Descripción general de las herramientas de redes de Batch

En este documento, se explican los conceptos de herramientas de redes para Batch, incluidas las opciones de herramientas de redes, cuándo configurarlas y cómo funcionan.

Opciones de trabajo en red

Las opciones de redes controlan cómo se conecta Batch con otras fuentes, como Internet y otros Google Cloud recursos y servicios.

Batch tiene las siguientes opciones de red:

• Especifica la red para un trabajo o usa la red predeterminada.
• Usa restricciones de red adicionales:
  • Bloquea las conexiones externas para los entornos de ejecución de trabajos, ya sea para todas las VMs o para contenedores específicos.
  • Protege los recursos y los datos de Batch con los Controles del servicio de VPC.

Para obtener más información sobre cómo determinar qué opciones de red usar para Batch, consulta Cuándo configurar las herramientas de redes en este documento. Para obtener más información sobre los conceptos de red de cada opción, consulta Cómo funcionan las redes en este documento.

Cuándo configurar las Herramientas de redes

Revisa esta sección para determinar si debes configurar las redes cuando usas Batch o usar la configuración de red predeterminada.

Debes configurar las herramientas de redes para Batch en los siguientes casos:

• Si tu proyecto o red usa los Controles del servicio de VPC para restringir el acceso a las redes de Batch, debes configurar las redes siguiendo la documentación sobre cómo usar los Controles del servicio de VPC con Batch.
• Si la restricción de la política de la organización compute.vmExternalIpAccess requiere que tu proyecto cree VMs sin direcciones IP externas o si tu red usa el Acceso privado a Google, debes crear trabajos que bloqueen el acceso externo para todas las VMs.

• Si no puedes o no quieres usar la red predeterminada, debes especificar la red para las tareas.

  Para determinar si puedes usar la red predeterminada para un trabajo, verifica lo siguiente:

  • La red predeterminada existe para tu proyecto. Los proyectosGoogle Cloud nuevos incluyen automáticamente la red predeterminada, a menos que se habilite la restricción de la política de la organización compute.skipDefaultNetworkCreation.
  • La red predeterminada admite cualquier requisito de red específico que tengas. En particular, si se modifica la red predeterminada de tu proyecto, es posible que tú o otros usuarios tengan problemas. Si necesitas más información sobre la red predeterminada, consulta Configuración predeterminada de red en este documento.

Incluso si no es obligatorio, te recomendamos que configures las redes para mejorar la seguridad de tus recursos y datos de Batch. Por ejemplo, si deseas mejorar la seguridad de las tareas que usan contenedores y no bloquean el acceso externo para todas las VMs, puedes crear tareas que bloqueen el acceso externo para uno o más contenedores de forma opcional. El uso de una red no predeterminada o restricciones de red adicionales puede ayudarte a implementar los principios de privilegio mínimo. Para obtener más información sobre las opciones que puedes usar para configurar la red de Batch, consulta Cómo funciona la red en este documento.

De lo contrario, si no necesitas o no quieres configurar la red, puedes crear un trabajo sin especificar ninguna opción de red para usar la configuración de red predeterminada.

Cómo funcionan las redes

En las siguientes secciones, se explican los conceptos de redes de Batch:

• Red de trabajo
• Restricciones adicionales de redes
• Configuración de red predeterminada

Red de trabajo

Cada trabajo se ejecuta en máquinas virtuales (VM) de Compute Engine, que deben ser parte de una Google Cloud red de nube privada virtual (VPC) y una subred de esa red.

Las redes de VPC conectan las VMs a otras fuentes, como Internet y otros Google Cloud recursos y servicios. Cada red consta de al menos una subred, también conocida como subred, que es uno o más rangos de direcciones IP asociados con una región. Cada VM tiene una interfaz de red con una dirección IP interna y una dirección IP externa opcional que se asignan desde la subred. Puedes configurar reglas de firewall de VPC para permitir o denegar conexiones de las VMs en una red. Cada red tiene reglas de firewall implícitas que bloquean todas las conexiones entrantes y permiten todas las conexiones salientes. Por lo general, una red de VPC solo se puede usar dentro de su proyecto, pero si deseas usar la misma red en varios proyectos, puedes usar la VPC compartida.

En resumen, cada trabajo se ejecuta en VMs que usan direcciones IP para establecer conexiones que controlan las reglas de firewall de la red.

Para obtener más información sobre los conceptos de redes, consulta la descripción general de las herramientas de redes para VMs en la documentación de Compute Engine y la descripción general de la nube privada virtual (VPC) en la documentación de VPC.

