Especificar a rede de um job

Neste documento, explicamos como especificar a rede das VMs que executam um job.

É possível controlar as conexões das VMs que executam um job especificando uma rede com o acesso desejado. Por exemplo, é possível especificar uma rede que permita que um job acesse os recursos necessários ou limite o acesso para melhorar a segurança. Como alternativa, se você não tiver requisitos de rede e não quiser configurar a rede para um job, pule a especificação da rede para usar a configuração de rede padrão.

Para mais informações sobre conceitos de rede e quando configurar a rede, consulte Visão geral da rede em lote.

Antes de começar

Se você nunca usou o Batch, consulte Primeiros passos com o Batch e ative-o cumprindo os pré-requisitos para projetos e usuários.
Para receber as permissões necessárias para criar um job executado em uma rede específica, peça ao administrador para conceder a você os seguintes papéis do IAM:
- Editor de jobs em lote (roles/batch.jobsEditor) no projeto
- Usuário da conta de serviço (roles/iam.serviceAccountUser) na conta de serviço do job, que, por padrão, é a conta de serviço padrão do Compute Engine.
- Para identificar a rede e a sub-rede: Leitor de rede do Compute (roles/compute.networkViewer) no projeto
Para mais informações sobre como conceder papéis, consulte Gerenciar acesso.

Também é possível conseguir as permissões necessárias usando papéis personalizados ou outros papéis predefinidos.
Identifique a rede que você quer usar para o job. A rede especificada para um job precisa atender aos seguintes requisitos:
- A rede é uma rede de nuvem privada virtual (VPC) que está no mesmo projeto do job ou é uma rede VPC compartilhada hospedada ou compartilhada com o projeto do job.
- A rede inclui uma sub-rede (sub-rede) no local em que você quer executar o job.
- A rede permite o acesso necessário para o job. Por exemplo, se o job exigir comunicação entre VMs, como um job que usa bibliotecas MPI para se comunicar entre tarefas fortemente acopladas, verifique se a rede tem uma regra de firewall que permita conexões entre as VMs do job.
  
  Saiba como configurar regras de firewall da VPC para casos de uso comuns.
Para mais informações, consulte Criar e gerenciar redes VPC.
Se você quiser que um job seja executado em uma sub-rede de uma rede VPC compartilhada hospedada por outro projeto, o agente de serviço em lote do seu projeto precisa receber permissão para usar essa sub-rede.
Para garantir que o agente de serviço do Batch do seu projeto tenha as permissões necessárias para criar um job que seja executado em uma sub-rede de uma rede VPC compartilhada, peça ao administrador para conceder ao agente de serviço do Batch do seu projeto o papel do IAM Usuário da rede do Compute (roles/compute.networkUser) na sub-rede VPC compartilhada.

Cuidado: se você conceder ao agente de serviço em lote o papel do IAM de usuário da rede do Compute (roles/compute.networkUser) em uma sub-rede VPC compartilhada, você permitirá que todos os participantes do projeto com permissão para criar jobs em lote façam isso usando essa sub-rede VPC compartilhada.

Para mais informações, consulte a documentação sobre como configurar a VPC compartilhada para contas de serviço.

Criar um job que seja executado em uma rede específica

Especifique a rede de um job ao criá-lo. Especificamente, é necessário especificar uma rede VPC e uma sub-rede localizada onde você quer executar esse job.

Se você quiser usar um modelo de instância de VM ao criar esse job, especifique a rede no modelo de instância de VM. Caso contrário, use as etapas a seguir para especificar a rede de um job usando a CLI gcloud ou a API Batch.

gcloud

Para criar um job que é executado em uma rede específica usando a CLI gcloud, selecione uma das seguintes opções:

Use sinalizações da gcloud para especificar a rede de um job
Use os campos JSON para especificar a rede de um job

Use sinalizações da gcloud para especificar a rede de um job

Para criar um job e usar as sinalizações gcloud para especificar a rede para o job, siga estas etapas:

Crie um arquivo JSON que especifique os detalhes de configuração do job.

Por exemplo, para criar um job de script básico, crie um arquivo JSON com o conteúdo a seguir.

{
  "taskGroups": [
    {
      "taskSpec": {
        "runnables": [
          {
            "script": {
              "text": "echo Hello world! This is task ${BATCH_TASK_INDEX}. This job has a total of ${BATCH_TASK_COUNT} tasks."
            }
          }
        ]
      },
      "taskCount": 3
    }
  ],
  "logsPolicy": {
    "destination": "CLOUD_LOGGING"
  }
}

Crie o job usando o comando gcloud batch jobs submit. Para especificar a rede do job, inclua as sinalizações --network e --subnetwork.
```
gcloud batch jobs submit JOB_NAME \
    --location LOCATION \
    --config JSON_CONFIGURATION_FILE \
    --network projects/HOST_PROJECT_ID/global/networks/NETWORK \
    --subnetwork projects/HOST_PROJECT_ID/regions/REGION/subnetworks/SUBNET
```
Substitua:
- JOB_NAME: o nome deste job.
- LOCATION: o local deste job.
- JSON_CONFIGURATION_FILE: o caminho para o arquivo JSON com os detalhes de configuração do job.
- HOST_PROJECT_ID: o ID do projeto para a rede que você especificar:
  - Se você estiver usando uma rede VPC compartilhada, especifique o projeto host.
  - Caso contrário, especifique o projeto atual.
- NETWORK: o nome de uma rede VPC no projeto atual ou de uma rede VPC compartilhada hospedada ou compartilhada com o projeto atual.
- REGION: a região onde estão localizadas a sub-rede e as VMs do job:
  - Se você incluir o campo allowedLocations para especificar o local permitido das VMs do job, será necessário especificar a mesma região aqui.
  - Caso contrário, a região precisará ser igual ao local selecionado para o job (LOCATION).
- SUBNET: o nome de uma sub-rede que faz parte da rede VPC e está localizada na mesma região das VMs do job.

