Ringkasan jaringan batch

Dokumen ini menjelaskan konsep jaringan untuk Batch, termasuk opsi jaringan, kapan harus mengonfigurasi jaringan, dan cara kerja jaringan.

Opsi jaringan

Opsi jaringan mengontrol cara Batch terhubung dengan sumber lain, seperti internet dan resource serta layanan Google Cloud lainnya.

Batch memiliki opsi jaringan berikut:

• Tentukan jaringan untuk tugas atau gunakan jaringan default.
• Gunakan pembatasan jaringan tambahan:
  • Memblokir koneksi eksternal untuk lingkungan runtime tugas, baik semua VM maupun penampung tertentu.
  • Lindungi resource dan data Batch menggunakan Kontrol Layanan VPC.

Untuk mengetahui informasi selengkapnya tentang cara menentukan opsi jaringan yang akan digunakan untuk Batch, lihat Kapan harus mengonfigurasi jaringan dalam dokumen ini. Untuk mengetahui informasi selengkapnya tentang konsep jaringan untuk setiap opsi, lihat Cara kerja jaringan dalam dokumen ini.

Kapan harus mengonfigurasi jaringan

Tinjau bagian ini untuk menentukan apakah akan mengonfigurasi jaringan saat menggunakan Batch atau menggunakan konfigurasi jaringan default.

Anda harus mengonfigurasi jaringan untuk Batch dalam kasus berikut:

• Jika project atau jaringan Anda menggunakan Kontrol Layanan VPC untuk membatasi akses jaringan untuk Batch, Anda harus mengonfigurasi jaringan dengan mengikuti dokumentasi Menggunakan Kontrol Layanan VPC dengan Batch.
• Jika batasan kebijakan organisasi compute.vmExternalIpAccess mengharuskan project Anda membuat VM tanpa alamat IP eksternal atau jika jaringan Anda menggunakan Akses Google Pribadi, Anda harus Membuat tugas yang memblokir akses eksternal untuk semua VM.

• Jika tidak dapat atau tidak ingin menggunakan jaringan default, Anda harus Menentukan jaringan untuk tugas.

  Untuk menentukan apakah Anda dapat menggunakan jaringan default untuk tugas, verifikasi hal berikut:

  • Jaringan default ada untuk project Anda. Project Google Cloud baru secara otomatis menyertakan jaringan default kecuali jika batasan kebijakan organisasi compute.skipDefaultNetworkCreation diaktifkan.
  • Jaringan default mendukung persyaratan jaringan tertentu yang Anda miliki. Terutama, jika jaringan default untuk project Anda diubah, Anda atau pengguna lain mungkin mengalami masalah. Jika Anda memerlukan informasi selengkapnya tentang jaringan default, lihat Konfigurasi jaringan default dalam dokumen ini.

Meskipun tidak diperlukan, sebaiknya konfigurasikan jaringan untuk meningkatkan keamanan resource dan data Batch Anda. Misalnya, jika Anda ingin meningkatkan keamanan untuk tugas yang menggunakan penampung dan tidak memblokir akses eksternal untuk semua VM, Anda dapat secara opsional Membuat tugas yang memblokir akses eksternal hanya untuk satu atau beberapa penampung. Menggunakan jaringan non-default atau pembatasan jaringan tambahan dapat membantu Anda menerapkan prinsip hak istimewa terendah. Untuk mengetahui informasi selengkapnya tentang opsi yang dapat Anda gunakan untuk mengonfigurasi jaringan untuk Batch, lihat Cara kerja jaringan dalam dokumen ini.

Atau, jika Anda tidak perlu atau tidak ingin mengonfigurasi jaringan, Anda dapat membuat tugas tanpa menentukan opsi jaringan apa pun untuk menggunakan konfigurasi jaringan default.

Cara kerja networking

Bagian berikut menjelaskan konsep jaringan untuk Batch:

• Jaringan lowongan
• Pembatasan jaringan tambahan
• Konfigurasi jaringan default

Jaringan lowongan

Setiap tugas berjalan di virtual machine (VM) Compute Engine, yang harus menjadi bagian dari jaringan Virtual Private Cloud (VPC) Google Cloud dan subnet jaringan tersebut.

Jaringan VPC menghubungkan VM ke sumber lain, seperti internet dan resource serta layanan Google Cloud lainnya. Setiap jaringan terdiri dari setidaknya satu subnetwork, yang juga dikenal sebagai subnet, yang merupakan satu atau beberapa rentang alamat IP yang dikaitkan dengan region. Setiap VM memiliki antarmuka jaringan dengan alamat IP internal dan alamat IP eksternal opsional yang dialokasikan dari subnet. Anda dapat mengonfigurasi aturan firewall VPC untuk mengizinkan atau menolak koneksi untuk VM di jaringan. Setiap jaringan memiliki aturan firewall tersirat yang memblokir semua koneksi masuk dan mengizinkan semua koneksi keluar. Biasanya, jaringan VPC hanya dapat digunakan dalam project-nya, tetapi jika Anda ingin menggunakan jaringan yang sama di beberapa project, Anda dapat menggunakan VPC Bersama.

Singkatnya, setiap tugas berjalan di VM yang masing-masing menggunakan alamat IP untuk membuat koneksi yang dikontrol oleh aturan firewall untuk jaringan.

