Controles del servicio de VPC es una Google Cloud función que te permite configurar un perímetro seguro para protegerte del robo de datos. En esta guía, se muestra cómo incluir trabajos de Cloud Scheduler en un perímetro de Controles del servicio de VPC.
Limitaciones
Las siguientes limitaciones se aplican a la compatibilidad de los Controles del servicio de VPC con Cloud Scheduler.
Acciones aplicadas
Los Controles del servicio de VPC solo se aplican en las siguientes acciones:
- Creación de trabajos de Cloud Scheduler
- Actualizaciones de trabajos de Cloud Scheduler
¿Por qué esto es importante?
Dado que los Controles del servicio de VPC solo se aplican en la creación y las actualizaciones de trabajos, no se aplican automáticamente a los trabajos que se crearon antes de que agregaras Cloud Scheduler a tu perímetro de Controles del servicio de VPC. Los trabajos continúan ejecutándose incluso si los destinos del trabajo no forman parte de tu perímetro de Controles del servicio de VPC o no son destinos compatibles. Para aplicar los Controles del servicio de VPC a todos los trabajos de Cloud Scheduler, haz lo siguiente:
- Trabajos con objetivos que no se admiten o que están fuera de tu perímetro: Borra los trabajos. En este documento, consulta Cómo borrar trabajos que no cumplen con los requisitos.
- Trabajos con destinos admitidos y dentro de tu perímetro: Ejecuta una actualización en cada trabajo después de agregar Cloud Scheduler a tu perímetro. En este documento, consulta Cómo aplicar los Controles del servicio de VPC a trabajos existentes.
Categorías admitidas
La integración de Cloud Scheduler con los Controles del servicio de VPC admite los siguientes destinos. Se admiten los extremos HTTP si se indican en la lista. Sin embargo, no se admiten los extremos HTTP arbitrarios.
- Funciones de Cloud Run: En la URL de
functions.net - Cloud Run: En la URL
run.apppara los servicios de Cloud Run No se admiten los destinos de trabajos de Cloud Run. Para obtener información sobre la diferencia entre los recursos de servicios y trabajos de Cloud Run, consulta Servicios y trabajos: dos formas de ejecutar tu código. - API de Dataflow: Debe estar en el mismo proyecto Google Cloud que tu trabajo de Cloud Scheduler.
- Canalizaciones de datos: Deben estar en el mismo proyecto Google Cloud que tu trabajo de Cloud Scheduler.
- Pub/Sub: Debe estar en el mismo proyecto de Google Cloud que tu trabajo de Cloud Scheduler.
Borra los trabajos que no cumplen con los requisitos
(recomendado) Borra los trabajos de Cloud Scheduler con destinos que cumplan con una de las siguientes condiciones:
- No admitido (consulta Categorías admitidas)
- Fuera del perímetro de los Controles del servicio de VPC que planeas usar
Si quieres obtener instrucciones para borrar trabajos, consulta Borra un trabajo.
Si no borras estos trabajos antes de agregar Cloud Scheduler a tu perímetro de Controles del servicio de VPC, los trabajos seguirán ejecutándose, pero no se aplicarán los Controles del servicio de VPC en ellos. En este documento, consulta Acciones aplicadas.
Por ejemplo, si tienes un trabajo de Cloud Scheduler que se orienta a un destino no compatible (como un dominio personalizado de Cloud Run), el trabajo seguirá ejecutándose después de que agregues Cloud Scheduler a tu perímetro de los Controles del servicio de VPC, pero no estará protegido por los Controles del servicio de VPC. Lo mismo sucede con un trabajo preexistente con un destino fuera de tu perímetro de Controles del servicio de VPC.
Agrega los roles de IAM obligatorios
Obligatorio. Para usar los Controles del servicio de VPC, la cuenta de servicio de Cloud Scheduler debe tener el rol de IAM Agente de servicio de Cloud Scheduler. La cuenta de servicio de Cloud Scheduler se crea automáticamente para tu proyecto. Para verificar que tenga el rol de IAM de agente de servicio de Cloud Scheduler o para otorgar este rol, sigue estos pasos:
En la consola de Google Cloud , ve a IAM.
Selecciona la casilla de verificación Incluir asignaciones de funciones proporcionadas por Google.
En el filtro, escribe Cuenta de servicio de Cloud Scheduler y selecciona esta principal.
Consulta la columna Rol para la principal de la cuenta de servicio de Cloud Scheduler. Puedes continuar si se muestra el siguiente rol:
- Agente de Cloud Scheduler Service
Si no aparece el rol de cuenta de servicio de Cloud Scheduler, haz clic en el ícono de Editar y otorga el rol de Agente de servicio de Cloud Scheduler a la principal de la cuenta de servicio de Cloud Scheduler.
Especifica un perímetro de Controles del servicio de VPC
Obligatorio. Puedes usar un perímetro existente o crear uno nuevo para proteger tus trabajos de Cloud Scheduler que tengan destinos compatibles. Ambos enfoques te permiten especificar los servicios que deseas restringir. Especifica la API de Cloud Scheduler.
Perímetros existentes: Para actualizar un perímetro existente de los Controles del servicio de VPC para incluir Cloud Scheduler, sigue los pasos para actualizar un perímetro de servicio.
Perímetros nuevos: Para crear un perímetro nuevo para Cloud Scheduler, sigue los pasos para crear un perímetro de servicio.
Aplica los Controles del servicio de VPC en trabajos existentes
(recomendado) Para aplicar los Controles del servicio de VPC en los trabajos de Cloud Scheduler que creaste antes de agregar Cloud Scheduler a tu perímetro de Controles del servicio de VPC, ejecuta un update en el trabajo. No es necesario que cambies el trabajo, pero debes ejecutar la actualización para que los Controles del servicio de VPC se apliquen al trabajo y a sus ejecuciones futuras.
Puedes ejecutar una actualización del trabajo desde la consola Google Cloud (selecciona el trabajo y usa el botón Editar), con la API o con gcloud CLI.
Para aplicar los Controles del servicio de VPC en un trabajo preexistente con gcloud CLI, ejecuta el siguiente comando:
Destinos de HTTP
gcloud scheduler jobs update http JOB_ID
Reemplaza lo siguiente:
JOB_ID: El ID de tu trabajo
Destinos de Pub/Sub
gcloud scheduler jobs update pubsub JOB_ID
Reemplaza lo siguiente:
JOB_ID: El ID de tu trabajo