将 VPC Service Controls 与 Batch 搭配使用

本文档介绍了如何将 VPC Service Controls 与 Batch 搭配使用。 VPC Service Controls 可帮助你保护 Google Cloud 服务的资源和数据 将特定资源隔离到多个服务边界内。服务 边界会阻止与外部 Google Cloud 服务的连接 边界以及来自互联网的任何未明确显示的连接 允许。

• 配置 VPC Service Controls 服务边界以使用 批处理，请参阅 为 Batch 配置服务边界 。
• 如果您的项目或网络使用 VPC Service Controls 限制了对批处理作业的网络访问权限，您必须将批处理作业配置为在所需的服务边界内运行。要了解具体方法，请参阅 创建在服务边界中运行的作业 。

如需详细了解网络概念和 何时配置网络，请参见 批量网络概览。

准备工作

1. 如果您以前没有使用过 Batch，请参阅 Batch 使用入门 并通过填写 针对项目和用户的前提条件。

2. 如需获取将 VPC Service Controls 与 Batch 搭配使用所需的权限， 请让管理员授予您 以下 IAM 角色：

   • 要配置服务边界，请执行以下操作： Access Context Manager Editor (roles/accesscontextmanager.policyEditor) 针对项目
   • 如需创建作业，请执行以下操作：
     • Batch Job Editor (roles/batch.jobsEditor) 针对项目
     • Service Account User (roles/iam.serviceAccountUser) 服务账号用户 针对作业的服务账号，该账号默认为默认 Compute Engine 服务账号
   • 如需识别项目或网络的服务边界，请使用项目的 Access Context Manager Reader (roles/accesscontextmanager.policyReader) 角色： Access Context Manager Reader (roles/accesscontextmanager.policyReader)
   • 如需确定作业的网络和子网，请执行以下操作： Compute Network Viewer (roles/compute.networkViewer) 针对项目

   如需详细了解如何授予角色，请参阅管理对项目、文件夹和组织的访问权限。

   您也可以通过自定义角色或其他预定义角色来获取所需的权限。

3. 如果您创建要在服务边界中运行的作业，则需要指定要为作业使用的网络。您为广告指定的广告网络 在服务边界中运行的作业必须满足以下要求：
   • 该网络是 虚拟私有云 (VPC) 网络，位于 项目与作业相同，或者属于 共享 VPC 网络 （由作业的项目托管或与其共享）。
   • 该网络包含一个子网 在您想要运行作业的位置。
   • 该网络位于所需的服务边界内，并使用 专用 Google 访问通道，用于允许访问 API 和 所有服务。如需了解详情，请参阅 为 Batch 配置服务边界 。
   如需了解详情，请参阅创建和管理 VPC 网络。

为 Batch 配置服务边界

如需为 Batch 配置服务边界，请执行以下操作：

1. 规划服务边界的配置。如需简要了解 服务边界的配置阶段，请参阅 VPC Service Controls 文档 服务边界详情和配置。

   如需使用批处理功能，服务边界必须满足以下要求：

   • 受限服务：如需在 您必须包括 该边界内的批处理作业所需的资源， 例如以下服务：

     • Batch API (batch.googleapis.com)
     • Cloud Logging API (logging.googleapis.com)：如果需要，则必须使用此 API 将日志写入 Cloud Logging。（推荐）
     • Container Registry API (containerregistry.googleapis.com)： 如果您要提交的作业使用任何容器，且该作业使用来自以下来源的映像，则 Container Registry
     • Artifact Registry API (artifactregistry.googleapis.com)： 如果您要提交的作业使用任何容器，且该作业使用来自以下来源的映像，则 Artifact Registry
     • Filestore API (file.googleapis.com)：如果您的 作业使用 Filestore 文件共享。
     • Cloud Storage API (storage.googleapis.com)：部分用户需要 使用 Cloud Storage 存储桶。 如果您使用 批处理作业的容器映像 批量服务代理 。

     如需了解如何在服务边界中启用上述各项服务，请参阅 VPC 可访问服务。

     对于包含的除 Batch 以外的其他每项服务，您还可以 需要验证您的服务边界是否符合所列的要求 找到相应服务的 VPC Service Controls 支持的产品和限制 文档。

   • VPC 网络：每个批量作业 需要 VPC 网络，因此您的服务边界必须 包含支持批处理作业的 VPC 网络 如需了解如何配置可在服务边界内运行批处理作业的 VPC 网络，请参阅以下文档：

     • 简要介绍如何在服务中使用 VPC 网络 请参见 服务边界中的 VPC 网络管理。
     • 了解如何将专用 Google 访问通道与 使用 VPC Service Controls 配置对 Google Cloud 的访问权限 批处理作业所需的全部服务，请参见 设置与 Google API 和服务的专用连接。
     • 如需详细了解 批处理作业，请参见 职位网络概览。

2. 创建新的服务边界 或者更新现有服务边界 以满足这些要求。

创建在服务边界中运行的作业

创建在服务边界中运行的作业时，您还必须 禁止外部访问运行作业的所有虚拟机，并指定网络和 允许作业访问所需 API 的子网。

如需创建在服务边界中运行的作业，请按照 文档 创建阻止所有虚拟机的外部访问的作业 并指定满足 在服务边界中运行的作业的网络要求。

后续步骤

• 如果您在创建或运行作业时遇到问题，请参阅问题排查。
• 详细了解网络。
• 详细了解如何创建作业。
• 了解如何查看作业和任务。