Diese Seite wurde von der Cloud Translation API übersetzt.

VPC Service Controls mit Batch verwenden

In diesem Dokument wird beschrieben, wie Sie VPC Service Controls mit Batch verwenden. Mit VPC Service Controls können Sie die Ressourcen und Daten von Google Cloud -Diensten schützen, indem Sie bestimmte Ressourcen in Dienstperimetern isolieren. Ein Dienstperimeter blockiert Verbindungen zu Google Cloud- Diensten außerhalb des Perimeters sowie alle Verbindungen aus dem Internet, die nicht ausdrücklich zugelassen sind.

Informationen zum Konfigurieren eines VPC Service Controls-Dienstperimeters für die Verwendung von Batch finden Sie in diesem Dokument unter Dienstperimeter für Batch konfigurieren.
Wenn in Ihrem Projekt oder Netzwerk VPC Service Controls verwendet werden, um den Netzwerkzugriff für Batch zu beschränken, müssen Sie Ihre Batch-Jobs so konfigurieren, dass sie im erforderlichen Dienstperimeter ausgeführt werden. Weitere Informationen finden Sie in diesem Dokument unter Job erstellen, der in einem Dienstperimeter ausgeführt wird.

Weitere Informationen zu Netzwerkkonzepten und zum Konfigurieren von Netzwerken finden Sie unter Batch-Netzwerk – Übersicht.

Hinweise

Wenn Sie Batch noch nicht verwendet haben, lesen Sie den Hilfeartikel Batch-Dateien erstellen und ausführen und aktivieren Sie Batch, indem Sie die Voraussetzungen für Projekte und Nutzer erfüllen.
Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Verwenden von VPC Service Controls mit Batch benötigen:
- So konfigurieren Sie einen Dienstperimeter: Access Context Manager-Bearbeiter (roles/accesscontextmanager.policyEditor) für das Projekt
- So erstellen Sie einen Job:
  - Batch-Job-Bearbeiter (roles/batch.jobsEditor) für das Projekt
  - Dienstkontonutzer (roles/iam.serviceAccountUser) im Dienstkonto des Jobs, das standardmäßig das Compute Engine-Standarddienstkonto ist
- So identifizieren Sie den Dienstperimeter für ein Projekt oder Netzwerk: Access Context Manager-Leser (roles/accesscontextmanager.policyReader) für das Projekt
- So ermitteln Sie das Netzwerk und das Subnetz für einen Job: Compute-Netzwerkbetrachter (roles/compute.networkViewer) für das Projekt
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.
Wenn Sie einen Job erstellen, der in einem Dienstperimeter ausgeführt wird, müssen Sie das Netzwerk angeben, das Sie für den Job verwenden möchten. Das Netzwerk, das Sie für einen Job angeben, der in einem Dienstperimeter ausgeführt wird, muss die folgenden Anforderungen erfüllen:
- Das Netzwerk ist ein VPC-Netzwerk (Virtual Private Cloud), das sich im selben Projekt wie der Job befindet, oder ein freigegebenes VPC-Netzwerk, das vom Projekt für den Job gehostet oder mit diesem geteilt wird.
- Das Netzwerk umfasst ein Subnetzwerk an dem Ort, an dem Sie den Job ausführen möchten.
- Das Netzwerk befindet sich im erforderlichen Dienstperimeter und verwendet den privater Google-Zugriff, um den Zugriff auf die Domains für die APIs und Dienste zu ermöglichen, die für Ihren Job verwendet werden. Weitere Informationen finden Sie in diesem Dokument unter Dienstperimeter für Batch konfigurieren.
Weitere Informationen finden Sie unter VPC-Netzwerke erstellen und verwalten.

Dienstperimeter für Batch konfigurieren

So konfigurieren Sie einen Dienstperimeter für Batch:

Planen Sie die Konfiguration für Ihren Dienstperimeter. Eine Übersicht über die Konfigurationsphasen für Dienstperimeter finden Sie in der VPC Service Controls-Dokumentation unter Details und Konfiguration von Dienstperimetern.

