Información general sobre las redes de Batch

En este documento se explican los conceptos de redes de Batch, incluidas las opciones de redes, cuándo configurar las redes y cómo funcionan.

Opciones de redes

Las opciones de red controlan cómo se conecta Batch con otras fuentes, como Internet y otros recursos y servicios. Google Cloud

Batch tiene las siguientes opciones de red:

• Especifica la red de un trabajo o usa la red predeterminada.
• Usar restricciones de red adicionales:
  • Bloquea las conexiones externas de los entornos de ejecución de trabajos, ya sean todas las máquinas virtuales o contenedores específicos.
  • Protege los recursos y los datos de Batch mediante los Controles de Servicio de VPC.

Para obtener más información sobre qué opciones de red usar en Batch, consulta Cuándo configurar la red en este documento. Para obtener más información sobre los conceptos de redes de cada opción, consulta la sección Cómo funcionan las redes de este documento.

Cuándo configurar la red

Consulta esta sección para determinar si debes configurar la red cuando uses Batch o si debes usar la configuración de red predeterminada.

Debes configurar la red de Batch en los siguientes casos:

• Si tu proyecto o red usa Controles de Servicio de VPC para restringir el acceso a la red de Batch, debes configurar la red siguiendo las instrucciones de la documentación Usar Controles de Servicio de VPC con Batch.
• Si la restricción de la política de la organización compute.vmExternalIpAccess requiere que tu proyecto cree VMs sin direcciones IP externas o si tu red usa Acceso privado de Google, debes crear trabajos que bloqueen el acceso externo de todas las VMs.

• Si no puedes o no quieres usar la red predeterminada, debes especificar la red de los trabajos.

  Para determinar si puedes usar la red predeterminada en un trabajo, comprueba lo siguiente:

  • La red predeterminada existe en tu proyecto. Los proyectos nuevos Google Cloud incluyen automáticamente la red predeterminada a menos que se habilite la restricción de la compute.skipDefaultNetworkCreation política de organización.
  • La red predeterminada admite cualquier requisito de red específico que tengas. Ten en cuenta que, si se modifica la red predeterminada de tu proyecto, es posible que tú u otros usuarios tengáis problemas. Si necesitas más información sobre la red predeterminada, consulta la sección Configuración de red predeterminada de este documento.

Aunque no sea obligatorio, puede que quieras configurar la red para mejorar la seguridad de tus recursos y datos de Batch. Por ejemplo, si quieres mejorar la seguridad de los trabajos que usan contenedores y no bloquear el acceso externo de todas las VMs, puedes crear trabajos que bloqueen el acceso externo de uno o varios contenedores. Usar una red no predeterminada o restricciones de red adicionales puede ayudarte a implementar los principios de privilegio mínimo. Para obtener más información sobre las opciones que puedes usar para configurar la red de Batch, consulta el artículo Cómo funciona la red de este documento.

De lo contrario, si no necesitas o no quieres configurar la red, puedes crear un trabajo sin especificar ninguna opción de red para usar la configuración de red predeterminada.

Cómo funciona la creación de redes

En las siguientes secciones se explican los conceptos de redes de Batch:

• Red de trabajo
• Restricciones de redes adicionales
• Configuración de red predeterminada

Red de empleo

Todos los trabajos se ejecutan en máquinas virtuales (VMs) de Compute Engine, que deben formar parte de una red de Google Cloud nube privada virtual (VPC) y de una subred de esa red.

Las redes de VPC conectan las VMs a otras fuentes, como Internet y otros Google Cloud recursos y servicios. Cada red consta de al menos una subred, que es uno o varios intervalos de direcciones IP asociados a una región. Cada máquina virtual tiene una interfaz de red con una dirección IP interna y una dirección IP externa opcional que se asignan desde la subred. Puedes configurar reglas de cortafuegos de VPC para permitir o denegar conexiones de las VMs de una red. Todas las redes tienen reglas de cortafuegos implícitas que bloquean todas las conexiones entrantes y permiten todas las conexiones salientes. Normalmente, una red de VPC solo se puede usar en su proyecto, pero, si quieres usar la misma red en varios proyectos, puedes usar la VPC compartida.

En resumen, cada trabajo se ejecuta en máquinas virtuales que usan direcciones IP para establecer conexiones controladas por las reglas de cortafuegos de la red.

Para obtener más información sobre los conceptos de redes, consulta el artículo Información general sobre las redes de las VMs de la documentación de Compute Engine y el artículo Información general sobre la nube privada virtual (VPC) de la documentación de VPC.

