VPC Service Controls mit Batch verwenden

In diesem Dokument wird erläutert, wie VPC Service Controls mit Batch verwendet wird. Mit VPC Service Controls können Sie die Ressourcen und Daten von Google Cloud-Diensten schützen, indem Sie bestimmte Ressourcen in Dienstperimeter isolieren. Ein Dienstperimeter blockiert Verbindungen zu Google Cloud-Diensten außerhalb des Perimeters sowie alle nicht explizit zugelassenen Verbindungen aus dem Internet.

Informationen zum Konfigurieren eines VPC Service Controls-Dienstperimeters für die Verwendung von Batch finden Sie in diesem Dokument unter Dienstperimeter für Batch konfigurieren.
Wenn Ihr Projekt oder Netzwerk VPC Service Controls verwendet, um den Netzwerkzugriff für Batch einzuschränken, müssen Sie Ihre Batch-Jobs so konfigurieren, dass sie im erforderlichen Dienstperimeter ausgeführt werden. Informationen dazu finden Sie in diesem Dokument unter Job erstellen, der in einem Dienstperimeter ausgeführt wird.

Weitere Informationen zu Netzwerkkonzepten und der Konfiguration des Netzwerks finden Sie unter Batch-Netzwerk – Übersicht.

Hinweise

Wenn Sie Batch noch nie verwendet haben, lesen Sie die Informationen unter Erste Schritte mit Batch. Aktivieren Sie Batch, indem Sie die Voraussetzungen für Projekte und Nutzer erfüllen.
Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen zu gewähren, um die Berechtigungen zu erhalten, die Sie für die Verwendung von VPC Service Controls mit Batch benötigen:
- So konfigurieren Sie einen Dienstperimeter: Access Context Manager-Bearbeiter (roles/accesscontextmanager.policyEditor) für das Projekt
- So erstellen Sie einen Job:
  - Batch Job Editor (roles/batch.jobsEditor) für das Projekt
  - Dienstkontonutzer (roles/iam.serviceAccountUser) im Dienstkonto des Jobs. Dies ist standardmäßig das Compute Engine-Standarddienstkonto.
- So identifizieren Sie den Dienstperimeter für ein Projekt oder Netzwerk: Access Context Manager-Leser (roles/accesscontextmanager.policyReader) für das Projekt
- So identifizieren Sie das Netzwerk und das Subnetz für einen Job: Compute-Netzwerkbetrachter (roles/compute.networkViewer) für das Projekt
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.

Möglicherweise können Sie die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.
Wenn Sie einen Job erstellen, der in einem Dienstperimeter ausgeführt wird, müssen Sie das Netzwerk identifizieren, das Sie für den Job verwenden möchten. Das Netzwerk, das Sie für einen Job angeben, der in einem Dienstperimeter ausgeführt wird, muss die folgenden Anforderungen erfüllen:
- Das Netzwerk ist ein VPC-Netzwerk (Virtual Private Cloud), das sich im selben Projekt wie der Job befindet oder ein freigegebenes VPC-Netzwerk, das vom Projekt für den Job gehostet oder für dieses freigegeben wird.
- Das Netzwerk enthält ein Subnetzwerk (Subnetz) an dem Standort, an dem Sie den Job ausführen möchten.
- Das Netzwerk befindet sich im erforderlichen Dienstperimeter und verwendet den privater Google-Zugriff, um den vom Job verwendeten APIs und Diensten Zugriff auf die Domains zu gewähren. Weitere Informationen finden Sie in diesem Dokument unter Dienstperimeter für Batch konfigurieren.
Weitere Informationen finden Sie unter VPC-Netzwerke erstellen und verwalten.

Dienstperimeter für Batch konfigurieren

So konfigurieren Sie einen Dienstperimeter für Batch:

Planen Sie die Konfiguration für den Dienstperimeter. Eine Übersicht über die Konfigurationsphasen für Dienstperimeter finden Sie in der Dokumentation zu VPC Service Controls unter Details und Konfiguration von Dienstperimetern.

