Questo documento spiega i concetti del networking per Batch, incluse le opzioni di rete, quando configurare il networking e come funziona il networking.
Opzioni di networking
Le opzioni di networking controllano la modalità di connessione di Batch con altre origini, come Internet e altre risorse e servizi di Google Cloud.
Il batch ha le seguenti opzioni di networking:
- Specifica la rete per un job o utilizza la rete predefinita.
- Utilizza ulteriori limitazioni di networking:
- Blocca le connessioni esterne per gli ambienti di runtime del job, su tutte le VM o in container specifici.
- Proteggi le risorse e i dati batch utilizzando i Controlli di servizio VPC.
Per ulteriori informazioni su come determinare quali opzioni di networking utilizzare per il batch, consulta Quando configurare il networking in questo documento. Per ulteriori informazioni sui concetti di rete per ogni opzione, consulta la sezione Come funziona il networking in questo documento.
Quando configurare il networking
Esamina questa sezione per determinare se configurare il networking quando utilizzi il batch o utilizzare la configurazione di networking predefinita.
Devi configurare il networking per Batch nei seguenti casi:
- Se il tuo progetto o la tua rete utilizza Controlli di servizio VPC per limitare l'accesso di rete per Batch, devi configurare la rete seguendo la documentazione Utilizza i Controlli di servizio VPC con Batch.
- Se il vincolo del criterio dell'organizzazione
compute.vmExternalIpAccessrichiede che il tuo progetto crei VM senza indirizzi IP esterni o se la rete utilizza l'accesso privato Google, devi creare job che blocchino l'accesso esterno per tutte le VM. Se non puoi o non vuoi utilizzare la rete predefinita, devi specificare la rete per i job.
Per determinare se puoi utilizzare la rete predefinita per un job, verifica quanto segue:
- La rete predefinita esiste per il tuo progetto. I nuovi progetti Google Cloud includono automaticamente la rete predefinita, a meno che non venga abilitato il vincolo relativo ai criteri dell'organizzazione
compute.skipDefaultNetworkCreation. - La rete predefinita supporta eventuali requisiti di networking specifici. Tieni presente che, se la rete predefinita per il progetto viene modificata, tu o altri utenti potreste riscontrare problemi. Se hai bisogno di ulteriori informazioni sulla rete predefinita, consulta Configurazione di rete predefinita in questo documento.
- La rete predefinita esiste per il tuo progetto. I nuovi progetti Google Cloud includono automaticamente la rete predefinita, a meno che non venga abilitato il vincolo relativo ai criteri dell'organizzazione
Anche se non è obbligatorio, potresti configurare la rete per migliorare la sicurezza delle risorse e dei dati batch. Ad esempio, se vuoi migliorare la sicurezza per i job che utilizzano container e non bloccano l'accesso esterno per tutte le VM, puoi facoltativamente creare job che bloccano l'accesso esterno solo per uno o più container. L'utilizzo di una rete non predefinita o di restrizioni aggiuntive di networking può aiutarti a implementare i principi di privilegio minimo. Per ulteriori informazioni sulle opzioni che puoi utilizzare per configurare la rete per Batch, consulta il documento Come funziona il networking in questo documento.
In caso contrario, se non hai bisogno di configurare il networking o vuoi configurarlo, puoi creare un job senza specificare alcuna opzione di networking per l'utilizzo della configurazione di networking predefinita.
Come funziona il networking
Le sezioni seguenti spiegano i concetti relativi al networking per Batch:
Rete job
Ogni job viene eseguito su macchine virtuali (VM) di Compute Engine, che devono far parte di una rete VPC (Virtual Private Cloud) di Google Cloud e di una subnet di tale rete.
Le reti VPC connettono le VM ad altre origini, come Internet e altri servizi e risorse di Google Cloud. Ogni rete è composta da almeno una subnet, nota anche come subnet, che corrisponde a uno o più intervalli di indirizzi IP associati a una regione. Ogni VM ha un'interfaccia di rete con un indirizzo IP interno e un indirizzo IP esterno facoltativo allocato dalla subnet. Puoi configurare regole firewall per VPC per consentire o negare le connessioni per le VM in una rete. Ogni rete ha regole implicite che bloccano tutte le connessioni in entrata e consentono tutte le connessioni in uscita. In genere, una rete VPC può essere utilizzata solo all'interno del suo progetto, ma se vuoi utilizzare la stessa rete in più progetti, puoi utilizzare VPC condiviso.
In breve, ogni job viene eseguito su VM che utilizzano indirizzi IP per creare connessioni controllate dalle regole firewall per la rete.
