Questo documento spiega come utilizzare i Controlli di servizio VPC con Batch. Controlli di servizio VPC ti consente di proteggere le risorse e i dati dei servizi Google Cloud isolando risorse specifiche nei perimetri di servizio. Un perimetro di servizio blocca le connessioni con i servizi Google Cloud esterni al perimetro e le connessioni da Internet non consentite in modo esplicito.
- Per configurare un perimetro di servizio dei Controlli di servizio VPC da utilizzare in modalità batch, consulta Configurare un perimetro di servizio per il batch in questo documento.
- Se il progetto o la rete utilizza Controlli di servizio VPC per limitare l'accesso di rete per il batch, devi configurare i job batch per l'esecuzione nel perimetro di servizio richiesto. Per scoprire come, consulta Creare un job che viene eseguito in un perimetro di servizio in questo documento.
Per ulteriori informazioni sui concetti di networking e su quando configurare il networking, consulta la panoramica sul networking in batch.
Prima di iniziare
- Se non hai mai utilizzato Batch, consulta la sezione Iniziare a utilizzare il batch e abilita Batch completando i prerequisiti per progetti e utenti.
-
Per ottenere le autorizzazioni necessarie per utilizzare i Controlli di servizio VPC con Batch, chiedi all'amministratore di concederti i seguenti ruoli IAM:
-
Per configurare un perimetro di servizio:
Editor Gestore contesto accesso (
roles/accesscontextmanager.policyEditor) sul progetto -
Per creare un job:
-
Editor job batch (
roles/batch.jobsEditor) sul progetto -
Utente account di servizio (
roles/iam.serviceAccountUser) nell'account di servizio job, che per impostazione predefinita è l'account di servizio Compute Engine predefinito
-
Editor job batch (
-
Per identificare il perimetro di servizio per un progetto o una rete:
Accedi al lettore Gestore contesto (
roles/accesscontextmanager.policyReader) sul progetto -
Per identificare la rete e la subnet per un job:
Visualizzatore rete Compute (
roles/compute.networkViewer) sul progetto
Per ulteriori informazioni sulla concessione dei ruoli, consulta Gestire l'accesso.
Potresti anche ottenere le autorizzazioni richieste tramite ruoli personalizzati o altri ruoli predefiniti.
-
Per configurare un perimetro di servizio:
Editor Gestore contesto accesso (
-
Se crei un job che viene eseguito in un perimetro di servizio, devi identificare la rete che vuoi utilizzare per il job. La rete specificata per un job eseguito in un perimetro di servizio deve soddisfare i seguenti requisiti:
- La rete è una rete Virtual Private Cloud (VPC) che si trova nello stesso progetto del job o che è una rete VPC condivisa ospitata o condivisa con il progetto per il job.
- La rete include una subnet (subnet) nella località in cui vuoi eseguire il job.
- La rete si trova nel perimetro di servizio richiesto e utilizza l'accesso privato Google per consentire l'accesso ai domini delle API e dei servizi utilizzati dal job. Per maggiori informazioni, consulta la pagina Configurare un perimetro di servizio per batch in questo documento.
Configura un perimetro di servizio per il batch
Per configurare un perimetro di servizio per Batch, segui questi passaggi:
Pianifica la configurazione per il perimetro di servizio. Per una panoramica delle fasi di configurazione dei perimetri di servizio, consulta la documentazione di Controlli di servizio VPC per i dettagli e la configurazione del perimetro di servizio.
Per utilizzare Batch, il perimetro di servizio deve soddisfare i seguenti requisiti:
Servizi limitati:per proteggere il batch all'interno di un perimetro di servizio, devi includere i servizi Google Cloud richiesti per i job batch nel perimetro, ad esempio i servizi seguenti:
- API batch (
batch.googleapis.com) - API Cloud Logging (
logging.googleapis.com): necessaria se vuoi che i tuoi job scrivano i log in Cloud Logging. (consigliata). - API Container Registry (
containerregistry.googleapis.com): necessaria per inviare un job che utilizza qualsiasi container con un'immagine di Container Registry. - API Artifact Registry (
artifactregistry.googleapis.com): obbligatorio se invii un job che utilizza tutti i container con un'immagine di Artifact Registry. - API Filestore (
file.googleapis.com): necessaria se il job utilizza una condivisione file di Filestore. - API Cloud Storage (
storage.googleapis.com): necessaria per alcuni job che utilizzano un bucket Cloud Storage.
Per informazioni su come abilitare ciascuno di questi servizi nel perimetro di servizio, consulta Servizi accessibili da VPC.
Per ogni servizio che includi, tranne Batch, devi anche verificare che il tuo perimetro di servizio soddisfi i requisiti elencati per quel servizio nella documentazione relativa ai prodotti e alle limitazioni supportati da Controlli di servizio VPC.
- API batch (
Reti VPC: ogni job batch richiede una rete VPC, quindi il perimetro di servizio deve includere una rete VPC su cui possono essere eseguiti i job batch. Per scoprire come configurare una rete VPC in grado di eseguire job batch all'interno di un perimetro di servizio, consulta i seguenti documenti:
- Per una panoramica sull'utilizzo delle reti VPC in un perimetro di servizio, consulta Gestione delle reti VPC nei perimetri di servizio.
- Per scoprire come utilizzare l'accesso privato Google con i Controlli di servizio VPC per configurare l'accesso ai servizi Google Cloud richiesti per i job batch, consulta Configurare la connettività privata alle API e ai servizi Google.
- Per ulteriori informazioni sui requisiti di rete per i job batch, consulta la panoramica sul job di rete.
Crea un nuovo perimetro di servizio o aggiorna un perimetro di servizio esistente per soddisfare questi requisiti.
Crea un job che viene eseguito in un perimetro di servizio
Quando crei un job che viene eseguito in un perimetro di servizio, devi anche bloccare l'accesso esterno per tutte le VM su cui è in esecuzione un job e specificare una rete e una subnet che consentano al job di accedere alle API richieste.
Per creare un job che viene eseguito in un perimetro di servizio, segui i passaggi descritti nella documentazione per Creare un job che blocchi l'accesso esterno per tutte le VM e specifica una rete che soddisfi i requisiti di rete per un job che viene eseguito in un perimetro di servizio.
Passaggi successivi
- Se hai problemi a creare o eseguire un job, vedi Risoluzione dei problemi.
- Scopri di più sul networking.
- Scopri di più sulla creazione di un job.
- Scopri come visualizzare lavori e attività.