VPC Service Controls ist ein Google Cloud-Feature, mit dem Sie einen sicheren Perimeter einrichten können, der vor Daten-Exfiltration schützt. In dieser Anleitung erfahren Sie, wie Sie Cloud Scheduler-Jobs in einen VPC Service Controls-Perimeter aufnehmen.
Beschränkungen
Die folgenden Einschränkungen gelten für die Unterstützung von VPC Service Controls für Cloud Scheduler.
Erzwungene Maßnahmen
VPC Service Controls werden nur für die folgenden Aktionen erzwungen:
- Cloud Scheduler-Job erstellen
- Updates für Cloud Scheduler-Jobs
Warum ist das Problem überhaupt bedeutsam?
Da VPC Service Controls nur beim Erstellen und Aktualisieren von Jobs erzwungen wird, werden VPC Service Controls nicht automatisch für Jobs erzwungen, die erstellt wurden, bevor Sie Cloud Scheduler Ihrem VPC Service Controls-Perimeter hinzugefügt haben. Jobs werden auch dann ausgeführt, wenn die Jobziele nicht Teil Ihres VPC Service Controls-Perimeters sind oder nicht unterstützte Ziele sind. So erzwingen Sie VPC Service Controls für alle Cloud Scheduler-Jobs:
- Jobs mit Zielen, die entweder nicht unterstützt werden oder sich außerhalb Ihres Perimeter befinden:Löschen Sie die Jobs. Nicht konforme Jobs löschen
- Jobs mit Zielen, die sowohl unterstützt als auch innerhalb Ihres Perimeter liegen:Führen Sie nach dem Hinzufügen von Cloud Scheduler zu Ihrem Perimeter ein Update für jeden Job aus. Weitere Informationen finden Sie unter Erzwingen für vorhandene Jobs.
Unterstützte Ziele
Die Cloud Scheduler-Integration mit VPC Service Controls unterstützt nur die folgenden Ziele:
- Cloud Run-Funktionen (auf der
functions.net-URL) - Cloud Run (in der
run.app-URL für Cloud Run-Dienste) Cloud Run-Jobziele werden nicht unterstützt. Informationen zum Unterschied zwischen Dienst- und Jobressourcen für Cloud Run finden Sie unter Dienste und Jobs: zwei Möglichkeiten zum Ausführen des Codes. - Dataflow API (muss sich im selben Google Cloud-Projekt wie Ihr Cloud Scheduler-Job befinden)
- Datenpipelines (müssen sich im selben Google Cloud-Projekt wie Ihr Cloud Scheduler-Job befinden)
- Pub/Sub (muss sich im selben Google Cloud-Projekt wie der Cloud Scheduler-Job befinden)
Nicht konforme Jobs löschen
Recommended. Löschen Sie Cloud Scheduler-Jobs mit folgenden Zielen:
- Nicht unterstützt (siehe Unterstützte Kategorien)
- Außerhalb des VPC Service Controls-Perimeters, den Sie verwenden möchten
Eine Anleitung zum Löschen von Jobs finden Sie unter Job löschen.
Wenn Sie diese Jobs nicht löschen, bevor Sie Cloud Scheduler Ihrem VPC Service Controls-Perimeter hinzufügen, werden sie weiterhin ausgeführt, aber VPC Service Controls wird nicht auf sie angewendet (siehe Erzwungene Aktionen).
Wenn Sie beispielsweise einen Cloud Scheduler-Job haben, der auf ein nicht unterstütztes Ziel ausgerichtet ist (z. B. eine benutzerdefinierte Cloud Run-Domain), wird der Job auch dann ausgeführt, wenn Sie Cloud Scheduler Ihrem VPC Service Controls-Perimeter hinzufügen. Er wird jedoch nicht durch VPC Service Controls geschützt. Dasselbe gilt für einen vorhandenen Job mit einem Ziel außerhalb Ihres VPC Service Controls-Perimeters.
Erforderliche IAM-Rollen hinzufügen
Erforderlich. Damit Sie VPC Service Controls verwenden können, muss dem Cloud Scheduler-Dienstkonto die IAM-Rolle Cloud Scheduler-Dienst-Agent zugewiesen sein. Das Cloud Scheduler-Dienstkonto wird automatisch für Ihr Projekt erstellt. So prüfen Sie, ob der Dienst-Agent die IAM-Rolle „Cloud Scheduler Service Agent“ hat, oder weisen Sie ihm diese Rolle zu:
Rufen Sie in der Google Cloud Console IAM auf.
Klicken Sie auf das Kästchen Von Google bereitgestellte Rollenzuweisungen einschließen.
Geben Sie in das Filterfeld Cloud Scheduler-Dienstkonto ein und wählen Sie diese Identität aus.
Sehen Sie sich in der Spalte Rolle die Identität des Cloud Scheduler-Dienstkontos an. Sie können fortfahren, wenn die folgende Rolle aufgeführt ist:
- Cloud Scheduler-Dienst-Agent
Wenn die Rolle „Cloud Scheduler-Dienstkonto“ nicht aufgeführt ist, klicken Sie auf das Symbol Bearbeiten und weisen Sie dem Cloud Scheduler-Dienstkonto die Rolle Cloud Scheduler-Dienst-Agent zu.
VPC Service Controls-Perimeter angeben
Erforderlich. Sie können einen vorhandenen Perimeter verwenden oder einen neuen erstellen, um Ihre Cloud Scheduler-Jobs mit unterstützten Zielen zu schützen. Bei beiden Ansätzen haben Sie die Möglichkeit, Dienste anzugeben, die eingeschränkt werden sollen. Geben Sie die Cloud Scheduler API an.
Bestehende Perimeter:Wenn Sie einen vorhandenen VPC Service Controls-Perimeter aktualisieren möchten, um Cloud Scheduler einzubeziehen, folgen Sie der Anleitung zum Aktualisieren eines Dienstperimeters.
Neue Perimeter:Wenn Sie einen neuen Perimeter für Cloud Scheduler erstellen möchten, folgen Sie der Anleitung zum Erstellen eines Dienstperimeters.
VPC Service Controls für vorhandene Jobs erzwingen
Recommended. Wenn Sie VPC Service Controls für Cloud Scheduler-Jobs erzwingen möchten, die Sie erstellt haben, bevor Sie Cloud Scheduler Ihrem VPC Service Controls-Perimeter hinzugefügt haben, führen Sie einen update für den Job aus. Sie müssen den Job nicht ändern, aber das Update ausführen, damit VPC Service Controls auf den Job und seine zukünftigen Ausführungen angewendet werden.
Sie können ein Update für den Job über die Google Cloud Console (Job auswählen und die Schaltfläche Bearbeiten verwenden), über die API oder über die gcloud CLI ausführen.
Wenn Sie VPC Service Controls mit der gcloud CLI für einen vorhandenen Job erzwingen möchten, führen Sie Folgendes aus:
HTTP-Ziele
gcloud scheduler jobs update http JOB_ID
Ersetzen Sie Folgendes:
JOB_ID: die ID Ihres Jobs
Pub/Sub-Zielgruppen
gcloud scheduler jobs update pubsub JOB_ID
Ersetzen Sie Folgendes:
JOB_ID: die ID Ihres Jobs