mit Diensten Google Cloud außerhalb des Perimeters sowie alle Verbindungen aus dem Internet, die nicht explizit zugelassen sind. Weitere Informationen finden Sie in der Dokumentation zu VPC Service Controls und unter VPC Service Controls mit Batch-Vorgängen verwenden.

Standardnetzwerkkonfiguration

Wenn Sie einen Job erstellen und keine Netzwerkoptionen angeben, verwenden die VMs des Jobs das Standardnetzwerk und das Subnetz für den Speicherort der VM.

Jedes Projekt hat ein Standardnetzwerk mit dem Namen default, es sei denn, Sie löschen es oder deaktivieren es mithilfe der Organisationsrichtlinienbeschränkung compute.skipDefaultNetworkCreation. Das Standardnetzwerk ist ein Netzwerk im automatischen Modus und hat daher ein Subnetz in jeder Region. Zusätzlich zu den impliziten Firewallregeln für jedes Netzwerk enthält das default-Netzwerk auch vordefinierte Firewallregeln, die den Zugriff für gängige Anwendungsfälle zulassen. Weitere Informationen finden Sie in der VPC-Dokumentation unter Vorab ausgefüllte Regeln im Standardnetzwerk.

Sie können die Standardnetzwerkkonfiguration verwenden, wenn Sie keine Netzwerkanforderungen für einen Job haben und das Netzwerk nicht konfigurieren möchten. Weitere Informationen dazu, wann die Standardnetzwerkkonfiguration verwendet werden sollte, finden Sie in diesem Dokument unter Wann sollte das Netzwerk konfiguriert werden?

Nächste Schritte