Dokumen ini menjelaskan konsep jaringan untuk Batch, termasuk opsi jaringan, kapan harus mengonfigurasi jaringan, dan cara kerja jaringan.
Opsi jaringan
Opsi jaringan mengontrol cara Batch terhubung dengan sumber lain, seperti internet dan resource serta layanan Google Cloud lainnya.
Batch memiliki opsi jaringan berikut:
- Tentukan jaringan untuk suatu tugas atau gunakan jaringan default.
- Menggunakan pembatasan jaringan tambahan:
- Blokir koneksi eksternal untuk lingkungan runtime tugas, baik untuk semua VM atau container tertentu.
- Lindungi resource dan data Batch dengan menggunakan Kontrol Layanan VPC.
Untuk mengetahui informasi selengkapnya tentang cara menentukan opsi jaringan yang akan digunakan bagi Batch, lihat Kapan harus mengonfigurasi jaringan dalam dokumen ini. Untuk mengetahui informasi selengkapnya mengenai konsep jaringan untuk setiap opsi, baca Cara kerja jaringan dalam dokumen ini.
Kapan harus mengonfigurasi jaringan
Tinjau bagian ini untuk menentukan apakah akan mengonfigurasi jaringan saat menggunakan Batch atau menggunakan konfigurasi jaringan default.
Anda harus mengonfigurasi jaringan untuk Batch dalam kasus berikut:
- Jika project atau jaringan Anda menggunakan Kontrol Layanan VPC untuk membatasi akses jaringan untuk Batch, Anda harus mengonfigurasi jaringan dengan mengikuti dokumentasi Menggunakan Kontrol Layanan VPC dengan Batch.
- Jika batasan kebijakan organisasi
compute.vmExternalIpAccess
mengharuskan project Anda untuk membuat VM tanpa alamat IP eksternal atau jika jaringan Anda menggunakan Akses Google Pribadi, Anda harus Membuat tugas yang memblokir akses eksternal untuk semua VM. Jika tidak dapat atau tidak ingin menggunakan jaringan default, Anda harus Menentukan jaringan untuk tugas.
Untuk menentukan apakah Anda dapat menggunakan jaringan default untuk tugas, pastikan hal berikut:
- Ada jaringan default untuk project Anda. Project Google Cloud baru secara otomatis menyertakan jaringan default, kecuali jika batasan kebijakan organisasi
compute.skipDefaultNetworkCreation
diaktifkan. - Jaringan default mendukung persyaratan jaringan tertentu yang Anda miliki. Secara khusus, jika jaringan default untuk project Anda diubah, Anda atau pengguna lain mungkin akan mengalami masalah. Jika Anda memerlukan informasi selengkapnya mengenai jaringan default, lihat Konfigurasi jaringan default dalam dokumen ini.
- Ada jaringan default untuk project Anda. Project Google Cloud baru secara otomatis menyertakan jaringan default, kecuali jika batasan kebijakan organisasi
Meskipun tidak diwajibkan, sebaiknya konfigurasi jaringan untuk meningkatkan keamanan resource dan data Batch Anda. Misalnya, jika ingin meningkatkan keamanan untuk tugas yang menggunakan container dan tidak memblokir akses eksternal untuk semua VM, Anda dapat Membuat tugas yang memblokir akses eksternal hanya untuk satu atau beberapa container. Menggunakan jaringan non-default atau pembatasan jaringan tambahan dapat membantu Anda menerapkan prinsip hak istimewa terendah. Untuk mengetahui informasi selengkapnya tentang opsi yang dapat Anda gunakan guna mengonfigurasi jaringan untuk Batch, lihat Cara kerja jaringan dalam dokumen ini.
Atau, jika tidak memerlukan atau ingin mengonfigurasi jaringan, Anda dapat membuat tugas tanpa menentukan opsi jaringan apa pun untuk menggunakan konfigurasi jaringan default.
Cara kerja jaringan
Bagian berikut menjelaskan konsep jaringan untuk Batch:
Jaringan tugas
Setiap tugas berjalan di virtual machine (VM) Compute Engine yang harus menjadi bagian dari jaringan Virtual Private Cloud (VPC) Google Cloud dan subnet dari jaringan tersebut.
Jaringan VPC menghubungkan VM ke sumber lain, seperti internet dan resource serta layanan Google Cloud lainnya. Setiap jaringan terdiri dari setidaknya satu subnetwork, juga dikenal sebagai subnet, yang merupakan satu atau beberapa rentang alamat IP yang terkait dengan region. Setiap VM memiliki antarmuka jaringan dengan alamat IP internal dan alamat IP eksternal opsional yang dialokasikan dari subnet. Anda dapat mengonfigurasi aturan firewall VPC guna mengizinkan atau menolak koneksi untuk VM di jaringan. Setiap jaringan memiliki aturan firewall tersirat yang memblokir semua koneksi masuk dan mengizinkan semua koneksi keluar. Biasanya, jaringan VPC hanya dapat digunakan dalam project-nya, tetapi jika Anda ingin menggunakan jaringan yang sama di beberapa project, Anda dapat menggunakan VPC Bersama.
Singkatnya, setiap tugas dijalankan pada VM yang masing-masing menggunakan alamat IP untuk membuat koneksi yang dikontrol oleh aturan firewall untuk jaringan tersebut.