Damit Sie Batch verwenden können, muss der Dienstperimeter die folgenden Anforderungen erfüllen:
- Eingeschränkte Dienste: Zum Sichern von Batch innerhalb eines Dienstperimeters müssen Sie die Google Cloud-Dienste hinzufügen, die für Ihre Batchjobs in diesem Perimeter erforderlich sind, z. B. die folgenden Dienste:
  - Batch API (batch.googleapis.com)
  - Cloud Logging API (logging.googleapis.com): Erforderlich, wenn Ihre Jobs Logs in Cloud Logging schreiben sollen. (Empfohlen)
  - Container Registry API (containerregistry.googleapis.com): Erforderlich, wenn Sie einen Job senden, der Container mit einem Image aus Container Registry verwendet.
  - Artifact Registry API (artifactregistry.googleapis.com): Erforderlich, wenn Sie einen Job senden, der einen Container mit einem Image aus Artifact Registry verwendet.
  - Filestore API (file.googleapis.com): Erforderlich, wenn Ihr Job eine Filestore-Dateifreigabe verwendet.
  - Cloud Storage API (storage.googleapis.com): Erforderlich für einige Jobs, die einen Cloud Storage-Bucket verwenden. Erforderlich, wenn Sie für Ihren Batch-Job ein Image verwenden, in dem der Batch-Dienst-Agent nicht vorinstalliert ist.
  Informationen zum Aktivieren dieser Dienste in Ihrem Dienstperimeter finden Sie unter Über VPC zugängliche Dienste.
  
  Achtung: Damit Ihre Batchjobs vollständig durch den Dienstperimeter geschützt sind, müssen Sie alle Dienste angeben, die Sie verwenden möchten.
  
  Für jeden Dienst, den Sie mit Ausnahme von Batch einschließen, müssen Sie außerdem prüfen, ob Ihr Dienstperimeter die Anforderungen erfüllt, die für diesen Dienst in der Dokumentation Von VPC Service Controls unterstützte Produkte und Einschränkungen aufgeführt sind.
- VPC-Netzwerke:Für jeden Batchjob ist ein VPC-Netzwerk erforderlich. Der Dienstperimeter muss also ein VPC-Netzwerk enthalten, in dem Batchjobs ausgeführt werden können. Informationen zum Konfigurieren eines VPC-Netzwerk, das Ihre Batch-Jobs innerhalb eines Dienstperimeters ausführen kann, finden Sie in den folgenden Dokumenten:
  - Eine Übersicht über die Verwendung von VPC-Netzwerken in einem Dienstperimeter finden Sie unter VPC-Netzwerkverwaltung in Dienstperimetern.
  - Informationen zum Verwenden des privater Google-Zugriff mit VPC Service Controls, um den Zugriff auf die Google Cloud-Dienste zu konfigurieren, die für Ihre Batchjobs erforderlich sind, finden Sie unter Private Verbindung zu Google APIs und Google-Diensten einrichten.
  - Weitere Informationen zu den Netzwerkanforderungen für Batchjobs finden Sie unter Jobnetzwerkübersicht.
Erstellen Sie einen neuen Dienstperimeter oder aktualisieren Sie einen vorhandenen Dienstperimeter, um diese Anforderungen zu erfüllen.

Job erstellen, der in einem Dienstperimeter ausgeführt wird

Wenn Sie einen Job erstellen, der in einem Dienstperimeter ausgeführt wird, müssen Sie auch den externen Zugriff für alle VMs blockieren, auf denen ein Job ausgeführt wird. Außerdem müssen Sie ein Netzwerk und ein Subnetz angeben, damit der Job auf die erforderlichen APIs zugreifen kann.

Wenn Sie einen Job erstellen möchten, der in einem Dienstperimeter ausgeführt wird, führen Sie die Schritte in der Dokumentation unter Job erstellen, der den externen Zugriff für alle VMs blockiert aus. Geben Sie außerdem ein Netzwerk an, das die Netzwerkanforderungen für einen Job, der in einem Dienstperimeter ausgeführt wird, erfüllt.

Nächste Schritte

Wenn Probleme beim Erstellen oder Ausführen eines Jobs auftreten, lesen Sie die Informationen unter Fehlerbehebung.
Weitere Informationen zu Netzwerken
Weitere Informationen zum Erstellen von Jobs
Aufträge und Aufgaben aufrufen