Untuk mengetahui informasi selengkapnya tentang konsep jaringan, lihat Ringkasan jaringan untuk VM dalam dokumentasi Compute Engine dan Ringkasan Virtual Private Cloud (VPC) dalam dokumentasi VPC.

Pembatasan jaringan tambahan

Untuk membantu meningkatkan keamanan, konfigurasi jaringan mungkin melibatkan lebih banyak batasan daripada hanya aturan firewall untuk jaringannya. Misalnya, project atau organisasi Anda dapat menggunakan batasan kebijakan organisasi atau layanan Google Cloud lainnya untuk membatasi jaringan.

Bagian berikut menjelaskan opsi umum untuk lebih membatasi jaringan:

• Memblokir koneksi eksternal untuk lingkungan runtime tugas
• Membatasi akses jaringan untuk Batch menggunakan Kontrol Layanan VPC

Memblokir koneksi eksternal untuk lingkungan runtime tugas

Anda dapat memblokir koneksi eksternal langsung ke dan dari lingkungan runtime untuk tugas dengan menggunakan hingga salah satu opsi berikut:

• Memblokir akses eksternal untuk semua VM untuk tugas. Memblokir akses eksternal untuk VM tugas guna membuat tugas yang berjalan di VM tanpa alamat IP eksternal. Opsi ini sering kali diperlukan untuk jaringan atau project atau secara opsional digunakan untuk meningkatkan keamanan.

  VM tanpa alamat IP eksternal hanya dapat diakses melalui alamat IP internalnya oleh node lain di jaringan yang sama, sehingga Anda perlu mengonfigurasi akses ke VM ini dengan melakukan hal berikut:

  • Untuk menjalankan tugas di VM tanpa alamat IP eksternal, gunakan Cloud NAT atau Akses Google Pribadi untuk mengizinkan akses ke domain untuk API dan layanan yang digunakan tugas Anda. Misalnya, semua tugas Batch menggunakan Batch dan Compute Engine API, serta sering kali menggunakan Cloud Logging API.

  • Jika Anda atau pengguna lain perlu terhubung ke VM tanpa alamat IP eksternal, baca Memilih opsi koneksi untuk VM khusus internal dalam dokumentasi Compute Engine.

• Memblokir akses eksternal untuk satu atau beberapa penampung untuk tugas. Jika tugas menggunakan penampung dan belum memblokir akses eksternal untuk semua VM-nya, Anda dapat memilih apakah ingin memblokir akses eksternal untuk setiap penampung. Opsi ini bersifat opsional; dapat digunakan untuk meningkatkan keamanan saat Anda menentukan jaringan untuk tugas atau saat membuat tugas yang menggunakan konfigurasi jaringan default.

Melindungi resource dan data Batch menggunakan Kontrol Layanan VPC

Selain memblokir akses eksternal untuk semua VM untuk tugas, Anda dapat secara opsional lebih membatasi jaringan menggunakan Kontrol Layanan VPC.

Tidak seperti opsi jaringan lain yang dijelaskan dalam dokumen ini, yang dapat membatasi jaringan hanya untuk VM atau penampung yang menjalankan tugas, Kontrol Layanan VPC memungkinkan Anda membatasi akses jaringan untuk resource dan data untuk layanan Google Cloud—misalnya, tugas dan data Batch.

Anda dapat menggunakan Kontrol Layanan VPC untuk membuat perimeter yang melindungi resource dan data layanan Google Cloud yang Anda tentukan. Perimeter layanan mengisolasi layanan dan resource yang dipilih, memblokir koneksi dengan layanan Google Cloud di luar perimeter dan koneksi apa pun dari internet yang tidak diizinkan secara eksplisit. Untuk mengetahui informasi selengkapnya, lihat dokumentasi Kontrol Layanan VPC dan Menggunakan Kontrol Layanan VPC dengan Batch.

Konfigurasi jaringan default

Saat Anda membuat tugas dan tidak menentukan opsi jaringan apa pun, VM tugas akan menggunakan jaringan default dan subnet untuk lokasi VM.

Setiap project memiliki jaringan default bernama default, kecuali jika Anda menghapusnya atau menonaktifkannya menggunakan batasan kebijakan organisasi compute.skipDefaultNetworkCreation. Jaringan default adalah jaringan mode otomatis, sehingga memiliki satu subnet di setiap region. Selain aturan firewall tersirat untuk setiap jaringan, jaringan default juga memiliki aturan firewall yang sudah terisi otomatis, yang memungkinkan akses untuk kasus penggunaan umum. Untuk mengetahui informasi selengkapnya, lihat Aturan yang diisi otomatis di jaringan default dalam dokumentasi VPC.

Pertimbangkan untuk menggunakan konfigurasi jaringan default jika Anda tidak memiliki persyaratan jaringan untuk tugas dan tidak ingin mengonfigurasi jaringan. Untuk mengetahui detail tentang kapan harus menggunakan konfigurasi jaringan default, lihat Kapan harus mengonfigurasi jaringan dalam dokumen ini.

Langkah selanjutnya

• Konfigurasi jaringan untuk Batch:
  • Menentukan jaringan untuk tugas
  • Memblokir akses eksternal untuk tugas
  • Menggunakan Kontrol Layanan VPC dengan Batch
• Atau, untuk membuat tugas yang menggunakan konfigurasi jaringan default, lihat Membuat dan menjalankan tugas dasar.
• Anda juga dapat mengontrol akses untuk tugas dengan menggunakan akun layanan kustom.