Halaman ini diterjemahkan oleh Cloud Translation API.

Menggunakan Kontrol Layanan VPC dengan Batch

Dokumen ini menjelaskan cara menggunakan Kontrol Layanan VPC dengan Batch. Kontrol Layanan VPC memungkinkan Anda melindungi resource dan data layanan Google Cloud dengan mengisolasi resource tertentu ke dalam perimeter layanan. Perimeter layanan memblokir koneksi dengan layanan Google Cloud di luar perimeter dan koneksi apa pun dari internet yang tidak diizinkan secara eksplisit.

Untuk mengonfigurasi perimeter layanan Kontrol Layanan VPC agar dapat menggunakan Batch, lihat Mengonfigurasi perimeter layanan untuk Batch dalam dokumen ini.
Jika project atau jaringan Anda menggunakan Kontrol Layanan VPC untuk membatasi akses jaringan untuk Batch, Anda harus mengonfigurasi tugas Batch agar berjalan di perimeter layanan yang diperlukan. Untuk mempelajari caranya, lihat Membuat tugas yang berjalan di perimeter layanan dalam dokumen ini.

Untuk informasi selengkapnya tentang konsep jaringan dan waktu untuk mengonfigurasi jaringan, lihat Ringkasan jaringan batch.

Sebelum memulai

Jika belum pernah menggunakan Batch, baca Mulai menggunakan Batch dan aktifkan Batch dengan menyelesaikan prasyarat untuk project dan pengguna.
Untuk mendapatkan izin yang diperlukan guna menggunakan Kontrol Layanan VPC dengan Batch, minta administrator untuk memberi Anda peran IAM berikut:
- Untuk mengonfigurasi perimeter layanan: Access Context Manager Editor (roles/accesscontextmanager.policyEditor) di project
- Untuk membuat tugas:
  - Batch Job Editor (roles/batch.jobsEditor) di project
  - Pengguna Akun Layanan (roles/iam.serviceAccountUser) di akun layanan tugas, yang secara default adalah akun layanan Compute Engine default
- Untuk mengidentifikasi perimeter layanan untuk project atau jaringan: Access Context Manager Reader (roles/accesscontextmanager.policyReader) di project
- Untuk mengidentifikasi jaringan dan subnet untuk tugas: Compute Network Viewer (roles/compute.networkViewer) pada project
Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.
Jika membuat tugas yang berjalan di perimeter layanan, Anda perlu mengidentifikasi jaringan yang ingin digunakan untuk tugas tersebut. Jaringan yang Anda tentukan untuk tugas yang berjalan di perimeter layanan harus memenuhi persyaratan berikut:
- Jaringan tersebut adalah jaringan Virtual Private Cloud (VPC) yang berada dalam project yang sama dengan tugas atau merupakan jaringan VPC Bersama yang dihosting oleh atau dibagikan ke project untuk tugas tersebut.
- Jaringan menyertakan subnetwork (subnet) di lokasi tempat Anda ingin menjalankan tugas.
- Jaringan berada dalam perimeter layanan yang diperlukan dan menggunakan Akses Google Pribadi untuk mengizinkan akses ke domain untuk API dan layanan yang digunakan tugas Anda. Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi perimeter layanan untuk Batch dalam dokumen ini.
Untuk informasi selengkapnya, lihat Membuat dan mengelola jaringan VPC.

Mengonfigurasi perimeter layanan untuk Batch

Untuk mengonfigurasi perimeter layanan untuk Batch, lakukan hal berikut:

Rencanakan konfigurasi untuk perimeter layanan Anda. Untuk ringkasan tahap konfigurasi perimeter layanan, lihat dokumentasi Kontrol Layanan VPC untuk Detail dan konfigurasi perimeter layanan.

Untuk menggunakan Batch, perimeter layanan harus memenuhi persyaratan berikut:
- Layanan terbatas: Untuk mengamankan Batch dalam perimeter layanan, Anda harus menyertakan layanan Google Cloud yang diperlukan untuk tugas Batch di perimeter tersebut, seperti layanan berikut:
  - Batch API (batch.googleapis.com)
  - Cloud Logging API (logging.googleapis.com): Wajib jika Anda ingin tugas menulis log ke Cloud Logging. (Disarankan)
  - Container Registry API (containerregistry.googleapis.com): Wajib jika Anda mengirimkan tugas yang menggunakan penampung dengan image dari Container Registry.
  - Artifact Registry API (artifactregistry.googleapis.com): Wajib jika Anda mengirimkan tugas yang menggunakan penampung dengan image dari Artifact Registry.
  - Filestore API (file.googleapis.com): Wajib jika tugas Anda menggunakan berbagi file Filestore.
  - Cloud Storage API (storage.googleapis.com): Diperlukan untuk beberapa tugas yang menggunakan bucket Cloud Storage. Diperlukan jika Anda menggunakan image untuk tugas Batch yang tidak memiliki agen layanan Batch yang telah diinstal sebelumnya.
  Untuk mempelajari cara mengaktifkan setiap layanan ini di perimeter layanan Anda, lihat Layanan yang dapat diakses VPC.
  
  Perhatian: Agar tugas Batch Anda sepenuhnya dilindungi oleh perimeter layanan, Anda harus menentukan semua layanan yang ingin digunakan.
  
  Untuk setiap layanan yang Anda sertakan selain Batch, Anda juga harus memverifikasi bahwa perimeter layanan Anda memenuhi persyaratan yang tercantum untuk layanan tersebut dalam dokumentasi Produk dan batasan yang didukung Kontrol Layanan VPC.
- Jaringan VPC: Setiap tugas Batch memerlukan jaringan VPC, sehingga perimeter layanan Anda harus menyertakan jaringan VPC tempat tugas Batch dapat berjalan. Untuk mempelajari cara mengonfigurasi jaringan VPC yang dapat menjalankan tugas Batch Anda di dalam perimeter layanan, lihat dokumen berikut:
  - Untuk ringkasan penggunaan jaringan VPC di perimeter layanan, lihat Pengelolaan jaringan VPC di perimeter layanan.
  - Untuk mempelajari cara menggunakan Akses Google Pribadi dengan Kontrol Layanan VPC untuk mengonfigurasi akses ke layanan Google Cloud yang diperlukan untuk tugas Batch Anda, lihat Menyiapkan konektivitas pribadi ke Google API dan layanan Google.
  - Untuk informasi selengkapnya tentang persyaratan jaringan untuk tugas Batch, lihat Ringkasan jaringan tugas.
Buat perimeter layanan baru atau perbarui perimeter layanan yang ada untuk memenuhi persyaratan ini.

Membuat tugas yang berjalan di perimeter layanan

Saat membuat tugas yang berjalan di perimeter layanan, Anda juga harus memblokir akses eksternal untuk semua VM tempat tugas berjalan dan menentukan jaringan serta subnet yang memungkinkan tugas mengakses API yang diperlukan.

Untuk membuat tugas yang berjalan di perimeter layanan, ikuti langkah-langkah dalam dokumentasi untuk Membuat tugas yang memblokir akses eksternal untuk semua VM dan tentukan jaringan yang memenuhi persyaratan jaringan untuk tugas yang berjalan di perimeter layanan.

Langkah selanjutnya

Jika Anda mengalami masalah saat membuat atau menjalankan tugas, lihat Pemecahan masalah.
Pelajari jaringan lebih lanjut.
Pelajari lebih lanjut cara membuat tugas.
Pelajari cara melihat tugas dan tugas.