VPC Service Controls ist ein Google Cloud Feature, mit dem Sie einen sicheren Perimeter einrichten können, der vor Daten-Exfiltration schützt. In dieser Anleitung erfahren Sie, wie Sie Cloud Scheduler-Jobs in einen VPC Service Controls-Perimeter einbeziehen.
Beschränkungen
Die folgenden Einschränkungen gelten für die Unterstützung von VPC Service Controls für Cloud Scheduler.
Erzwungene Aktionen
VPC Service Controls wird nur für die folgenden Aktionen erzwungen:
- Cloud Scheduler-Job erstellen
- Cloud Scheduler-Job-Updates
Warum ist das Problem überhaupt bedeutsam?
Da VPC Service Controls nur beim Erstellen und Aktualisieren von Jobs erzwungen wird, wird VPC Service Controls nicht automatisch für Jobs erzwungen, die erstellt wurden, bevor Sie Cloud Scheduler Ihrem VPC Service Controls-Perimeter hinzugefügt haben. Jobs werden weiterhin ausgeführt, auch wenn die Jobziele nicht Teil Ihres VPC Service Controls-Perimeters sind oder keine unterstützten Ziele sind. So erzwingen Sie VPC Service Controls für alle Cloud Scheduler-Jobs:
- Jobs mit Zielen, die entweder nicht unterstützt werden oder außerhalb Ihres geografischen Gebiets liegen:Löschen Sie die Jobs. Weitere Informationen finden Sie in diesem Dokument unter Nicht konforme Jobs löschen.
- Jobs mit Zielen, die sowohl unterstützt werden als auch innerhalb Ihres Perimeters liegen:Führen Sie nach dem Hinzufügen von Cloud Scheduler zu Ihrem Perimeter eine Aktualisierung für jeden Job aus. Weitere Informationen finden Sie in diesem Dokument unter VPC Service Controls für vorhandene Jobs erzwingen.
Unterstützte Ziele
Die Einbindung von Cloud Scheduler in VPC Service Controls unterstützt die folgenden Ziele. HTTP-Endpunkte werden unterstützt, sofern sie aufgeführt sind. Beliebige HTTP-Endpunkte werden jedoch nicht unterstützt.
- Cloud Run Functions – unter der
functions.net-URL - Cloud Run: auf der
run.app-URL für Cloud Run-Dienste. Cloud Run-Jobziele werden nicht unterstützt. Informationen zum Unterschied zwischen Cloud Run-Dienst- und Jobressourcen finden Sie unter Dienste und Jobs: zwei Möglichkeiten zum Ausführen des Codes. - Dataflow API: Muss sich im selben Google Cloud Projekt wie Ihr Cloud Scheduler-Job befinden.
- Data Pipelines: Müssen sich im selben Google Cloud Projekt wie Ihr Cloud Scheduler-Job befinden.
- Pub/Sub: Muss sich im selben Google Cloud -Projekt wie Ihr Cloud Scheduler-Job befinden.
Nicht konforme Jobs löschen
Recommended. Löschen Sie Cloud Scheduler-Jobs mit Zielen, die entweder:
- Nicht unterstützt (siehe Unterstützte Kategorien)
- Außerhalb des VPC Service Controls-Perimeters, den Sie verwenden möchten
Eine Anleitung zum Löschen von Jobs finden Sie unter Job löschen.
Wenn Sie diese Jobs nicht löschen, bevor Sie Cloud Scheduler Ihrem VPC Service Controls-Perimeter hinzufügen, werden die Jobs weiterhin ausgeführt, aber VPC Service Controls wird nicht auf sie angewendet. Weitere Informationen finden Sie in diesem Dokument unter Erzwungene Aktionen.
Wenn Sie beispielsweise einen Cloud Scheduler-Job haben, der auf ein nicht unterstütztes Ziel (z. B. eine benutzerdefinierte Cloud Run-Domain) ausgerichtet ist, wird der Job nach dem Hinzufügen von Cloud Scheduler zu Ihrem VPC Service Controls-Perimeter weiterhin ausgeführt, ist aber nicht durch VPC Service Controls geschützt. Das gilt auch für einen bereits vorhandenen Job mit einem Ziel außerhalb Ihres VPC Service Controls-Perimeters.
Erforderliche IAM-Rollen hinzufügen
Pflichtangabe. Damit Sie VPC Service Controls verwenden können, muss dem Cloud Scheduler-Dienstkonto die IAM-Rolle Cloud Scheduler Service Agent zugewiesen sein. Das Cloud Scheduler-Dienstkonto wird automatisch für Ihr Projekt erstellt. So prüfen Sie, ob das Dienstkonto die IAM-Rolle „Cloud Scheduler Service Agent“ hat, oder weisen Sie diese Rolle zu:
Rufen Sie in der Google Cloud Console IAM auf.
Klicken Sie auf das Kästchen Von Google bereitgestellte Rollenzuweisungen einschließen.
Geben Sie im Filter Cloud Scheduler-Dienstkonto ein und wählen Sie diesen Prinzipal aus.
Sehen Sie sich die Spalte Rolle für den Prinzipal Cloud Scheduler-Dienstkonto an. Sie können fortfahren, wenn die folgende Rolle aufgeführt ist:
- Cloud Scheduler-Dienst-Agent
Wenn die Rolle „Cloud Scheduler-Dienstkonto“ nicht aufgeführt ist, klicken Sie auf das Symbol Bearbeiten und weisen Sie dem Hauptkonto des Cloud Scheduler-Dienstkontos die Rolle Cloud Scheduler-Dienst-Agent zu.
VPC Service Controls-Perimeter angeben
Pflichtangabe. Sie können einen vorhandenen Perimeter verwenden oder einen neuen Perimeter erstellen, um Ihre Cloud Scheduler-Jobs mit unterstützten Zielen zu schützen. Bei beiden Ansätzen können Sie Dienste angeben, die eingeschränkt werden sollen. Geben Sie die Cloud Scheduler API an.
Vorhandene Perimeter:Wenn Sie einen vorhandenen VPC Service Controls-Perimeter aktualisieren möchten, um Cloud Scheduler einzuschließen, folgen Sie der Anleitung zum Aktualisieren eines Dienstperimeters.
Neue Perimeter:Wenn Sie einen neuen Perimeter für Cloud Scheduler erstellen möchten, folgen Sie der Anleitung zum Erstellen eines Dienstperimeters.
VPC Service Controls für vorhandene Jobs erzwingen
Recommended. Wenn Sie VPC Service Controls für Cloud Scheduler-Jobs erzwingen möchten, die Sie erstellt haben, bevor Sie Cloud Scheduler Ihrem VPC Service Controls-Perimeter hinzugefügt haben, führen Sie einen update für den Job aus. Sie müssen den Job nicht ändern, aber Sie müssen das Update ausführen, damit VPC Service Controls für den Job und seine zukünftigen Ausführungen gelten.
Sie können ein Update für den Job über die Google Cloud Konsole (Job auswählen und die Schaltfläche Bearbeiten verwenden), über die API oder mit der gcloud CLI ausführen.
Führen Sie den folgenden Befehl aus, um VPC Service Controls für einen vorhandenen Job mit der gcloud CLI zu erzwingen:
HTTP-Ziele
gcloud scheduler jobs update http JOB_ID
Ersetzen Sie Folgendes:
JOB_ID: die ID Ihres Jobs
Pub/Sub-Ziele
gcloud scheduler jobs update pubsub JOB_ID
Ersetzen Sie Folgendes:
JOB_ID: die ID Ihres Jobs