Use campos JSON para especificar a rede de um job

Para criar um job e usar campos no arquivo de configuração JSON para especificar a rede para o job, conclua as seguintes etapas:

Crie um arquivo JSON que especifique os detalhes de configuração do job. Para especificar a rede do job, inclua os campos network e subnetwork.

Por exemplo, para criar um job de script básico que seja executado em uma rede específica, crie um arquivo JSON com o conteúdo a seguir.
```
{
  "taskGroups": [
    {
      "taskSpec": {
        "runnables": [
          {
            "script": {
              "text": "echo Hello world! This is task ${BATCH_TASK_INDEX}. This job has a total of ${BATCH_TASK_COUNT} tasks."
            }
          }
        ]
      },
      "taskCount": 3
    }
  ],
  "allocationPolicy": {
    "network": {
      "networkInterfaces": [
        {
          "network": "projects/HOST_PROJECT_ID/global/networks/NETWORK",
          "subnetwork": "projects/HOST_PROJECT_ID/regions/REGION/subnetworks/SUBNET"
        }
      ]
    }
  },
  "logsPolicy": {
    "destination": "CLOUD_LOGGING"
  }
}
```
Substitua:
- HOST_PROJECT_ID: o ID do projeto para a rede que você especificar:
  - Se você estiver usando uma rede VPC compartilhada, especifique o projeto host.
  - Caso contrário, especifique o projeto atual.
- NETWORK: o nome de uma rede VPC no projeto atual ou de uma rede VPC compartilhada hospedada ou compartilhada com o projeto atual.
- REGION: a região onde estão localizadas a sub-rede e as VMs do job:
  - Se você incluir o campo allowedLocations para especificar o local permitido das VMs do job, será necessário especificar a mesma região aqui.
  - Caso contrário, a região precisará ser igual ao local selecionado para o job (LOCATION).
- SUBNET: o nome de uma sub-rede que faz parte da rede VPC e está localizada na mesma região das VMs do job.
Crie o job usando o comando gcloud batch jobs submit.
```
gcloud batch jobs submit JOB_NAME \
    --location LOCATION \
    --config JSON_CONFIGURATION_FILE
```
Substitua:
- JOB_NAME: o nome deste job.
- LOCATION: o local deste job.
- JSON_CONFIGURATION_FILE: o caminho para o arquivo JSON com os detalhes de configuração do job.

API

Para criar um job usando a API Batch, use o método jobs.create e especifique os detalhes de configuração do job. Para especificar a rede do job, inclua os campos network e subnetwork.

Por exemplo, para criar um job de script básico que seja executado em uma rede específica, faça a seguinte solicitação POST:

POST https://batch.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/jobs?job_id=JOB_NAME

{
  "taskGroups": [
    {
      "taskSpec": {
        "runnables": [
          {
            "script": {
              "text": "echo Hello world! This is task ${BATCH_TASK_INDEX}. This job has a total of ${BATCH_TASK_COUNT} tasks."
            }
          }
        ]
      },
      "taskCount": 3
    }
  ],
  "allocationPolicy": {
    "network": {
      "networkInterfaces": [
        {
          "network": "projects/HOST_PROJECT_ID/global/networks/NETWORK",
          "subnetwork": "projects/HOST_PROJECT_ID/regions/REGION/subnetworks/SUBNET"
        }
      ]
    }
  },
  "logsPolicy": {
    "destination": "CLOUD_LOGGING"
  }
}

Substitua:

PROJECT_ID: o ID do projeto.
LOCATION: o local deste job.
JOB_NAME: o nome deste job.
HOST_PROJECT_ID: o ID do projeto para a rede que você especificar:
- Se você estiver usando uma rede VPC compartilhada, especifique o projeto host.
- Caso contrário, especifique o projeto atual (PROJECT_ID).
NETWORK: o nome de uma rede VPC no projeto atual ou de uma rede VPC compartilhada hospedada ou compartilhada com o projeto atual.
REGION: a região onde estão localizadas a sub-rede e as VMs do job:
- Se você incluir o campo allowedLocations para especificar o local permitido das VMs do job, será necessário especificar a mesma região aqui.
- Caso contrário, a região precisará ser igual ao local selecionado para o job (LOCATION).
SUBNET: o nome de uma sub-rede que faz parte da rede VPC e está localizada na mesma região das VMs do job.

A seguir

Se você tiver problemas para criar ou executar um job, consulte Solução de problemas.
Saiba mais sobre redes.
Saiba mais sobre como criar um job.
Saiba como visualizar jobs e tarefas.