VPC Service Controls mit Batch verwenden

In diesem Dokument wird erläutert, wie Sie VPC Service Controls mit Batch verwenden. Mit VPC Service Controls können Sie die Ressourcen und Daten von Google Cloud-Diensten schützen, indem Sie bestimmte Ressourcen in Dienstperimetern isolieren. Ein Dienstperimeter blockiert Verbindungen mit Google Cloud-Diensten außerhalb des Perimeters sowie alle Verbindungen aus dem Internet, die nicht explizit zulässig sind.

Informationen zum Konfigurieren eines VPC Service Controls-Dienstperimeters für die Verwendung von Batch finden Sie in diesem Dokument unter Dienstperimeter für Batch konfigurieren.
Wenn Ihr Projekt oder Netzwerk VPC Service Controls verwendet, um den Netzwerkzugriff für Batch einzuschränken, müssen Sie Ihre Batchjobs so konfigurieren, dass sie im erforderlichen Dienstperimeter ausgeführt werden. Informationen zum Erstellen eines Jobs, der in einem Dienstperimeter ausgeführt wird, finden Sie in diesem Dokument.

Weitere Informationen zu Netzwerkkonzepten und zur Konfiguration des Netzwerks finden Sie unter Batch-Netzwerke.

Hinweis

Wenn Sie Batch noch nicht verwendet haben, lesen Sie Erste Schritte mit Batch und aktivieren Sie Batch, indem Sie die Voraussetzungen für Projekte und Nutzer erfüllen.
Um die Berechtigungen zu erhalten, die Sie zur Verwendung von VPC Service Controls mit Batch benötigen, müssen Sie Ihren Administrator bitten, Ihnen die folgenden IAM-Rollen zuzuweisen:
- So konfigurieren Sie einen Dienstperimeter: Access Context Manager-Editor (roles/accesscontextmanager.policyEditor) für das Projekt
- So erstellen Sie einen Job:
  - Batch-Job-Editor (roles/batch.jobsEditor) für das Projekt
  - Dienstkontonutzer (roles/iam.serviceAccountUser) für das Dienstkonto des Jobs, das standardmäßig das Compute Engine-Standarddienstkonto ist
- So ermitteln Sie den Dienstperimeter für ein Projekt oder Netzwerk: Access Context Manager-Leser (roles/accesscontextmanager.policyReader) für das Projekt
- So identifizieren Sie das Netzwerk und das Subnetz für einen Job: Compute-Netzwerkbetrachter (roles/compute.networkViewer) für das Projekt
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.
Wenn Sie einen Job erstellen, der in einem Dienstperimeter ausgeführt wird, müssen Sie das Netzwerk angeben, das Sie für den Job verwenden möchten. Das Netzwerk, das Sie für einen Job angeben, der in einem Dienstperimeter ausgeführt wird, muss die folgenden Anforderungen erfüllen:
- Das Netzwerk ist ein VPC-Netzwerk (Virtual Private Cloud), das sich im selben Projekt wie der Job befindet, oder ein freigegebenes VPC-Netzwerk, das vom Projekt für den Job gehostet oder für das Projekt freigegeben wird.
- Das Netzwerk enthält ein Subnetzwerk (Subnetz) an dem Ort, an dem Sie den Job ausführen möchten.
- Das Netzwerk befindet sich im erforderlichen Dienstperimeter und verwendet privater Google-Zugriff, um Zugriff auf die Domains für die APIs und Dienste zu gewähren, die Ihr Job verwendet. Weitere Informationen finden Sie in diesem Dokument unter Dienstperimeter für Batch konfigurieren.
Weitere Informationen finden Sie unter VPC-Netzwerke erstellen und verwalten.

Dienstperimeter für Batch konfigurieren

So konfigurieren Sie einen Dienstperimeter für Batch:

Konfigurieren Sie die Konfiguration für den Dienstperimeter. Eine Übersicht über die Konfigurationsphasen für Dienstperimeter finden Sie in der Dokumentation zu VPC Service Controls unter Details zu Dienstperimetern und Konfiguration.

