En este documento, se explican los conceptos de herramientas de redes para Batch, incluidas las opciones, cuándo se configuran y cómo funcionan.
Opciones de trabajo en red
Las opciones de herramientas de redes controlan cómo Batch se conecta con otras fuentes, como Internet y otros recursos y servicios de Google Cloud.
Batch tiene las siguientes opciones de herramientas de redes:
- Especifica la red para un trabajo o usa la red predeterminada.
- Usa restricciones de red adicionales:
- Bloquea las conexiones externas para los entornos de ejecución de trabajos, ya sea todas las VMs o los contenedores específicos.
- Proteger los recursos y datos de Batch mediante los Controles del servicio de VPC
Si deseas obtener más información sobre cómo determinar qué opciones de red usar para lotes, consulta Cuándo configurar redes en este documento. Si deseas obtener más información sobre los conceptos de las herramientas de redes para cada opción, consulta Cómo funcionan las herramientas de redes en este documento.
Cuándo configurar las herramientas de redes
Revisa esta sección para determinar si debes configurar las herramientas de redes cuando se usa Batch o la configuración de redes predeterminada.
Debes configurar las herramientas de redes para Batch en los siguientes casos:
- Si tu proyecto o red usa Controles del servicio de VPC a fin de restringir el acceso a herramientas de redes para Batch, debes configurar las herramientas de redes según la documentación sobre cómo usar los Controles del servicio de VPC con Batch.
- Si la restricción de la política de la organización
compute.vmExternalIpAccess
requiere que tu proyecto cree VM sin direcciones IP externas o si la red usa Acceso privado a Google, debes crear trabajos que bloqueen el acceso externo para todas las VM. Si no puedes usar la red predeterminada o no, debes especificar la red para los trabajos.
Para determinar si puedes usar la red predeterminada para un trabajo, verifica lo siguiente:
- Existe la red predeterminada para tu proyecto. Los nuevos proyectos de Google Cloud incluyen de forma automática la red predeterminada, a menos que se habilite la restricción de política de la organización
compute.skipDefaultNetworkCreation
. - La red predeterminada admite cualquier requisito de red específico que tengas. En particular, si se modifica la red predeterminada de tu proyecto, tú o algún otro usuario podrían tener problemas. Si necesitas más información sobre la red predeterminada, consulta Configuración de red predeterminada en este documento.
- Existe la red predeterminada para tu proyecto. Los nuevos proyectos de Google Cloud incluyen de forma automática la red predeterminada, a menos que se habilite la restricción de política de la organización
Incluso si no es necesario, es posible que quieras configurar las herramientas de redes para mejorar la seguridad de los recursos y datos de Batch. Por ejemplo, si deseas mejorar la seguridad de los trabajos que usan contenedores y no bloqueas el acceso externo a todas las VM, puedes crear trabajos que bloqueen el acceso externo solo a uno o más contenedores. El uso de una red no predeterminada o restricciones de red adicionales puede ayudarte a implementar los principios de privilegio mínimo. Si deseas obtener más información sobre las opciones que puedes usar a fin de configurar herramientas de redes para Batch, consulta Cómo funcionan las herramientas de redes en este documento.
De lo contrario, si no necesitas o no quieres configurar las herramientas de redes, puedes crear un trabajo sin especificar ninguna opción de red para usar la configuración de red predeterminada.
Cómo funcionan las herramientas de redes
En las siguientes secciones, se explican los conceptos de herramientas de redes para Batch:
- Red de trabajo
- Restricciones adicionales de las herramientas de redes
- Configuración de red predeterminada
Red del trabajo
Cada trabajo se ejecuta en máquinas virtuales (VMs) de Compute Engine, que deben ser parte de una red de nube privada virtual (VPC) de Google Cloud y una subred de esa red.
Las redes de VPC conectan las VM a otras fuentes, como Internet y otros recursos y servicios de Google Cloud. Cada red consta de al menos una subred, también conocida como subred, que es uno o más rangos de direcciones IP asociadas con una región. Cada VM tiene una interfaz de red con una dirección IP interna y una dirección IP externa opcional que se asignan desde la subred. Puedes configurar reglas de firewall de VPC para permitir o rechazar conexiones para las VM en una red. Cada red tiene reglas de firewall implícitas que bloquean todas las conexiones entrantes y permiten todas las conexiones salientes. Por lo general, una red de VPC solo se puede usar dentro de su proyecto, pero si quieres usar la misma red en varios proyectos, puedes usar la VPC compartida.
En resumen, cada trabajo se ejecuta en VM que usan direcciones IP para realizar conexiones controladas por las reglas de firewall de la red.