Per ulteriori informazioni sui concetti di networking, consulta Panoramica del networking per le VM nella documentazione di Compute Engine e Panoramica del VPC (Virtual Private Cloud) nella documentazione del VPC.
Ulteriori limitazioni di networking
Per migliorare la sicurezza, una configurazione di rete potrebbe comportare ulteriori limitazioni rispetto alle sole regole firewall della rete. Ad esempio, il tuo progetto o la tua organizzazione può utilizzare i vincoli dei criteri dell'organizzazione o altri servizi Google Cloud per limitare il networking.
Le seguenti sezioni illustrano le opzioni più comuni per limitare ulteriormente il networking:
- Blocca le connessioni esterne per gli ambienti di runtime del job
- Limitare l'accesso di rete per Batch utilizzando Controlli di servizio VPC
Blocca connessioni esterne per ambienti di runtime del job
Puoi bloccare le connessioni esterne direttamente da e verso l'ambiente di runtime per un job utilizzando fino a una delle seguenti opzioni:
Blocca l'accesso esterno per tutte le VM per un job. Blocca l'accesso esterno alle VM di un job per creare un job che venga eseguito sulle VM senza indirizzi IP esterni. Questa opzione è spesso obbligatoria per una rete o un progetto oppure è facoltativa per migliorare la sicurezza.
Le VM senza indirizzi IP esterni sono accessibili solo tramite i loro indirizzi IP interni da un altro nodo sulla stessa rete, quindi devi configurare l'accesso a queste VM nel seguente modo:
Per eseguire un job sulle VM senza indirizzi IP esterni, utilizza Cloud NAT o accesso privato Google per consentire l'accesso ai domini per le API e i servizi utilizzati dal job. Ad esempio, tutti i job batch utilizzano le API Batch e Compute Engine e molto spesso usano l'API Cloud Logging.
Se tu o altri utenti avete bisogno di connetterti alle VM senza indirizzi IP esterni, consulta la sezione Scegli un'opzione di connessione per le VM solo per uso interno nella documentazione di Compute Engine.
Blocca l'accesso esterno per uno o più container per un job. Se un job utilizza i container e non blocca già l'accesso esterno per tutte le sue VM, puoi scegliere se bloccare l'accesso esterno per ogni container. Questa opzione è facoltativa e può essere utilizzata per migliorare la sicurezza quando specifichi la rete per un job o quando crei un job che utilizza la configurazione di rete predefinita.
Proteggere le risorse e i dati batch utilizzando i Controlli di servizio VPC
Oltre a bloccare l'accesso esterno per tutte le VM di un job, puoi facoltativamente limitare ulteriormente il networking tramite Controlli di servizio VPC.
A differenza delle altre opzioni di networking spiegate in questo documento, che possono limitare il networking solo per le VM o i container che eseguono job, i Controlli di servizio VPC consentono di limitare l'accesso di rete per le risorse e i dati dei servizi Google Cloud, ad esempio job e dati batch.
Puoi usare Controlli di servizio VPC per creare perimetri che proteggono le risorse e i dati dei servizi Google Cloud che specifichi. Il perimetro di servizio isola i servizi e le risorse selezionati, bloccando le connessioni con i servizi Google Cloud all'esterno del perimetro e le eventuali connessioni da Internet che non sono esplicitamente consentite. Per ulteriori informazioni, consulta la documentazione sui controlli di servizio VPC e sull'utilizzo dei controlli di servizio VPC con batch.
Configurazione di rete predefinita
Quando crei un job e non specifichi alcuna opzione di networking, le VM del job utilizzano la rete predefinita e la subnet per la località della VM.
A ogni progetto è assegnata una rete predefinita denominata default, a meno che non la elimini o la disattivi utilizzando il vincolo del criterio dell'organizzazione compute.skipDefaultNetworkCreation.
La rete predefinita è una rete in modalità automatica, perciò ha una subnet in ogni area geografica. Oltre alle regole firewall implicite per ogni rete, la rete default ha anche regole firewall precompilate che consentono l'accesso per casi d'uso comuni. Per ulteriori informazioni, consulta la sezione
Regole precompilate nella rete predefinita
nella documentazione VPC.
Considera l'utilizzo della configurazione di networking predefinita se non hai requisiti di rete per un job e non vuoi configurare il networking. Per dettagli su quando utilizzare la configurazione di networking predefinita, consulta Quando configurare il networking in questo documento.
Passaggi successivi
- Configura il networking per il batch:
- In alternativa, per creare un job che utilizza la configurazione predefinita di networking, consulta Creare ed eseguire un job di base.
- Puoi anche controllare l'accesso per un job utilizzando un account di servizio personalizzato.