En este documento, se explican los conceptos de herramientas de redes para Batch, incluidas las opciones de redes, cuándo configurarlas y cómo funcionan.
Opciones de trabajo en red
Las opciones de red controlan cómo Batch se conecta con otras fuentes, como Internet y otros recursos y servicios de Google Cloud.
Batch tiene las siguientes opciones de herramientas de redes:
- Especifica la red para un trabajo o usa la red predeterminada.
- Usa restricciones de red adicionales:
- Bloquea las conexiones externas para los entornos de ejecución del trabajo, ya sea todas las VM o contenedores específicos.
- Protege recursos y datos de Batch mediante los Controles del servicio de VPC.
Si deseas obtener más información sobre cómo determinar qué opciones de herramientas de redes usar para Batch, consulta Cuándo configurar redes en este documento. Si quieres obtener más información sobre los conceptos de herramientas de redes para cada opción, consulta Cómo funcionan las herramientas de redes en este documento.
Cuándo configurar las herramientas de redes
Revisa esta sección para determinar si debes configurar las herramientas de redes cuando usas Batch o usar la configuración predeterminada de herramientas de redes.
Debes configurar las herramientas de redes para Batch en los siguientes casos:
- Si tu proyecto o red usan los Controles del servicio de VPC a fin de restringir el acceso de red para Batch, debes configurar las herramientas de redes mediante la documentación Usa los Controles del servicio de VPC con Batch.
- Si la restricción de la política de la organización
compute.vmExternalIpAccessrequiere que el proyecto cree VM sin direcciones IP externas o si la red usa el Acceso privado a Google, debes crear trabajos que bloqueen el acceso externo para todas las VM. Si no puedes o no quieres usar la red predeterminada, debes especificar la red para trabajos.
A fin de determinar si puedes usar la red predeterminada para un trabajo, verifica lo siguiente:
- La red predeterminada existe para tu proyecto. Los proyectos nuevos de Google Cloud incluyen de forma automática la red predeterminada, a menos que esté habilitada la restricción de la política de la organización
compute.skipDefaultNetworkCreation. - La red predeterminada admite cualquier requisito de red específico que tengas. En particular, si se modifica la red predeterminada de tu proyecto, tú o algún otro usuario pueden tener problemas. Si necesitas más información sobre la red predeterminada, consulta Configuración de red predeterminada en este documento.
- La red predeterminada existe para tu proyecto. Los proyectos nuevos de Google Cloud incluyen de forma automática la red predeterminada, a menos que esté habilitada la restricción de la política de la organización
Incluso si no es necesario, puedes configurar las herramientas de redes para mejorar la seguridad de los recursos y datos de Batch. Por ejemplo, si deseas mejorar la seguridad de los trabajos que usan contenedores y no bloquean el acceso externo de todas las VM, tienes la opción de crear trabajos que bloqueen el acceso externo solo para uno o más contenedores. El uso de una red no predeterminada o restricciones de red adicionales puede ayudarte a implementar principios de privilegio mínimo. Si deseas obtener más información sobre las opciones que puedes usar a fin de configurar las herramientas de redes para Batch, consulta Cómo funcionan las herramientas de redes en este documento.
De lo contrario, si no necesitas o quieres configurar las herramientas de redes, puedes crear un trabajo sin especificar ninguna opción de red para usar la configuración de red predeterminada.
Cómo funcionan las herramientas de redes
En las siguientes secciones, se explican los conceptos de herramientas de redes para Batch:
Red del trabajo
Cada trabajo se ejecuta en máquinas virtuales (VM) de Compute Engine, que deben ser parte de una red de nube privada virtual (VPC) de Google Cloud y una subred de esa red.
Las redes de VPC conectan a las VM a otras fuentes, como Internet y otros recursos y servicios de Google Cloud. Cada red consta de una subred, también conocida como subred, que corresponde a uno o más rangos de direcciones IP asociadas a una región. Cada VM tiene una interfaz de red con una dirección IP interna y una dirección IP externa opcional que se asigna desde la subred. Puedes configurar reglas de firewall de VPC para permitir o rechazar conexiones de las VM en una red. Cada red tiene reglas de firewall implícitas que bloquean todas las conexiones entrantes y permiten todas las conexiones salientes. Por lo general, una red de VPC solo se puede usar dentro de su proyecto, pero si deseas usar la misma red en varios proyectos, puedes usar VPC compartida.
En resumen, cada trabajo se ejecuta en VMs que usan direcciones IP para hacer conexiones controladas por las reglas de firewall de la red.