Si quieres obtener más información sobre los conceptos de herramientas de redes, consulta la Descripción general de las Herramientas de redes para VM en la documentación de Compute Engine y la Descripción general de la nube privada virtual (VPC) en la documentación de VPC.
Restricciones de red adicionales
Para ayudar a mejorar la seguridad, una configuración de red puede implicar más restricciones que solo las reglas de firewall para su red. Por ejemplo, tu organización o proyecto puede usar restricciones de políticas de la organización o, también, otros servicios de Google Cloud para restringir las herramientas de redes.
En las siguientes secciones, se explican las opciones comunes para restringir aún más las herramientas de redes:
- Bloquea conexiones externas para entornos de ejecución de trabajos
- Restringe el acceso a las herramientas de redes para Batch mediante los Controles del servicio de VPC
Bloquear conexiones externas para entornos de ejecución de trabajos
Puedes bloquear las conexiones externas directamente hacia y desde el entorno de ejecución de un trabajo con hasta una de las siguientes opciones:
Bloquea el acceso externo a todas las VMs de un trabajo. Bloquea el acceso externo a las VM de un trabajo para crear un trabajo que se ejecute en VM sin direcciones IP externas. Esta opción suele requerirse para una red o un proyecto, o bien se usa de manera opcional para mejorar la seguridad.
Solo otro nodo en la misma red puede acceder a las VMs sin direcciones IP externas a través de sus direcciones IP internas, por lo que debes configurar el acceso a ellas de la siguiente manera:
Si quieres ejecutar un trabajo en VM sin direcciones IP externas, usa Cloud NAT o el Acceso privado a Google para permitir el acceso a los dominios de las APIs y los servicios que usa tu trabajo. Por ejemplo, todos los trabajos por lotes usan las API de Batch y Compute Engine y, con frecuencia, usan la API de Cloud Logging.
Si tú o algún otro usuario necesitan conectarse a las VM sin direcciones IP externas, consulta Elige una opción de conexión para las VM solo internas en la documentación de Compute Engine.
Bloquea el acceso externo para uno o más contenedores de un trabajo. Si un trabajo usa contenedores y aún no bloquea el acceso externo a todas sus VM, puedes elegir si deseas bloquear el acceso externo para cada contenedor. Esta opción es opcional y se puede usar a fin de mejorar la seguridad cuando especificas la red para un trabajo o cuando creas un trabajo que usa la configuración de red predeterminada.
Protege los recursos y datos por lotes mediante los Controles del servicio de VPC
Además de bloquear el acceso externo para todas las VM de un trabajo, puedes restringir aún más las herramientas de redes con los Controles del servicio de VPC.
A diferencia de las otras opciones de red que se explican en este documento, que pueden restringir las herramientas de redes solo para las VM o los contenedores que ejecutan trabajos, los Controles del servicio de VPC te permiten restringir el acceso a redes para los recursos y datos de los servicios de Google Cloud, por ejemplo, trabajos por lotes y datos.
Puedes usar los Controles del servicio de VPC para crear perímetros que protejan los recursos y datos de los servicios de Google Cloud que especifiques. El perímetro de servicio aísla los servicios y recursos seleccionados y bloquea las conexiones con servicios de Google Cloud fuera del perímetro y cualquier conexión desde Internet que no se permita de forma explícita. Para obtener más información, consulta la documentación de los Controles del servicio de VPC y Usa los Controles del servicio de VPC con Batch.
Configuración de red predeterminada
Cuando creas un trabajo y no especificas ninguna opción de red, las VM del trabajo usan la red predeterminada y la subred para la ubicación de la VM.
Cada proyecto tiene una red predeterminada llamada default
, a menos que la borres o la inhabilites mediante la restricción de la política de la organización compute.skipDefaultNetworkCreation
.
La red predeterminada es una red de modo automático, por lo que tiene una subred en cada región. Además de las reglas de firewall implícitas para cada red, la red default
también tiene reglas de firewall propagadas con anterioridad, que permiten el acceso para casos prácticos comunes. Para obtener más información, consulta Reglas prepropagadas en la red predeterminada en la documentación de VPC.
Considera usar la configuración de red predeterminada si no tienes ningún requisito de red para un trabajo y no deseas configurarla. Para obtener detalles sobre cuándo usar la configuración de red predeterminada, consulta Cuándo configurar redes en este documento.
¿Qué sigue?
- Configura las herramientas de redes para Batch:
- De manera alternativa, para crear un trabajo que use la configuración de red predeterminada, consulta Crea y ejecuta un trabajo básico.
- También puedes controlar el acceso a un trabajo mediante una cuenta de servicio personalizada.