Questa pagina è stata tradotta dall'API Cloud Translation.

Utilizzare i Controlli di servizio VPC con Batch

Questo documento spiega come utilizzare Controlli di servizio VPC con Batch. Controlli di servizio VPC ti consente di proteggere le risorse e i dati dei servizi Google Cloud isolando risorse specifiche in perimetri di servizio. Un perimetro di servizio blocca le connessioni con i servizi Google Cloud al di fuori del perimetro e qualsiasi connessione da internet non esplicitamente consentita.

Per configurare un perimetro di servizio dei Controlli di servizio VPC per l'utilizzo di Batch, consulta Configurare un perimetro di servizio per Batch in questo documento.
Se il tuo progetto o la tua rete utilizzano Controlli di servizio VPC per limitare l'accesso alla rete per Batch, devi configurare i job Batch in modo che vengano eseguiti nel perimetro di servizio richiesto. Per scoprire come, consulta Creare un job che viene eseguito in un perimetro di servizio in questo documento.

Per ulteriori informazioni sui concetti di networking e su quando configurare il networking, consulta Panoramica del networking batch.

Prima di iniziare

Se non hai mai utilizzato Batch, consulta la guida introduttiva all'utilizzo di Batch e attivalo completando i prerequisiti per progetti e utenti.
Per ottenere le autorizzazioni necessarie per utilizzare Controlli di servizio VPC con Batch, chiedi all'amministratore di concederti i seguenti ruoli IAM:
- Per configurare un perimetro di servizio: Editor Gestore contesto accesso (roles/accesscontextmanager.policyEditor) nel progetto
- Per creare un job:
  - Batch Job Editor (roles/batch.jobsEditor) nel progetto
  - Utente account di servizio (roles/iam.serviceAccountUser) nell'account di servizio del job, che per impostazione predefinita è l'account di servizio Compute Engine predefinito
- Per identificare il perimetro di servizio per un progetto o una rete: Lettore Gestore contesto accesso (roles/accesscontextmanager.policyReader) nel progetto
- Per identificare la rete e la subnet per un job: Compute Network Viewer (roles/compute.networkViewer) nel progetto
Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.
Se crei un job che viene eseguito in un perimetro di servizio, devi identificare la rete che vuoi utilizzare per il job. La rete specificata per un job eseguito in un perimetro di servizio deve soddisfare i seguenti requisiti:
- La rete è una rete Virtual Private Cloud (VPC) che si trova nello stesso progetto del job o una rete VPC condivisa ospitata dal progetto o condivisa con il progetto per il job.
- La rete include una subnet nella località in cui vuoi eseguire il job.
- La rete si trova nel perimetro di servizio richiesto e utilizza Accesso privato Google per consentire l'accesso ai domini per le API e i servizi utilizzati dal tuo job. Per ulteriori informazioni, consulta Configurare un perimetro di servizio per Batch in questo documento.
Per ulteriori informazioni, consulta Creare e gestire le reti VPC.

Configura un perimetro di servizio per Batch

Per configurare un perimetro di servizio per Batch:

Pianifica la configurazione del perimetro di servizio. Per una panoramica delle fasi di configurazione dei perimetri di servizio, consulta la documentazione dei Controlli di servizio VPC relativa a Dettagli e configurazione dei perimetri di servizio.

Per utilizzare Batch, il perimetro di servizio deve soddisfare i seguenti requisiti:
- Servizi con limitazioni: per proteggere Batch all'interno di un perimetro di servizio, devi includere i servizi Google Cloud necessari per i tuoi job Batch in quel perimetro, come i seguenti servizi:
  - API Batch (batch.googleapis.com)
  - API Cloud Logging (logging.googleapis.com): obbligatoria se vuoi che i tuoi job scrivano log in Cloud Logging. (Consigliato)
  - API Container Registry (containerregistry.googleapis.com): obbligatoria se invii un job che utilizza container con un'immagine di Container Registry.
  - API Artifact Registry (artifactregistry.googleapis.com): obbligatoria se invii un job che utilizza contenitori con un'immagine di Artifact Registry.
  - API Filestore (file.googleapis.com): obbligatoria se il tuo job utilizza una condivisione file Filestore.
  - API Cloud Storage (storage.googleapis.com): obbligatoria per alcuni lavori che utilizzano un bucket Cloud Storage. Obbligatorio se utilizzi un'immagine per il job batch che non ha l'agente di servizio Batch preinstallato.
  Per scoprire come attivare ciascuno di questi servizi nel perimetro di servizio, consulta Servizi accessibili da VPC.
  
  Attenzione: affinché i job batch siano completamente protetti dal perimetro di servizio, devi specificare tutti i servizi che prevedi di utilizzare.
  
  Per ogni servizio incluso diverso da Batch, devi anche verificare che il perimetro di servizio soddisfi i requisiti elencati per quel servizio nella documentazione relativa a prodotti e limitazioni supportati dai Controlli di servizio VPC.
- Reti VPC:ogni job Batch richiede una rete VPC, pertanto il perimetro di servizio deve includere una rete VPC su cui possono essere eseguiti i job Batch. Per scoprire come configurare una rete VPC che possa eseguire i job Batch all'interno di un perimetro di servizio, consulta i seguenti documenti:
  - Per una panoramica dell'utilizzo delle reti VPC in un perimetro di servizio, consulta Gestione delle reti VPC nei perimetri di servizio.
  - Per scoprire come utilizzare accesso privato Google con i Controlli di servizio VPC per configurare l'accesso ai servizi Google Cloudnecessari per i tuoi job batch, consulta Configurare la connettività privata alle API e ai servizi Google.
  - Per ulteriori informazioni sui requisiti di rete per i job batch, consulta la Panoramica della rete per i job.
Crea un nuovo perimetro di servizio o aggiorna un perimetro di servizio esistente per soddisfare questi requisiti.

Creare un job che viene eseguito in un perimetro di servizio

Quando crei un job che viene eseguito in un perimetro di servizio, devi anche bloccare l'accesso esterno per tutte le VM su cui viene eseguito il job e specificare una rete e una subnet che consentano al job di accedere alle API richieste.

Per creare un job che viene eseguito in un perimetro di servizio, segui i passaggi descritti nella documentazione relativa alla creazione di un job che blocca l'accesso esterno per tutte le VM e specifica una rete che soddisfi i requisiti di rete per un job che viene eseguito in un perimetro di servizio.

Passaggi successivi

Se hai problemi a creare o eseguire un job, consulta la sezione Risoluzione dei problemi.
Scopri di più sul networking.
Scopri di più sulla creazione di un job.
Scopri come visualizzare job e attività.