Para obtener más información sobre los conceptos de herramientas de redes, consulta Descripción general de las Herramientas de redes para VM en la documentación de Compute Engine y Descripción general de la nube privada virtual (VPC) en la documentación de VPC.
Restricciones de red adicionales
A fin de mejorar la seguridad, es posible que una configuración de red involucre más restricciones que solo las reglas de firewall de su red. Por ejemplo, tu organización o proyecto puede usar restricciones de política de la organización o algún otro servicio de Google Cloud para restringir las herramientas de redes.
En las siguientes secciones, se explican las opciones comunes para restringir aún más las herramientas de redes:
- Bloquea las conexiones externas de los entornos de ejecución del trabajo
- Restringe el acceso de red para Batch mediante los Controles del servicio de VPC
Bloquea las conexiones externas de los entornos de ejecución del trabajo
Puedes bloquear conexiones externas directamente desde y hacia el entorno de ejecución de un trabajo mediante el uso de una de las siguientes opciones:
Bloquea el acceso externo de todas las VM de un trabajo. Bloquea el acceso externo de las VM de un trabajo para crear un trabajo que se ejecute en VM sin direcciones IP externas. Esta opción suele ser obligatoria para una red o proyecto, o bien se puede usar para mejorar la seguridad.
Solo se puede acceder a las VM sin direcciones IP externas a través de sus direcciones IP internas mediante otro nodo en la misma red, por lo que debes configurar el acceso a estas VM de la siguiente manera:
Si quieres ejecutar un trabajo en VM sin direcciones IP externas, usa Cloud NAT o el Acceso privado a Google para permitir el acceso a los dominios de las API y los servicios que usa tu trabajo. Por ejemplo, todos los trabajos por lotes usan las API de Batch y Compute Engine y, a menudo, usan la API de Cloud Logging.
Si tú o algún otro usuario necesitan conectarse a las VM sin direcciones IP externas, consulta Elige una opción de conexión para VM de uso interno en la documentación de Compute Engine.
Bloquea el acceso externo de uno o más contenedores para un trabajo. Si un trabajo usa contenedores y aún no bloquea el acceso externo para todas sus VM, puedes elegir si deseas bloquear el acceso externo de cada contenedor. Esta opción es opcional; se puede usar para mejorar la seguridad cuando especificas la red de un trabajo o cuando creas un trabajo que usa la configuración de red predeterminada.
Protege recursos y datos de Batch mediante los Controles del servicio de VPC
Además de bloquear el acceso externo de todas las VM de un trabajo, tienes la opción de restringir aún más las herramientas de redes con los Controles del servicio de VPC.
A diferencia de las otras opciones de red que se explican en este documento, que pueden restringir las herramientas de redes solo para las VM o los contenedores que ejecutan trabajos, los Controles del servicio de VPC te permiten restringir el acceso de red a los recursos y datos de los servicios de Google Cloud, por ejemplo, trabajos y datos por lotes.
Puedes usar los Controles del servicio de VPC para crear perímetros que protejan los recursos y datos de los servicios de Google Cloud que especifiques. El perímetro de servicio aísla los servicios y recursos seleccionados, lo que bloquea las conexiones con los servicios de Google Cloud fuera del perímetro y cualquier conexión de Internet que no se permita de forma explícita. Para obtener más información, consulta la documentación de Controles del servicio de VPC y Usa los Controles del servicio de VPC con Batch.
Configuración predeterminada de red
Cuando creas un trabajo y no especificas ninguna opción de red, las VM del trabajo usan la red predeterminada y la subred para la ubicación de la VM.
Cada proyecto tiene una red predeterminada llamada default, a menos que la borres o inhabilites mediante la restricción de la política de la organización compute.skipDefaultNetworkCreation.
La red predeterminada es una red de modo automático, por lo que tiene una subred en cada región. Además de las reglas de firewall implícitas para cada red, la red default también tiene reglas de firewall prepropagadas, que permiten el acceso a casos de uso comunes. Para obtener más información, consulta Reglas propagadas previamente en la red predeterminada en la documentación de VPC.
Considera usar la configuración de red predeterminada si no tienes ningún requisito de red para un trabajo y no deseas configurar las herramientas de redes. Si deseas obtener detalles sobre cuándo usar la configuración predeterminada de red, consulta Cuándo configurar redes en este documento.
¿Qué sigue?
- Configura las herramientas de redes para Batch:
- De forma alternativa, para crear un trabajo que use la configuración de red predeterminada, consulta Crea y ejecuta un trabajo básico.
- También puedes controlar el acceso de un trabajo mediante una cuenta de servicio personalizada.