이 문서에서는 Batch에서 VPC 서비스 제어를 사용하는 방법을 설명합니다. VPC 서비스 제어를 사용하면 특정 리소스를 서비스 경계로 격리하여 Google Cloud 서비스의 리소스와 데이터를 보호할 수 있습니다. 서비스 경계는 경계 외부의 Google Cloud 서비스와의 연결 및 명시적으로 허용되지 않는 인터넷 연결을 차단합니다.
- Batch를 사용하도록 VPC 서비스 제어 서비스 경계를 구성하려면 이 문서의 Batch에 대한 서비스 경계 구성을 참조하세요.
- 프로젝트 또는 네트워크에서 VPC 서비스 제어를 사용하여 Batch의 네트워킹 액세스를 제한하는 경우 필요한 서비스 경계에서 실행되도록 Batch 작업을 구성해야 합니다. 자세한 내용은 이 문서의 서비스 경계에서 실행되는 작업 만들기를 참조하세요.
네트워킹 개념과 네트워킹 구성 시기에 대한 자세한 내용은 Batch 네트워킹 개요를 참조하세요.
시작하기 전에
- Batch를 사용한 적이 없으면 Batch 시작하기를 검토하고 프로젝트 및 사용자 기본 요건을 완료하여 Batch를 사용 설정하세요.
-
Batch에서 VPC 서비스 제어를 사용하는 데 필요한 권한을 얻으려면 관리자에게 다음 IAM 역할을 부여해 달라고 요청하세요.
-
서비스 경계 구성: 프로젝트에 대한 Access Context Manager 편집자(
roles/accesscontextmanager.policyEditor
) - 작업 만들기:
-
프로젝트에 대한 Batch 작업 편집자(
roles/batch.jobsEditor
) -
기본적으로 기본 Compute Engine 서비스 계정인 작업의 서비스 계정에 대한 서비스 계정 사용자(
roles/iam.serviceAccountUser
)
-
프로젝트에 대한 Batch 작업 편집자(
-
프로젝트 또는 네트워크의 서비스 경계 식별: 프로젝트에 대한 Access Context Manager 리더(
roles/accesscontextmanager.policyReader
) -
작업에 대한 네트워크 및 서브넷 식별: 프로젝트의 Compute 네트워크 뷰어(
roles/compute.networkViewer
)
역할 부여에 대한 자세한 내용은 액세스 관리를 참조하세요.
-
서비스 경계 구성: 프로젝트에 대한 Access Context Manager 편집자(
-
서비스 경계에서 실행되는 작업을 만드는 경우 작업에 사용할 네트워크를 식별해야 합니다. 서비스 경계에서 실행되는 작업에 지정하는 네트워크는 다음 요구사항을 충족해야 합니다.
- 네트워크는 작업과 동일한 프로젝트에 있는 Virtual Private Cloud(VPC) 네트워크이거나 작업의 프로젝트에서 호스팅되거나 공유되는 공유 VPC 네트워크입니다.
- 네트워크에는 작업을 실행할 위치에 서브네트워크(서브넷)가 포함되어 있습니다.
- 네트워크가 필요한 서비스 경계에 있으며 비공개 Google 액세스를 사용하여 작업에서 사용하는 API와 서비스의 도메인에 대한 액세스를 허용합니다. 자세한 내용은 이 문서에서 Batch의 서비스 경계 구성을 참조하세요.
Batch의 서비스 경계 구성
Batch의 서비스 경계를 구성하려면 다음을 수행합니다.
서비스 경계의 구성을 계획합니다. 서비스 경계의 구성 단계에 대한 개요는 서비스 경계 세부정보 및 구성에 대한 VPC 서비스 제어 문서를 참조하세요.
Batch를 사용하려면 서비스 경계가 다음 요구사항을 충족해야 합니다.
제한된 서비스: 서비스 경계 내에서 Batch를 보호하려면 해당 경계에서 Batch 작업에 필요한 Google Cloud 서비스를 포함해야 합니다. 예를 들면 다음과 같은 서비스입니다.
- Batch API(
batch.googleapis.com
) - Cloud Logging API(
logging.googleapis.com
): 작업이 Cloud Logging에 로그를 쓰도록 하려면 필요합니다. (권장) - Container Registry API(
containerregistry.googleapis.com
): Container Registry의 이미지가 포함된 컨테이너를 사용하는 작업을 제출하는 경우에 필요합니다. - Artifact Registry API(
artifactregistry.googleapis.com
): Artifact Registry의 이미지가 포함된 컨테이너를 사용하는 작업을 제출하는 경우에 필요합니다. - Filestore API(
file.googleapis.com
): 작업에서 Filestore 파일 공유를 사용하는 경우 필요합니다. - Cloud Storage API(
storage.googleapis.com
): Cloud Storage 버킷을 사용하는 일부 작업에 필요합니다. Batch Service 에이전트가 사전 설치되어 있지 않은 Batch 작업에 이미지를 사용하는 경우 필수 항목입니다.
서비스 경계에서 이러한 각 서비스를 사용 설정하는 방법은 VPC 액세스 가능 서비스를 참조하세요.
또한 Batch를 제외한 각 서비스에 대해 서비스 경계가 VPC 서비스 제어 지원 제품 및 제한사항 문서에 나와 있는 해당 서비스의 요구사항을 충족하는지 확인해야 합니다.
- Batch API(
VPC 네트워크: 각 Batch 작업에는 VPC 네트워크가 필요하므로 서비스 경계에 Batch 작업을 실행할 수 있는 VPC 네트워크가 포함되어야 합니다. 서비스 경계 내에서 Batch 작업을 실행할 수 있는 VPC 네트워크를 구성하는 방법은 다음 문서를 참조하세요.
- 서비스 경계에서 VPC 네트워크를 사용하는 방법에 대한 개요는 서비스 경계에서 VPC 네트워크 관리를 참조하세요.
- VPC 서비스 제어와 함께 비공개 Google 액세스를 사용하여 Batch 작업에 필요한 Google Cloud 서비스에 대한 액세스를 구성하는 방법은 Google API 및 서비스에 대한 비공개 연결 설정을 참조하세요.
- Batch 작업의 네트워킹 요구사항에 대한 자세한 내용은 작업 네트워킹 개요를 참조하세요.
이러한 요구사항을 충족하도록 새 서비스 경계를 생성하거나 기존 서비스 경계를 업데이트합니다.
서비스 경계에서 실행되는 작업 만들기
서비스 경계에서 실행되는 작업을 만들 때는 작업이 실행되는 모든 VM에 대한 외부 액세스를 차단하고 작업이 필요한 API에 액세스할 수 있도록 허용하는 네트워크 및 서브넷을 지정해야 합니다.
서비스 경계에서 실행되는 작업을 만들려면 모든 VM의 외부 액세스를 차단하는 작업 만들기 문서의 단계를 따르고 서비스 경계에서 실행되는 작업의 네트워크 요구사항을 충족하는 네트워크를 지정합니다.
다음 단계
- 작업을 만들거나 실행하는 데 문제가 있는 경우 문제 해결을 참조하세요.
- 네트워킹에 대해 자세히 알아보세요.
- 작업 만들기에 대해 자세히 알아보세요.
- 작업 및 태스크 보기에 대해 자세히 알아보기