Damit Sie Batch verwenden können, muss der Dienstperimeter die folgenden Anforderungen erfüllen:
- Eingeschränkte Dienste:Wenn Sie Batch innerhalb eines Dienstperimeters schützen möchten, müssen Sie die Google Cloud -Dienste einschließen, die für Ihre Batch-Jobs in diesem Perimeter erforderlich sind, z. B. die folgenden Dienste:
  - Batch API (batch.googleapis.com)
  - Cloud Logging API (logging.googleapis.com): Erforderlich, wenn Ihre Jobs Protokolle in Cloud Logging schreiben sollen. (Empfohlen)
  - Container Registry API (containerregistry.googleapis.com): Erforderlich, wenn Sie einen Job einreichen, der Container mit einem Image aus Container Registry verwendet.
  - Artifact Registry API (artifactregistry.googleapis.com): Ist erforderlich, wenn Sie einen Job einreichen, der Container mit einem Image aus der Artifact Registry verwendet.
  - Filestore API (file.googleapis.com): Erforderlich, wenn für Ihren Job eine Filestore-Dateifreigabe verwendet wird.
  - Cloud Storage API (storage.googleapis.com): Erforderlich für einige Jobs, die einen Cloud Storage-Bucket verwenden. Erforderlich, wenn Sie für Ihren Batchjob ein Image verwenden, auf dem der Batch-Dienst-Agent nicht vorinstalliert ist.
  Informationen zum Aktivieren der einzelnen Dienste in Ihrem Dienstperimeter finden Sie unter Über VPC zugängliche Dienste.
  
  Achtung: Damit Ihre Batch-Jobs vollständig durch den Dienstperimeter geschützt sind, müssen Sie alle Dienste angeben, die Sie verwenden möchten.
  
  Für jeden anderen Dienst, den Sie einschließen, müssen Sie außerdem prüfen, ob Ihr Dienstperimeter die Anforderungen erfüllt, die in der Dokumentation Unterstützte Produkte und Einschränkungen von VPC Service Controls für diesen Dienst aufgeführt sind.
- VPC-Netzwerke:Für jeden Batchjob ist ein VPC-Netzwerk erforderlich. Ihr Dienstperimeter muss also ein VPC-Netzwerk enthalten, auf dem Batchjobs ausgeführt werden können. Informationen zum Konfigurieren eines VPC-Netzwerk, in dem Ihre Batchjobs innerhalb eines Dienstperimeters ausgeführt werden können, finden Sie in den folgenden Dokumenten:
  - Eine Übersicht zur Verwendung von VPC-Netzwerken in einem Dienstperimeter finden Sie unter VPC-Netzwerke in Dienstperimetern verwalten.
  - Informationen dazu, wie Sie den privater Google-Zugriff mit VPC Service Controls verwenden, um den Zugriff auf die für Ihre Batchjobs erforderlichen Google Cloud-Dienste zu konfigurieren, finden Sie unter Private Verbindung zu Google APIs und ‑Diensten einrichten.
  - Weitere Informationen zu den Netzwerkanforderungen für Batchjobs finden Sie unter Netzwerkkonfiguration für Jobs – Übersicht.
Erstellen Sie einen neuen Dienstperimeter oder aktualisieren Sie einen vorhandenen Dienstperimeter, um diese Anforderungen zu erfüllen.

Job erstellen, der in einem Dienstperimeter ausgeführt wird

Wenn Sie einen Job erstellen, der in einem Dienstperimeter ausgeführt wird, müssen Sie auch den externen Zugriff für alle VMs blockieren, auf denen der Job ausgeführt wird, und ein Netzwerk und ein Subnetz angeben, über die der Job auf die erforderlichen APIs zugreifen kann.

Wenn Sie einen Job erstellen möchten, der in einem Dienstperimeter ausgeführt wird, folgen Sie der Anleitung unter Job erstellen, der den externen Zugriff für alle VMs blockiert und geben Sie ein Netzwerk an, das den Netzwerkanforderungen für einen Job entspricht, der in einem Dienstperimeter ausgeführt wird.

Nächste Schritte

Wenn beim Erstellen oder Ausführen eines Jobs Probleme auftreten, lesen Sie den Hilfeartikel Fehlerbehebung.
Weitere Informationen zum Networking
Weitere Informationen zum Erstellen von Jobs
Weitere Informationen