Questo documento spiega come utilizzare i Controlli di servizio VPC con Batch. Controlli di servizio VPC ti consente di proteggere le risorse e i dati dei servizi Google Cloud isolando risorse specifiche nei perimetri di servizio. Un perimetro di servizio blocca le connessioni con i servizi Google Cloud all'esterno del perimetro e qualsiasi connessione da internet non esplicitamente consentita.
- Per configurare un perimetro di servizio dei Controlli di servizio VPC da utilizzare Batch, consulta Configurare un perimetro di servizio per Batch in questo documento.
- Se il tuo progetto o la tua rete utilizzano Controlli di servizio VPC per limitare l'accesso di rete per Batch, devi configurare i job batch in modo che vengano eseguiti nel perimetro di servizio richiesto. Per scoprire come, consulta Creare un job eseguito in un perimetro di servizio in questo documento.
Per ulteriori informazioni sui concetti di networking e su quando configurare il networking, consulta la Panoramica del networking in batch.
Prima di iniziare
- Se non hai mai utilizzato Batch, consulta la Guida introduttiva all'utilizzo di Batch e abilita Batch completando i prerequisiti per progetti e utenti.
-
Per ottenere le autorizzazioni necessarie per utilizzare i Controlli di servizio VPC con Batch, chiedi all'amministratore di concederti i ruoli IAM seguenti:
-
Per configurare un perimetro di servizio:
Editor Gestore contesto accesso (
roles/accesscontextmanager.policyEditor) nel progetto -
Per creare un job:
-
Editor job batch (
roles/batch.jobsEditor) nel progetto -
Utente account di servizio (
roles/iam.serviceAccountUser) nell'account di servizio del job, che per impostazione predefinita è l'account di servizio Compute Engine predefinito
-
Editor job batch (
-
Per identificare il perimetro di servizio per un progetto o una rete:
Lettore Gestore contesto accesso (
roles/accesscontextmanager.policyReader) nel progetto -
Per identificare la rete e la subnet per un job:
Visualizzatore di rete Compute (
roles/compute.networkViewer) nel progetto
Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso.
Potresti anche essere in grado di ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.
-
Per configurare un perimetro di servizio:
Editor Gestore contesto accesso (
-
Se crei un job che viene eseguito in un perimetro di servizio, devi identificare la rete che vuoi utilizzare per il job. La rete specificata per un job eseguito in un perimetro di servizio deve soddisfare i seguenti requisiti:
- La rete è una rete Virtual Private Cloud (VPC) che si trova nello stesso progetto del job o che è una rete VPC condivisa ospitata dal progetto del job o condivisa con quest'ultimo.
- La rete include una sottorete (subnet) nella località in cui vuoi eseguire il job.
- La rete si trova nel perimetro di servizio richiesto e utilizza l'accesso privato Google per consentire l'accesso ai domini per le API e i servizi utilizzati dal job. Per maggiori informazioni, consulta Configurare un perimetro di servizio per Batch in questo documento.
Configura un perimetro di servizio per Batch
Per configurare un perimetro di servizio per Batch:
Pianifica la configurazione per il perimetro di servizio. Per una panoramica delle fasi di configurazione dei perimetri di servizio, consulta la documentazione sui controlli di servizio VPC per Dettagli e configurazione dei perimetri di servizio.
Per utilizzare Batch, il perimetro di servizio deve soddisfare i seguenti requisiti:
Servizi limitati: per proteggere Batch all'interno di un perimetro di servizio, devi includere i servizi Google Cloud richiesti per i job batch in quel perimetro, ad esempio i seguenti servizi:
- API Batch (
batch.googleapis.com) - API Cloud Logging (
logging.googleapis.com): obbligatoria se vuoi che i tuoi job scrivano i log in Cloud Logging. (Consigliato) - API Container Registry (
containerregistry.googleapis.com): obbligatoria se invii un job che utilizza container con un'immagine di Container Registry. - API Artifact Registry (
artifactregistry.googleapis.com): obbligatoria se invii un job che utilizza container con un'immagine di Artifact Registry. - API Filestore (
file.googleapis.com): obbligatoria se il job utilizza una condivisione file di Filestore. - API Cloud Storage (
storage.googleapis.com): obbligatoria per alcuni job che utilizzano un bucket Cloud Storage. Obbligatorio se utilizzi un'immagine per il job batch in cui l'agente di servizio Batch non è preinstallato.
Per scoprire come abilitare ciascuno di questi servizi nel tuo perimetro di servizio, vedi Servizi accessibili VPC.
Per ogni servizio che includi, ad eccezione di Batch, devi anche verificare che il tuo perimetro di servizio soddisfi i requisiti elencati per il servizio in questione nella documentazione relativa ai prodotti e alle limitazioni supportati dai Controlli di servizio VPC.
- API Batch (
Reti VPC: ogni job batch richiede una rete VPC, quindi il perimetro di servizio deve includere una rete VPC su cui possono essere eseguiti i job batch. Per scoprire come configurare una rete VPC in grado di eseguire job batch all'interno di un perimetro di servizio, consulta i seguenti documenti:
- Per una panoramica sull'utilizzo delle reti VPC in un perimetro di servizio, consulta Gestione delle reti VPC nei perimetri di servizio.
- Per informazioni su come utilizzare l'accesso privato Google con i Controlli di servizio VPC per configurare l'accesso ai servizi Google Cloud richiesti per i job batch, vedi Configurare la connettività privata alle API e ai servizi Google.
- Per ulteriori informazioni sui requisiti di rete per i job batch, consulta Panoramica del networking dei job.
Crea un nuovo perimetro di servizio o aggiornane uno esistente per soddisfare questi requisiti.
Crea un job eseguito in un perimetro di servizio
Quando crei un job in esecuzione in un perimetro di servizio, devi anche bloccare l'accesso esterno per tutte le VM su cui viene eseguito un job e specificare una rete e una subnet che consentano al job di accedere alle API richieste.
Per creare un job in esecuzione in un perimetro di servizio, segui i passaggi riportati nella documentazione per Creare un job che blocchi l'accesso esterno per tutte le VM e specifica una rete che soddisfi i requisiti di rete per un job eseguito in un perimetro di servizio.
Passaggi successivi
- In caso di problemi durante la creazione o l'esecuzione di un job, consulta Risoluzione dei problemi.
- Scopri di più sul networking.
- Scopri di più sulla creazione di un job.
- Scopri come visualizzare job e attività.