Usar o VPC Service Controls com o Batch

Este documento explica como usar o VPC Service Controls com o Batch. O VPC Service Controls permite proteger os recursos e dados dos serviços do Google Cloud isolando recursos específicos em perímetros de serviço. Um perímetro de serviço bloqueia conexões com serviços do Google Cloud fora do perímetro e qualquer conexão da Internet que não seja explicitamente permitida.

Para mais informações sobre conceitos de rede e quando configurar a rede, consulte Visão geral da rede em lote.

Antes de começar

  1. Se você nunca usou o Batch, consulte Começar a usar o Batch e ative o Batch concluindo os pré-requisitos para projetos e usuários.
  2. Para receber as permissões necessárias para usar os controles de serviço da VPC com o Batch, peça ao administrador para conceder a você os seguintes papéis do IAM:

    Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

    Também é possível conseguir as permissões necessárias por meio de papéis personalizados ou de outros papéis predefinidos.

  3. Se você criar um job que é executado em um perímetro de serviço, será necessário identificar a rede que quer usar para o job. A rede especificada para um job executado em um perímetro de serviço precisa atender aos seguintes requisitos: Para mais informações, consulte Criar e gerenciar redes VPC.

Configurar um perímetro de serviço para o Batch

Para configurar um perímetro de serviço para o Batch, faça o seguinte:

  1. Planeje a configuração do perímetro de serviço. Para ter uma visão geral dos estágios de configuração dos perímetros de serviço, consulte a documentação do VPC Service Controls para Configuração e detalhes do perímetro de serviço.

    Para usar o Batch, o perímetro de serviço precisa atender aos seguintes requisitos:

    • Serviços restritos:para proteger o Batch em um perímetro de serviço, é preciso incluir os serviços do Google Cloud que para os jobs em lote nesse perímetro, como os seguintes serviços:

      • API Batch (batch.googleapis.com)
      • API Cloud Logging (logging.googleapis.com): obrigatória se você quiser os jobs para gravar registros no Cloud Logging. (Recomendado)
      • API Container Registry (containerregistry.googleapis.com): Obrigatório se você enviar um job que usa qualquer contêiner com uma imagem de Container Registry.
      • API Artifact Registry (artifactregistry.googleapis.com): obrigatório se você enviar um job que usa contêineres com uma imagem do Artifact Registry.
      • API Filestore (file.googleapis.com): obrigatório se o job usar um compartilhamento de arquivos do Filestore.
      • API Cloud Storage (storage.googleapis.com): obrigatório para alguns jobs que usam um bucket do Cloud Storage. Obrigatório se você usar uma imagem para o job do Batch que não tenha o agente de serviço do Batch pré-instalado.

      Para saber como ativar cada um desses serviços no seu perímetro de serviço, consulte Serviços acessíveis por VPC.

      Para cada serviço que você incluir, exceto o Batch, também será necessário verificar se o perímetro do serviço atende aos requisitos listados para esse serviço na documentação Produtos e limitações com suporte do VPC Service Controls.

    • Redes VPC: cada job do Batch precisa de uma rede VPC. Portanto, seu perímetro de serviço precisa incluir uma rede VPC em que os jobs do Batch possam ser executados. Para saber como configurar uma rede VPC que possa executar seus trabalhos em lote em um perímetro de serviço, consulte os seguintes documentos:

  2. Criar um novo perímetro de serviço ou atualize um perímetro de serviço atual. para atender a esses requisitos.

Criar um job que é executado em um perímetro de serviço

Ao criar um job executado em um perímetro de serviço, também é preciso bloquear o acesso externo de todas as VMs em que um job é executado e especificar uma rede e que permitem que o job acesse as APIs necessárias.

Para criar um job que seja executado em um perímetro de serviço, siga as etapas na documentação de Criar um job que bloqueia o acesso externo para todas as VMs e especifique uma rede que atenda aos requisitos de rede para um job executado em um perímetro de serviço.

A seguir