Questo documento spiega come utilizzare Controlli di servizio VPC con Batch. I Controlli di servizio VPC ti consentono di proteggere le risorse e i dati dei servizi Google Cloud isolando risorse specifiche in perimetri di servizio. Un servizio il perimetro blocca le connessioni con i servizi Google Cloud all'esterno al perimetro e a tutte le connessioni da internet che non siano esplicitamente consentito.
- Per configurare un perimetro di servizio dei Controlli di servizio VPC per l'utilizzo di Batch, consulta Configurare un perimetro di servizio per Batch in questo documento.
- Se il progetto o la rete utilizza Controlli di servizio VPC per limitare l'accesso alla rete per Batch, devi configurare Job batch da eseguire nel perimetro di servizio richiesto. Per scoprire come fare, vedi Crea un job eseguito in un perimetro di servizio in questo documento.
Per ulteriori informazioni sui concetti di networking e quando configurare il networking, consulta Panoramica del networking in batch.
Prima di iniziare
- Se non hai mai utilizzato Batch, rivedi Inizia a utilizzare Batch e abilita Batch, completando prerequisiti per progetti e utenti.
-
Per ottenere le autorizzazioni necessarie per utilizzare Controlli di servizio VPC con Batch, chiedi all'amministratore di concederti seguenti ruoli IAM:
-
Per configurare un perimetro di servizio:
Editor Gestore contesto accesso (
roles/accesscontextmanager.policyEditor) del progetto -
Per creare un job:
-
Editor job batch (
roles/batch.jobsEditor) del progetto -
Utente account di servizio (
roles/iam.serviceAccountUser) nell'account di servizio del job, che per impostazione predefinita è l'account di servizio Compute Engine predefinito
-
Editor job batch (
-
Per identificare il perimetro di servizio per un progetto o una rete:
Lettore Gestore contesto accesso (
roles/accesscontextmanager.policyReader) del progetto -
Per identificare la rete e la subnet per un job:
Compute Network Viewer (
roles/compute.networkViewer) nel progetto
Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.
Potresti anche riuscire a ottenere le autorizzazioni richieste tramite la ruoli o altri ruoli predefiniti ruoli.
-
Per configurare un perimetro di servizio:
Editor Gestore contesto accesso (
-
Se crei un job che viene eseguito in un perimetro di servizio, devi identificare
che vuoi utilizzare per il job. La rete specificata per un
il job eseguito in un perimetro di servizio deve soddisfare i seguenti requisiti:
- La rete è un Rete Virtual Private Cloud (VPC) stesso progetto del job o è una Rete VPC condivisa ospitato o condiviso con il progetto relativo al job.
- La rete include una subnet. nella posizione in cui vuoi eseguire il job.
- La rete si trova nel perimetro del servizio richiesto e utilizza Accesso privato Google per consentire l'accesso ai domini per le API e i servizi utilizzati dal tuo job. Per ulteriori informazioni, vedi Configura un perimetro di servizio per Batch in questo documento.
Configura un perimetro di servizio per Batch
Per configurare un perimetro di servizio per Batch:
Pianifica la configurazione del perimetro di servizio. Per una panoramica delle fasi di configurazione dei perimetri di servizio, consulta la documentazione dei Controlli di servizio VPC relativa a Dettagli e configurazione dei perimetri di servizio.
Per utilizzare Batch, il perimetro di servizio deve soddisfare quanto segue requisiti:
Servizi limitati:per proteggere Batch all'interno di un devi includere i servizi Google Cloud che per i job batch in quel perimetro, quali i seguenti servizi:
- API Batch (
batch.googleapis.com) - API Cloud Logging (
logging.googleapis.com): obbligatoria se vuoi i tuoi job per scrivere i log in Cloud Logging. (Consigliato) - API Container Registry (
containerregistry.googleapis.com): Obbligatorio se invii un job che utilizza container con un'immagine da e Container Registry. - API Artifact Registry (
artifactregistry.googleapis.com): Obbligatorio se invii un job che utilizza container con un'immagine da Artifact Registry. - API Filestore (
file.googleapis.com): obbligatoria se le tue usa un job Condivisione file di Filestore. - API Cloud Storage (
storage.googleapis.com): obbligatoria per alcuni lavori che utilizzano un bucket Cloud Storage. Obbligatorio se utilizzi un'immagine per il job batch che non ha l'agente di servizio batch preinstallato.
Per scoprire come attivare ciascuno di questi servizi nel perimetro di servizio, consulta Servizi accessibili da VPC.
Per ogni servizio che includi diversi da Batch, devi anche verificare che il perimetro di servizio soddisfi i requisiti elencati per quel servizio Prodotti supportati e limitazioni per i Controlli di servizio VPC documentazione.
- API Batch (
Reti VPC: ogni job batch richiede una rete VPC, quindi il perimetro di servizio deve includi una rete VPC che esegue un job batch su cui possono essere eseguiti. Per scoprire come configurare una rete VPC che possa eseguire i job Batch all'interno di un perimetro di servizio, consulta i seguenti documenti:
- Per una panoramica dell'utilizzo delle reti VPC in un servizio perimetrale, vedi Gestione delle reti VPC nei perimetri di servizio.
- Per scoprire come utilizzare l'accesso privato Google con Controlli di servizio VPC per configurare l'accesso a Google Cloud richiesti per i tuoi job batch, consulta Configura la connettività privata alle API e ai servizi Google.
- Per ulteriori informazioni sui requisiti di rete per i job batch, consulta la Panoramica della rete dei job.
Crea un nuovo perimetro di servizio oppure aggiorna un perimetro di servizio esistente per soddisfare questi requisiti.
Crea un job eseguito in un perimetro di servizio
Quando crei un job che viene eseguito in un perimetro di servizio, devi anche bloccare l'accesso esterno per tutte le VM su cui viene eseguito un job e specificare una rete che consentono al job di accedere alle API richieste.
Per creare un job che viene eseguito in un perimetro di servizio, segui i passaggi nella documentazione di Crea un job che blocchi l'accesso esterno per tutte le VM e specificare una rete che soddisfa requisiti di rete per un job eseguito in un perimetro di servizio.
Passaggi successivi
- Se hai problemi durante la creazione o l'esecuzione di un job, consulta la sezione Risoluzione dei problemi.
- Scopri di più sul networking.
- Scopri di più sulla creazione di un job.
- Scopri come visualizzare lavori e attività.