Informações gerais sobre a rede do Batch

Este documento explica os conceitos de rede para o Batch, incluindo opções de rede, quando configurar a rede e como ela funciona.

Opções de rede

As opções de rede controlam como o Batch é conectado a outras fontes, como a Internet e outros Google Cloud recursos e serviços.

O lote tem as seguintes opções de rede:

  • Especifique a rede para um job ou use a rede padrão.
  • Use outras restrições de rede:
    • Bloqueie conexões externas para ambientes de execução de jobs, todas as VMs ou contêineres específicos.
    • Proteja os recursos e dados do Batch usando o VPC Service Controls.

Para mais informações sobre como determinar quais opções de rede usar para Batch, consulte Quando configurar a rede neste documento. Para mais informações sobre os conceitos de rede de cada opção, consulte Como a rede funciona neste documento.

Quando configurar a rede

Leia esta seção para determinar se você vai configurar a rede ao usar o Batch ou usar a configuração de rede padrão.

É necessário configurar a rede para o Batch nos seguintes casos:

  • Se o projeto ou a rede usar o VPC Service Controls para restringir o acesso à rede do Batch, será necessário configurar a rede seguindo a documentação Usar o VPC Service Controls com o Batch.
  • Se a restrição da política da organização compute.vmExternalIpAccess exigir que seu projeto crie VMs sem endereços IP externos ou se a rede usar o Acesso privado do Google, será necessário criar trabalhos que bloqueiem o acesso externo para todas as VMs.

  • Se você não puder ou não quiser usar a rede padrão, especifique a rede para jobs.

    Para determinar se você pode usar a rede padrão para um job, verifique o seguinte:

    • A rede padrão existe para seu projeto. Os novos projetosGoogle Cloud incluem automaticamente a rede padrão, a menos que a restrição de política da organização compute.skipDefaultNetworkCreation esteja ativada.
    • A rede padrão oferece suporte a todos os requisitos de rede específicos que você tiver. Se a rede padrão do seu projeto for modificada, você ou outros usuários poderão ter problemas. Se você precisar de mais informações sobre a rede padrão, consulte Configuração de rede padrão neste documento.

Mesmo que não seja obrigatório, é recomendável configurar a rede para melhorar a segurança dos recursos e dados do Batch. Por exemplo, se você quiser melhorar a segurança de jobs que usam contêineres e não bloqueiam o acesso externo a todas as VMs, é possível criar jobs que bloqueiam o acesso externo apenas para um ou mais contêineres. O uso de uma rede não padrão ou outras restrições de rede pode ajudar a implementar os princípios do privilégio mínimo. Para mais informações sobre as opções que podem ser usadas para configurar a rede do Batch, consulte Como a rede funciona neste documento.

Caso contrário, se você não precisar ou não quiser configurar a rede, crie um job sem especificar nenhuma opção de rede para usar a configuração de rede padrão.

Como funciona a rede

As seções a seguir explicam os conceitos de rede para o Batch:

Rede de empregos

Cada job é executado em máquinas virtuais (VMs) do Compute Engine, que precisam fazer parte de uma Google Cloud rede de nuvem privada virtual (VPC) e de uma sub-rede dessa rede.

As redes VPC conectam VMs a outras fontes, como a Internet e outros Google Cloud recursos e serviços. Cada rede consiste em pelo menos uma sub-rede, também conhecida como sub-rede, que é um ou mais intervalos de endereços IP associados a uma região. Cada VM tem uma interface de rede com um endereço IP interno e um endereço IP externo opcional alocados na sub-rede. É possível configurar regras de firewall da VPC para permitir ou negar conexões para as VMs em uma rede. Cada rede tem regras de firewall implícitas que bloqueiam todas as conexões de entrada e permitem todas as conexões de saída. Normalmente, uma rede VPC só pode ser usada no projeto, mas, se você quiser usar a mesma rede em vários projetos, use a VPC compartilhada.