Restricciones de redes adicionales

Para mejorar la seguridad, una configuración de red puede implicar más restricciones que solo las reglas de cortafuegos de su red. Por ejemplo, tu proyecto u organización pueden usar restricciones de políticas de la organización u otros servicios de Google Cloud para restringir la red.

En las siguientes secciones se explican las opciones habituales para restringir aún más la red:

• Bloquear las conexiones externas de los entornos de ejecución de trabajos
• Restringir el acceso a la red de Batch mediante Controles de Servicio de VPC

Bloquear las conexiones externas de los entornos de ejecución de trabajos

Puedes bloquear las conexiones externas directamente al entorno de ejecución y desde él de un trabajo mediante una de las siguientes opciones:

• Bloquea el acceso externo de todas las VMs de un trabajo. Bloquea el acceso externo de las VMs de un trabajo para crear un trabajo que se ejecute en VMs sin direcciones IP externas. Esta opción suele ser obligatoria para una red o un proyecto, o bien se usa de forma opcional para mejorar la seguridad.

  Solo se puede acceder a las VMs sin direcciones IP externas a través de sus direcciones IP internas desde otro nodo de la misma red, por lo que debes configurar el acceso a estas VMs de la siguiente manera:

  • Para ejecutar un trabajo en VMs sin direcciones IP externas, usa Cloud NAT o Acceso privado de Google para permitir el acceso a los dominios de las APIs y los servicios que usa tu trabajo. Por ejemplo, todos los trabajos por lotes usan las APIs Batch y Compute Engine, y muy a menudo usan la API Cloud Logging.

  • Si tú u otros usuarios necesitáis conectaros a VMs sin direcciones IP externas, consulta la sección Elegir una opción de conexión para VMs solo internas de la documentación de Compute Engine.

• Bloquear el acceso externo a uno o varios contenedores de un trabajo Si un trabajo usa contenedores y aún no bloquea el acceso externo para todas sus VMs, puedes elegir si quieres bloquear el acceso externo para cada contenedor. Esta opción es opcional. Se puede usar para mejorar la seguridad cuando especifiques la red de un trabajo o cuando crees un trabajo que use la configuración de red predeterminada.

Proteger los recursos y los datos de Batch mediante los Controles de Servicio de VPC

Además de bloquear el acceso externo de todas las VMs de un trabajo, puedes restringir aún más la red mediante Controles de Servicio de VPC.

A diferencia de las otras opciones de red que se explican en este documento, que solo pueden restringir la red de las VMs o los contenedores que ejecutan trabajos, Controles de Servicio de VPC te permite restringir el acceso a la red de los recursos y los datos de los servicios. Por ejemplo, los trabajos y los datos de Batch. Google Cloud

Puedes usar Controles de Servicio de VPC para crear perímetros que protejan los recursos y los datos de los Google Cloud servicios que especifiques. El perímetro de servicio aísla los servicios y recursos seleccionados, bloqueando las conexiones con servicios que estén fuera del perímetro y las conexiones de Internet que no se hayan permitido explícitamente. Google Cloud Para obtener más información, consulta la documentación de Controles de Servicio de VPC y el artículo Usar Controles de Servicio de VPC con Batch.

Configuración de red predeterminada

Cuando creas un trabajo y no especificas ninguna opción de red, las VMs del trabajo usan la red predeterminada y la subred de la ubicación de la VM.

Cada proyecto tiene una red predeterminada llamada default, a menos que la elimines o la inhabilites mediante la restricción de la política de organización compute.skipDefaultNetworkCreation. La red predeterminada es una red en modo automático, por lo que tiene una subred en cada región. Además de las reglas de cortafuegos implícitas de cada red, la red default también tiene reglas de cortafuegos predefinidas que permiten el acceso para casos prácticos habituales. Para obtener más información, consulta la sección Reglas predefinidas en la red predeterminada de la documentación de VPC.

Si no tienes ningún requisito de red para un trabajo y no quieres configurar la red, puedes usar la configuración de red predeterminada. Para obtener más información sobre cuándo usar la configuración de red predeterminada, consulta la sección Cuándo configurar la red de este documento.

Siguientes pasos

• Configurar la red de Batch:
  • Especificar la red de un trabajo
  • Bloquear el acceso externo a una tarea
  • Usar Controles de Servicio de VPC con Batch
• También puedes crear un trabajo que use la configuración de red predeterminada. Para ello, consulta el artículo Crear y ejecutar un trabajo básico.
• También puedes controlar el acceso a un trabajo mediante una cuenta de servicio personalizada.