Batch에서 VPC 서비스 제어 사용

이 문서에서는 Batch에서 VPC 서비스 제어를 사용하는 방법을 설명합니다. VPC 서비스 제어를 사용하면 특정 리소스를 서비스 경계로 격리하여 Google Cloud 서비스의 리소스와 데이터를 보호할 수 있습니다. 서비스 경계는 경계 외부의 Google Cloud 서비스와의 연결 및 명시적으로 허용되지 않는 인터넷 연결을 차단합니다.

  • Batch를 사용하도록 VPC 서비스 제어 서비스 경계를 구성하려면 이 문서의 Batch에 대한 서비스 경계 구성을 참조하세요.
  • 프로젝트 또는 네트워크에서 VPC 서비스 제어를 사용하여 Batch의 네트워킹 액세스를 제한하는 경우 필요한 서비스 경계에서 실행되도록 Batch 작업을 구성해야 합니다. 자세한 내용은 이 문서의 서비스 경계에서 실행되는 작업 만들기를 참조하세요.

네트워킹 개념과 네트워킹 구성 시기에 대한 자세한 내용은 Batch 네트워킹 개요를 참조하세요.

시작하기 전에

Batch의 서비스 경계 구성

Batch의 서비스 경계를 구성하려면 다음을 수행합니다.

  1. 서비스 경계의 구성을 계획합니다. 서비스 경계의 구성 단계에 대한 개요는 서비스 경계 세부정보 및 구성에 대한 VPC 서비스 제어 문서를 참조하세요.

    Batch를 사용하려면 서비스 경계가 다음 요구사항을 충족해야 합니다.

    • 제한된 서비스: 서비스 경계 내에서 Batch를 보호하려면 해당 경계에서 Batch 작업에 필요한 Google Cloud 서비스를 포함해야 합니다. 예를 들면 다음과 같은 서비스입니다.

      • Batch API(batch.googleapis.com)
      • Cloud Logging API(logging.googleapis.com): 작업이 Cloud Logging에 로그를 쓰도록 하려면 필요합니다. (권장)
      • Container Registry API(containerregistry.googleapis.com): Container Registry의 이미지가 포함된 컨테이너를 사용하는 작업을 제출하는 경우에 필요합니다.
      • Artifact Registry API(artifactregistry.googleapis.com): Artifact Registry의 이미지가 포함된 컨테이너를 사용하는 작업을 제출하는 경우에 필요합니다.
      • Filestore API(file.googleapis.com): 작업에서 Filestore 파일 공유를 사용하는 경우 필요합니다.
      • Cloud Storage API(storage.googleapis.com): Cloud Storage 버킷을 사용하는 일부 작업에 필요합니다. Batch Service 에이전트가 사전 설치되어 있지 않은 Batch 작업에 이미지를 사용하는 경우 필수 항목입니다.

      서비스 경계에서 이러한 각 서비스를 사용 설정하는 방법은 VPC 액세스 가능 서비스를 참조하세요.

      또한 Batch를 제외한 각 서비스에 대해 서비스 경계가 VPC 서비스 제어 지원 제품 및 제한사항 문서에 나와 있는 해당 서비스의 요구사항을 충족하는지 확인해야 합니다.

    • VPC 네트워크: 각 Batch 작업에는 VPC 네트워크가 필요하므로 서비스 경계에 Batch 작업을 실행할 수 있는 VPC 네트워크가 포함되어야 합니다. 서비스 경계 내에서 Batch 작업을 실행할 수 있는 VPC 네트워크를 구성하는 방법은 다음 문서를 참조하세요.

  2. 이러한 요구사항을 충족하도록 새 서비스 경계를 생성하거나 기존 서비스 경계를 업데이트합니다.

서비스 경계에서 실행되는 작업 만들기

서비스 경계에서 실행되는 작업을 만들 때는 작업이 실행되는 모든 VM에 대한 외부 액세스를 차단하고 작업이 필요한 API에 액세스할 수 있도록 허용하는 네트워크 및 서브넷을 지정해야 합니다.

서비스 경계에서 실행되는 작업을 만들려면 모든 VM의 외부 액세스를 차단하는 작업 만들기 문서의 단계를 따르고 서비스 경계에서 실행되는 작업의 네트워크 요구사항을 충족하는 네트워크를 지정합니다.

다음 단계