Diese Seite wurde von der Cloud Translation API übersetzt.

VPC Service Controls mit Batch verwenden

In diesem Dokument wird die Verwendung von VPC Service Controls mit Batch erläutert. Mit VPC Service Controls können Sie die Ressourcen und Daten von Google Cloud-Diensten schützen, indem Sie bestimmte Ressourcen in Dienstperimetern isolieren. Dienst Perimeter blockiert Verbindungen mit Google Cloud-Diensten außerhalb von den Perimeter und alle Verbindungen aus dem Internet, die nicht explizit zulässig.

So konfigurieren Sie einen zu verwendenden VPC Service Controls-Dienstperimeter Batch, siehe Dienstperimeter für Batch konfigurieren in diesem Dokument.
Wenn in Ihrem Projekt oder Netzwerk VPC Service Controls verwendet werden, um den Netzwerkzugriff für Batch zu beschränken, müssen Sie Ihre Batch-Jobs so konfigurieren, dass sie im erforderlichen Dienstperimeter ausgeführt werden. Weitere Informationen dazu finden Sie unter Job erstellen, der in einem Dienstperimeter ausgeführt wird in diesem Dokument.

Weitere Informationen zu Netzwerkkonzepten und zum Konfigurieren von Netzwerken finden Sie unter Batch-Netzwerk – Übersicht.

Hinweise

Wenn Sie Batch zum ersten Mal verwenden, lesen Sie Erste Schritte mit Batch und aktivieren Sie Batch, indem Sie den Voraussetzungen für Projekte und Nutzer.
Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Verwenden von VPC-Dienststeuerungen mit Batch benötigen:
- So konfigurieren Sie einen Dienstperimeter: Access Context Manager-Bearbeiter (roles/accesscontextmanager.policyEditor) für das Projekt
- So erstellen Sie einen Job:
  - Batch-Job-Bearbeiter (roles/batch.jobsEditor) für das Projekt
  - Dienstkontonutzer (roles/iam.serviceAccountUser) für das Dienstkonto des Jobs, das standardmäßig das Compute Engine-Standarddienstkonto ist
- So ermitteln Sie den Dienstperimeter für ein Projekt oder Netzwerk: Access Context Manager-Leser (roles/accesscontextmanager.policyReader) für das Projekt
- So ermitteln Sie das Netzwerk und das Subnetz für einen Job: Compute-Netzwerkbetrachter (roles/compute.networkViewer) für das Projekt
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.
Wenn Sie einen Job erstellen, der in einem Dienstperimeter ausgeführt wird, müssen Sie den das Sie für den Job verwenden möchten. Das Netzwerk, das Sie für einen Job angeben, der in einem Dienstperimeter ausgeführt wird, muss die folgenden Anforderungen erfüllen:
- Das Netzwerk ist ein Virtual Private Cloud-Netzwerk (VPC), das sich in der wie der Job, oder ist ein Freigegebenes VPC-Netzwerk das vom Projekt gehostet oder für den Job freigegeben wird.
- Das Netzwerk enthält ein Subnetzwerk (Subnetz) an dem Standort an, an dem Sie den Job ausführen möchten.
- Das Netzwerk befindet sich im erforderlichen Dienstperimeter und verwendet den privaten Google-Zugriff, um den Zugriff auf die Domains für die APIs und Dienste zu ermöglichen, die für Ihren Job verwendet werden. Weitere Informationen finden Sie in diesem Dokument unter Dienstperimeter für Batch konfigurieren.
Weitere Informationen finden Sie unter Erstellen und VPC-Netzwerke verwalten.

Dienstperimeter für Batch konfigurieren

So konfigurieren Sie einen Dienstperimeter für Batch:

Planen Sie die Konfiguration für Ihren Dienstperimeter. Eine Übersicht über die Konfigurationsphasen für Dienstperimeter finden Sie in der VPC Service Controls-Dokumentation unter Details und Konfiguration von Dienstperimetern.

