Menggunakan Kontrol Layanan VPC dengan Batch

Dokumen ini menjelaskan cara menggunakan Kontrol Layanan VPC dengan Batch. Kontrol Layanan VPC dapat Anda gunakan untuk melindungi resource dan data layanan Google Cloud dengan mengisolasi resource tertentu ke dalam perimeter layanan. Perimeter layanan memblokir koneksi dengan layanan Google Cloud di luar perimeter dan koneksi apa pun dari internet yang tidak diizinkan secara eksplisit.

Untuk mengonfigurasi perimeter layanan Kontrol Layanan VPC agar dapat menggunakan Batch, lihat Mengonfigurasi perimeter layanan untuk Batch dalam dokumen ini.
Jika project atau jaringan Anda menggunakan Kontrol Layanan VPC untuk membatasi akses jaringan untuk Batch, Anda harus mengonfigurasi tugas Batch agar dapat dijalankan di perimeter layanan yang diperlukan. Untuk mempelajari caranya, lihat Membuat tugas yang berjalan di perimeter layanan dalam dokumen ini.

Untuk mengetahui informasi selengkapnya mengenai konsep jaringan dan kapan harus mengonfigurasi jaringan, lihat Ringkasan jaringan batch.

Sebelum memulai

Jika belum pernah menggunakan Batch, baca Mulai menggunakan Batch dan aktifkan Batch dengan menyelesaikan prasyarat untuk project dan pengguna.
Untuk mendapatkan izin yang diperlukan untuk menggunakan Kontrol Layanan VPC dengan Batch, minta administrator Anda untuk memberi Anda peran IAM berikut:
- Untuk mengonfigurasi perimeter layanan: Access Context Manager Editor (roles/accesscontextmanager.policyEditor) pada project
- Untuk membuat tugas:
  - Batch Job Editor (roles/batch.jobsEditor) pada project
  - Service Account User (roles/iam.serviceAccountUser) pada akun layanan tugas, yang secara default adalah akun layanan Compute Engine default
- Untuk mengidentifikasi perimeter layanan untuk project atau jaringan: Access Context Manager Reader (roles/accesscontextmanager.policyReader) pada project
- Untuk mengidentifikasi jaringan dan subnet untuk tugas: Compute Network Viewer (roles/compute.networkViewer) pada project
Untuk mengetahui informasi selengkapnya tentang pemberian peran, lihat Mengelola akses.

Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.
Jika membuat tugas yang berjalan di perimeter layanan, Anda harus mengidentifikasi jaringan yang ingin digunakan untuk tugas tersebut. Jaringan yang Anda tentukan untuk tugas yang dijalankan di perimeter layanan harus memenuhi persyaratan berikut:
- Jaringan tersebut adalah jaringan Virtual Private Cloud (VPC) yang berada dalam project yang sama dengan tugas atau merupakan Jaringan VPC bersama yang dihosting oleh atau dibagikan dengan project untuk tugas tersebut.
- Jaringan ini mencakup subnetwork (subnet) di lokasi tempat Anda ingin menjalankan tugas.
- Jaringan berada dalam perimeter layanan yang diperlukan dan menggunakan Akses Google Pribadi untuk mengizinkan akses ke domain untuk API dan layanan yang digunakan tugas Anda. Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi perimeter layanan untuk Batch dalam dokumen ini.
Untuk mengetahui informasi selengkapnya, lihat Membuat dan mengelola jaringan VPC.

Mengonfigurasi perimeter layanan untuk Batch

Untuk mengonfigurasi perimeter layanan bagi Batch, lakukan hal berikut:

Rencanakan konfigurasi untuk perimeter layanan Anda. Untuk ringkasan tentang tahap konfigurasi untuk perimeter layanan, lihat dokumentasi Kontrol Layanan VPC untuk Detail dan konfigurasi perimeter layanan.

Untuk menggunakan Batch, perimeter layanan harus memenuhi persyaratan berikut:
- Layanan yang dibatasi: Untuk mengamankan Batch dalam perimeter layanan, Anda harus menyertakan layanan Google Cloud yang diperlukan untuk tugas Batch dalam perimeter tersebut, seperti layanan berikut:
  - Batch API (batch.googleapis.com)
  - Cloud Logging API (logging.googleapis.com): Diperlukan jika Anda ingin tugas menulis log ke Cloud Logging. (Disarankan)
  - Container Registry API (containerregistry.googleapis.com): Wajib jika Anda mengirimkan tugas yang menggunakan container apa pun dengan image dari Container Registry.
  - Artifact Registry API (artifactregistry.googleapis.com): Diperlukan jika Anda mengirim tugas yang menggunakan container apa pun dengan image dari Artifact Registry.
  - Filestore API (file.googleapis.com): Diperlukan jika tugas Anda menggunakan Berbagi file Filestore.
  - Cloud Storage API (storage.googleapis.com): Diperlukan untuk beberapa tugas yang menggunakan bucket Cloud Storage. Diperlukan jika Anda menggunakan image untuk tugas Batch yang tidak memiliki Agen layanan Batch yang diinstal sebelumnya.
  Untuk mempelajari cara mengaktifkan setiap layanan ini di perimeter layanan Anda, lihat Layanan yang dapat diakses VPC.
  
  Perhatian: Agar tugas Batch Anda dilindungi sepenuhnya oleh perimeter layanan, Anda harus menentukan semua layanan yang ingin Anda gunakan.
  
  Untuk setiap layanan yang Anda sertakan selain Batch, Anda juga harus memverifikasi bahwa perimeter layanan Anda memenuhi persyaratan yang tercantum untuk layanan tersebut dalam dokumentasi produk dan batasan yang didukung Kontrol Layanan VPC.
- Jaringan VPC: Setiap tugas Batch memerlukan jaringan VPC, sehingga perimeter layanan Anda harus menyertakan jaringan VPC tempat tugas Batch dapat dijalankan. Untuk mempelajari cara mengonfigurasi jaringan VPC yang dapat menjalankan tugas Batch Anda di dalam perimeter layanan, lihat dokumen berikut:
  - Untuk ringkasan tentang penggunaan jaringan VPC dalam perimeter layanan, lihat Pengelolaan jaringan VPC di perimeter layanan.
  - Untuk mempelajari cara menggunakan Akses Google Pribadi dengan Kontrol Layanan VPC guna mengonfigurasi akses ke layanan Google Cloud yang diperlukan untuk tugas Batch Anda, lihat Menyiapkan konektivitas pribadi ke Google API dan layanan Google.
  - Guna mengetahui informasi selengkapnya tentang persyaratan jaringan untuk tugas Batch, lihat Ringkasan jaringan tugas.
Buat perimeter layanan baru atau perbarui perimeter layanan yang ada untuk memenuhi persyaratan ini.

Membuat tugas yang berjalan di perimeter layanan

Saat membuat tugas yang berjalan di perimeter layanan, Anda juga harus memblokir akses eksternal untuk semua VM tempat tugas berjalan, serta menentukan jaringan dan subnet yang memungkinkan tugas untuk mengakses API yang diperlukan.

Untuk membuat tugas yang berjalan di perimeter layanan, ikuti langkah-langkah dalam dokumentasi untuk Membuat tugas yang memblokir akses eksternal untuk semua VM, dan tentukan jaringan yang memenuhi persyaratan jaringan untuk tugas yang dijalankan di perimeter layanan.

Langkah selanjutnya

Jika Anda mengalami masalah saat membuat atau menjalankan tugas, lihat Pemecahan masalah.
Pelajari jaringan lebih lanjut.
Pelajari lebih lanjut cara membuat tugas.
Pelajari cara melihat tugas dan tugas.