Untuk mengetahui informasi selengkapnya tentang konsep jaringan, baca artikel Ringkasan jaringan untuk VM dalam dokumentasi Compute Engine dan ringkasan Virtual Private Cloud (VPC) dalam dokumentasi VPC.
Pembatasan jaringan tambahan
Untuk membantu meningkatkan keamanan, konfigurasi jaringan mungkin melibatkan lebih banyak pembatasan daripada hanya aturan firewall untuk jaringannya. Misalnya, project atau organisasi Anda dapat menggunakan batasan kebijakan organisasi atau layanan Google Cloud lainnya untuk membatasi jaringan.
Bagian berikut menjelaskan opsi umum untuk lebih membatasi jaringan:
- Memblokir koneksi eksternal untuk lingkungan runtime tugas
- Membatasi akses jaringan untuk Batch dengan menggunakan Kontrol Layanan VPC
Memblokir koneksi eksternal untuk lingkungan runtime tugas
Anda dapat memblokir koneksi eksternal secara langsung ke dan dari lingkungan runtime untuk tugas dengan menggunakan hingga salah satu opsi berikut:
Memblokir akses eksternal untuk semua VM untuk tugas. Blokir akses eksternal untuk VM tugas guna membuat tugas yang berjalan pada VM tanpa alamat IP eksternal. Opsi ini sering kali diperlukan untuk jaringan atau project, atau digunakan secara opsional untuk meningkatkan keamanan.
VM tanpa alamat IP eksternal hanya dapat diakses melalui alamat IP internalnya oleh node lain di jaringan yang sama, sehingga Anda perlu mengonfigurasi akses ke VM ini dengan melakukan hal berikut:
Untuk menjalankan tugas di VM tanpa alamat IP eksternal, gunakan Cloud NAT atau Akses Google Pribadi untuk mengizinkan akses ke domain untuk API dan layanan yang digunakan tugas Anda. Misalnya, semua tugas Batch menggunakan Batch dan Compute Engine API serta sangat sering menggunakan Cloud Logging API.
Jika Anda atau pengguna lain perlu terhubung ke VM tanpa alamat IP eksternal, baca artikel Memilih opsi koneksi untuk VM khusus internal dalam dokumentasi Compute Engine.
Blokir akses eksternal untuk satu atau beberapa container untuk suatu tugas. Jika tugas menggunakan container dan belum memblokir akses eksternal untuk semua VM-nya, Anda dapat memilih apakah ingin memblokir akses eksternal untuk setiap container. Opsi ini bersifat opsional; dapat digunakan untuk meningkatkan keamanan saat Anda menentukan jaringan untuk sebuah tugas atau saat Anda membuat tugas yang menggunakan konfigurasi jaringan default.
Lindungi resource dan data Batch dengan menggunakan Kontrol Layanan VPC
Selain memblokir akses eksternal bagi semua VM untuk suatu tugas, Anda juga dapat membatasi jaringan lebih lanjut menggunakan Kontrol Layanan VPC.
Tidak seperti opsi jaringan lain yang dijelaskan dalam dokumen ini, yang dapat membatasi jaringan hanya untuk VM atau container yang menjalankan tugas, Kontrol Layanan VPC memungkinkan Anda membatasi akses jaringan untuk resource dan data untuk layanan Google Cloud—misalnya, tugas dan data Batch.
Anda dapat menggunakan Kontrol Layanan VPC untuk membuat perimeter yang melindungi resource dan data layanan Google Cloud yang Anda tentukan. Perimeter layanan mengisolasi layanan dan resource yang dipilih, sehingga memblokir koneksi dengan layanan Google Cloud di luar perimeter dan semua koneksi dari internet yang tidak diizinkan secara eksplisit. Untuk mengetahui informasi lebih lanjut, lihat dokumentasi Kontrol Layanan VPC dan Menggunakan Kontrol Layanan VPC dengan Batch.
Konfigurasi jaringan default
Saat Anda membuat tugas dan tidak menentukan opsi jaringan apa pun, VM tugas tersebut akan menggunakan jaringan default dan subnet untuk lokasi VM.
Setiap project memiliki jaringan default bernama default
kecuali jika Anda menghapusnya atau menonaktifkannya menggunakan batasan kebijakan organisasi compute.skipDefaultNetworkCreation
.
Jaringan default adalah jaringan mode otomatis, sehingga memiliki satu subnet di setiap region. Selain aturan firewall tersirat untuk setiap jaringan, jaringan default
juga memiliki aturan firewall yang telah diisi sebelumnya, sehingga memungkinkan akses untuk kasus penggunaan umum. Untuk mengetahui informasi selengkapnya, lihat Aturan yang terisi otomatis di jaringan default dalam dokumentasi VPC.
Pertimbangkan untuk menggunakan konfigurasi jaringan default jika Anda tidak memiliki persyaratan jaringan untuk suatu tugas dan tidak ingin mengonfigurasi jaringan. Untuk mengetahui detail tentang kapan harus menggunakan konfigurasi jaringan default, lihat Kapan harus mengonfigurasi jaringan dalam dokumen ini.
Langkah selanjutnya
- Mengonfigurasi jaringan untuk Batch:
- Atau, untuk membuat tugas yang menggunakan konfigurasi jaringan default, lihat Membuat dan menjalankan tugas dasar.
- Anda juga dapat mengontrol akses untuk tugas dengan menggunakan akun layanan khusus.