Für die Verwendung von Batch muss der Dienstperimeter die folgenden Anforderungen erfüllen:
- Eingeschränkte Dienste: Damit Batch in einem Dienstperimeter gesichert werden kann, müssen Sie die Google Cloud-Dienste einschließen, die für Ihre Batchjobs in diesem Perimeter erforderlich sind, z. B. die folgenden Dienste:
  - Batch API (batch.googleapis.com)
  - Cloud Logging API (logging.googleapis.com): Erforderlich, wenn Ihre Jobs Logs in Cloud Logging schreiben sollen. (Empfohlen)
  - Container Registry API (containerregistry.googleapis.com): Erforderlich, wenn Sie einen Job senden, der Container mit einem Image aus Container Registry verwendet.
  - Artifact Registry API (artifactregistry.googleapis.com): Erforderlich, wenn Sie einen Job einreichen, der Container mit einem Image aus Artifact Registry verwendet.
  - Filestore API (file.googleapis.com): Erforderlich, wenn Ihr Job eine Filestore-Dateifreigabe verwendet.
  - Cloud Storage API (storage.googleapis.com): Für einige Jobs erforderlich, die einen Cloud Storage-Bucket verwenden.
  Informationen zum Aktivieren der einzelnen Dienste in Ihrem Dienstperimeter finden Sie unter Über VPC zugängliche Dienste.
  
  Achtung :Damit Ihre Batchjobs vollständig durch den Dienstperimeter geschützt werden, müssen Sie alle Dienste angeben, die Sie verwenden möchten.
  
  Für jeden Dienst, den Sie außer Batch aufnehmen, müssen Sie außerdem prüfen, ob der Dienstperimeter die Anforderungen erfüllt, die für den jeweiligen Dienst in der Dokumentation zu den unterstützten Produkten und Einschränkungen für VPC Service Controls aufgeführt sind.
- VPC-Netzwerke:Jeder Batchjob erfordert ein VPC-Netzwerk. Ihr Dienstperimeter muss daher ein VPC-Netzwerk enthalten, in dem Batchjobs ausgeführt werden können. In den folgenden Dokumenten erfahren Sie, wie Sie ein VPC-Netzwerk konfigurieren, das Ihre Batchjobs in einem Dienstperimeter ausführen kann:
  - Eine Übersicht über die Verwendung von VPC-Netzwerken in einem Dienstperimeter finden Sie unter VPC-Netzwerkverwaltung in Dienstperimetern.
  - Informationen zum Konfigurieren des privater Google-Zugriff mit VPC Service Controls zum Konfigurieren des Zugriffs auf die Google Cloud-Dienste, die für Ihre Batchjobs erforderlich sind, finden Sie unter Private Verbindung zu Google APIs und Diensten einrichten.
  - Weitere Informationen zu den Netzwerkanforderungen für Batchjobs finden Sie unter Jobnetzwerke.
Erstellen Sie einen neuen Dienstperimeter oder aktualisieren Sie einen vorhandenen Dienstperimeter, um diese Anforderungen zu erfüllen.

Job erstellen, der in einem Dienstperimeter ausgeführt wird

Wenn Sie einen Job erstellen, der in einem Dienstperimeter ausgeführt wird, müssen Sie auch den externen Zugriff für alle VMs blockieren, auf denen ein Job ausgeführt wird. Außerdem müssen Sie ein Netzwerk und ein Subnetz angeben, mit denen der Job auf erforderliche APIs zugreifen kann.

Zum Erstellen eines Jobs in einem Dienstperimeter folgen Sie der Anleitung unter Job erstellen, der externen Zugriff für alle VMs blockiert, und geben Sie ein Netzwerk an, das die Netzwerkanforderungen für einen Job erfüllt, der in einem Dienstperimeter ausgeführt wird.

Nächste Schritte

Informationen zu Problemen beim Erstellen oder Ausführen eines Jobs finden Sie unter Fehlerbehebung.
Weitere Informationen zu Netzwerken
Weitere Informationen zum Erstellen eines Jobs
Jobs und Aufgaben ansehen