Restricciones adicionales de red

Para mejorar la seguridad, una configuración de red puede implicar más restricciones que solo las reglas de firewall de su red. Por ejemplo, tu organización o proyecto puede usar restricciones de políticas de la organización o otros servicios de Google Cloud para restringir las redes.

En las siguientes secciones, se explican las opciones comunes para restringir aún más las redes:

• Cómo bloquear conexiones externas para entornos de ejecución de trabajos
• Cómo restringir el acceso a las redes de Batch con los Controles del servicio de VPC

Bloquea las conexiones externas para los entornos de ejecución de trabajos

Puedes bloquear las conexiones externas directamente desde y hacia el entorno de ejecución de un trabajo con una de las siguientes opciones:

• Bloquea el acceso externo de todas las VMs de un trabajo. Bloquea el acceso externo de las VMs de un trabajo para crear un trabajo que se ejecute en VMs ilmas direcciones IP externas. Esta opción suele ser obligatoria para una red o un proyecto, o se usa de forma opcional para mejorar la seguridad.

  Solo otro nodo de la misma red puede acceder a las VMs sin direcciones IP externas a través de sus direcciones IP internas, por lo que debes configurar el acceso a estas VMs de la siguiente manera:

  • Para ejecutar una tarea en VMs sin direcciones IP externas, usa Cloud NAT o Acceso privado a Google para permitir el acceso a los dominios de las APIs y los servicios que usa tu tarea. Por ejemplo, todas las tareas de Batch usan las APIs de Batch y Compute Engine, y con frecuencia usan la API de Cloud Logging.

  • Si tú o algún otro usuario necesitan conectarse a VMs sin direcciones IP externas, consulta Elige una opción de conexión para VMs solo de uso interno en la documentación de Compute Engine.

• Bloquear el acceso externo de uno o más contenedores para un trabajo Si un trabajo usa contenedores y aún no bloquea el acceso externo para todas sus VMs, puedes elegir si deseas bloquear el acceso externo para cada contenedor. Esta opción es opcional y se puede usar para mejorar la seguridad cuando especificas la red de un trabajo o cuando creas un trabajo que usa la configuración de red predeterminada.

Protege los recursos y los datos de Batch con los Controles del servicio de VPC

Además de bloquear el acceso externo de todas las VMs de un trabajo, de forma opcional, puedes restringir aún más las redes mediante los Controles del servicio de VPC.

A diferencia de las otras opciones de red que se explican en este documento, que solo pueden restringir las redes para las VMs o los contenedores que ejecutan trabajos, los Controles del servicio de VPC te permiten restringir el acceso a la red para los recursos y los datos de los servicios de Google Cloud , por ejemplo, los trabajos y los datos de Batch.

Puedes usar Controles del servicio de VPC para crear perímetros que protejan los recursos y datos de los Google Cloud servicios que especifiques. El perímetro de servicio aísla los servicios y recursos seleccionados, bloquea las conexiones con servicios de Google Cloud fuera del perímetro y cualquier conexión desde Internet que no se permita de forma explícita. Para obtener más información, consulta la documentación de los Controles del servicio de VPC y Cómo usar los Controles del servicio de VPC con lotes.

Configuración de red predeterminada

Cuando creas un trabajo y no especificas ninguna opción de red, las VMs del trabajo usan la red predeterminada y la subred de la ubicación de la VM.

Cada proyecto tiene una red predeterminada llamada default, a menos que la borres o la inhabilites con la restricción de la política de la organización compute.skipDefaultNetworkCreation. La red predeterminada es una red de modo automático, por lo que tiene una subred en cada región. Además de las reglas de firewall implícitas para cada red, la red default también tiene reglas de firewall prepropagadas, que permiten el acceso para casos de uso comunes. Para obtener más información, consulta Reglas prepropagadas en la red predeterminada en la documentación de VPC.

Considera usar la configuración de red predeterminada si no tienes ningún requisito de red para un trabajo y no quieres configurar la red. Para obtener detalles sobre cuándo usar la configuración de red predeterminada, consulta Cuándo configurar la red en este documento.

¿Qué sigue?

• Configura las redes para Batch:
  • Especifica la red para un trabajo
  • Cómo bloquear el acceso externo a un trabajo
  • Usa los Controles del servicio de VPC con lotes
• Como alternativa, para crear un trabajo que use la configuración de red predeterminada, consulta Cómo crear y ejecutar un trabajo básico.
• También puedes controlar el acceso a un trabajo con una cuenta de servicio personalizada.