Em resumo, cada job é executado em VMs que usam endereços IP para fazer conexões controladas pelas regras de firewall da rede.

Para mais informações sobre conceitos de rede, consulte Visão geral de rede para VMs na documentação do Compute Engine e Visão geral da nuvem privada virtual (VPC) na documentação da VPC.

Outras restrições de rede

Para melhorar a segurança, uma configuração de rede pode envolver mais restrições do que apenas as regras de firewall da rede. Por exemplo, seu projeto ou organização pode usar restrições de política da organização ou outros Google Cloud serviços para restringir a rede.

As seções a seguir explicam opções comuns para restringir ainda mais a rede:

Bloquear conexões externas para ambientes de execução de jobs

É possível bloquear conexões externas diretamente para e do ambiente de execução de um job usando uma das seguintes opções:

  • Bloquear o acesso externo a todas as VMs de um job. Bloqueie o acesso externo para as VMs de um job para criar um job que seja executado em VMs sem endereços IP externos. Essa opção é geralmente necessária para uma rede ou projeto ou usada opcionalmente para melhorar a segurança.

    As VMs sem endereços IP externos só podem ser acessadas pelos endereços IP internos de outro nó na mesma rede. Portanto, você precisa configurar o acesso a essas VMs:

    • Para executar um job em VMs sem endereços IP externos, use o Cloud NAT ou o Acesso privado do Google para permitir o acesso aos domínios das APIs e serviços usados pelo job. Por exemplo, todos os trabalhos em lote usam as APIs Batch e Compute Engine e, com frequência, a API Cloud Logging.

    • Se você ou outros usuários precisarem se conectar a VMs sem endereços IP externos, consulte Escolher uma opção de conexão para VMs somente internas na documentação do Compute Engine.

  • Bloquear o acesso externo a um ou mais contêineres de um job. Se um job usa contêineres e ainda não bloqueia o acesso externo para todas as VMs, você pode escolher se quer bloquear o acesso externo para cada contêiner. Essa opção é opcional e pode ser usada para melhorar a segurança ao especificar a rede para um job ou ao criar um job que usa a configuração de rede padrão.

Proteger recursos e dados do Batch usando o VPC Service Controls

Além de bloquear o acesso externo a todas as VMs de um job, você pode restringir ainda mais a rede usando o VPC Service Controls.

Ao contrário das outras opções de rede explicadas neste documento, que podem restringir a rede apenas para as VMs ou contêineres que executam trabalhos, o VPC Service Controls permite restringir o acesso de rede aos recursos e dados dos serviços Google Cloud , por exemplo, trabalhos e dados em lote.

É possível usar o VPC Service Controls para criar perímetros que protegem os recursos e dados dos Google Cloud serviços especificados. O perímetro de serviço isola os serviços e recursos selecionados, bloqueando conexões com serviços Google Cloud fora do perímetro e qualquer conexão da Internet que não seja explicitamente permitida. Para mais informações, consulte a documentação do VPC Service Controls e Usar o VPC Service Controls com o Batch.

Configuração de rede padrão

Quando você cria um job e não especifica nenhuma opção de rede, as VMs do job usam a rede padrão e a sub-rede para o local da VM.

Cada projeto tem uma rede padrão chamada default, a menos que você a exclua ou desative usando a restrição de política da organização compute.skipDefaultNetworkCreation. A rede padrão é uma rede de modo automático, portanto, ela tem uma sub-rede em cada região. Além das regras de firewall implícitas para cada rede, a rede default também tem regras de firewall predefinidas, que permitem o acesso para casos de uso comuns. Para mais informações, consulte Regras pré-preenchidas na rede padrão na documentação da VPC.

Considere usar a configuração de rede padrão se você não tiver requisitos de rede para um job e não quiser configurar a rede. Para detalhes sobre quando usar a configuração de rede padrão, consulte Quando configurar a rede neste documento.

A seguir