Damit Sie Batch verwenden können, muss der Dienstperimeter folgende Anforderungen erfüllen Anforderungen:
- Eingeschränkte Dienste:Damit können Sie Batch innerhalb einer Dienstperimeter, müssen Sie die Google Cloud-Dienste einschließen, die sind für die Batchjobs in diesem Perimeter erforderlich, wie die folgenden Dienste:
  - Batch API (batch.googleapis.com)
  - Cloud Logging API (logging.googleapis.com): Erforderlich, wenn Ihre Jobs Protokolle in Cloud Logging schreiben sollen. (Empfohlen)
  - Container Registry API (containerregistry.googleapis.com): Erforderlich, wenn Sie einen Job senden, der Container mit einem Image aus Container Registry.
  - Artifact Registry API (artifactregistry.googleapis.com): Ist erforderlich, wenn Sie einen Job einreichen, der Container mit einem Image aus der Artifact Registry verwendet.
  - Filestore API (file.googleapis.com): Erforderlich, wenn für Ihren Job eine Filestore-Dateifreigabe verwendet wird.
  - Cloud Storage API (storage.googleapis.com): Für einige erforderlich Jobs mit einem Cloud Storage-Bucket. Erforderlich, wenn Sie für Ihren Batchjob ein Image verwenden, auf dem der Batch-Dienst-Agent nicht vorinstalliert ist.
  Informationen zum Aktivieren der einzelnen Dienste in Ihrem Dienstperimeter finden Sie unter Über VPC zugängliche Dienste.
  
  Achtung: Damit Ihre Batch-Jobs vollständig durch den Dienstperimeter geschützt sind, müssen Sie alle Dienste angeben, die Sie verwenden möchten.
  
  Für jeden anderen Dienst, den Sie einschließen, müssen Sie außerdem prüfen, ob Ihr Dienstperimeter die Anforderungen erfüllt, die in der Dokumentation Unterstützte Produkte und Einschränkungen von VPC Service Controls für diesen Dienst aufgeführt sind.
- VPC-Netzwerke: Für jeden Batchjob ist ein VPC-Netzwerk erforderlich. Ihr Dienstperimeter muss also ein VPC-Netzwerk enthalten, auf dem Batchjobs ausgeführt werden können. Hier erfahren Sie, wie Sie ein VPC-Netzwerk konfigurieren, können Ihre Batchjobs innerhalb eines Dienstperimeters ausführen, siehe folgende Dokumente:
  - Übersicht über die Verwendung von VPC-Netzwerken in einem Dienst Perimeter, siehe Verwaltung von VPC-Netzwerken in Dienstperimetern
  - Weitere Informationen zur Verwendung des privater Google-Zugriff mit VPC Service Controls zum Konfigurieren des Zugriffs auf Google Cloud Dienste, die für Ihre Batchjobs erforderlich sind, finden Sie unter Private Verbindung zu Google APIs und Google-Diensten einrichten
  - Weitere Informationen zu den Netzwerkanforderungen für Batchjobs finden Sie unter Netzwerkkonfiguration für Jobs – Übersicht.
Erstellen Sie einen neuen Dienstperimeter oder aktualisieren Sie einen vorhandenen Dienstperimeter, um diese Anforderungen zu erfüllen.

Job erstellen, der in einem Dienstperimeter ausgeführt wird

Wenn Sie einen Job erstellen, der in einem Dienstperimeter ausgeführt wird, müssen Sie außerdem den externen Zugriff für alle VMs blockieren, auf denen ein Job ausgeführt wird, und ein Netzwerk und Subnetz verwenden, das dem Job den Zugriff auf erforderliche APIs ermöglicht.

Wenn Sie einen Job erstellen möchten, der in einem Dienstperimeter ausgeführt wird, folgen Sie der Anleitung unter Job erstellen, der den externen Zugriff für alle VMs blockiert und geben Sie ein Netzwerk an, das den Netzwerkanforderungen für einen Job entspricht, der in einem Dienstperimeter ausgeführt wird.

Nächste Schritte

Wenn beim Erstellen oder Ausführen eines Jobs Probleme auftreten, lesen Sie den Abschnitt Fehlerbehebung.
Weitere Informationen zu Netzwerken
Weitere Informationen zum Erstellen von Jobs
Weitere Informationen