Halaman ini diterjemahkan oleh Cloud Translation API.

Mengamankan cron job dengan Kontrol Layanan VPC

Kontrol Layanan VPC adalah Google Cloud fitur yang memungkinkan Anda menyiapkan perimeter yang aman untuk mencegah pemindahan data yang tidak sah. Panduan ini menunjukkan cara menyertakan tugas Cloud Scheduler dalam perimeter Kontrol Layanan VPC.

Batasan

Batasan berikut berlaku untuk dukungan Kontrol Layanan VPC untuk Cloud Scheduler.

Tindakan yang diterapkan

Kontrol Layanan VPC hanya diterapkan pada tindakan berikut:

Pembuatan tugas Cloud Scheduler
Update tugas Cloud Scheduler

Mengapa hal ini penting?

Karena Kontrol Layanan VPC hanya diterapkan pada pembuatan tugas dan pembaruan tugas, Kontrol Layanan VPC tidak otomatis diterapkan untuk tugas yang dibuat sebelum Anda menambahkan Cloud Scheduler ke perimeter Kontrol Layanan VPC. Tugas akan terus dieksekusi meskipun target tugas bukan bagian dari perimeter Kontrol Layanan VPC Anda atau bukan target yang didukung. Untuk menerapkan Kontrol Layanan VPC untuk semua tugas Cloud Scheduler:

Tugas dengan target yang tidak didukung atau berada di luar perimeter Anda: Hapus tugas. Lihat Menghapus tugas yang tidak mematuhi kebijakan
Tugas dengan target yang didukung dan berada di dalam perimeter Anda: Jalankan update pada setiap tugas setelah menambahkan Cloud Scheduler ke perimeter Anda. Lihat Menerapkan pada tugas yang sudah ada.

Target yang didukung

Integrasi Cloud Scheduler dengan Kontrol Layanan VPC hanya mendukung target berikut:

Fungsi Cloud Run (di URL functions.net)
Cloud Run (di URL run.app untuk layanan Cloud Run. Target tugas Cloud Run tidak didukung. Untuk mempelajari perbedaan antara resource layanan dan tugas untuk Cloud Run, lihat Layanan dan tugas: dua cara untuk menjalankan kode Anda.)
Dataflow API (harus berada dalam project Google Cloud yang sama dengan tugas Cloud Scheduler Anda)
Data Pipeline (harus berada dalam project Google Cloud yang sama dengan tugas Cloud Scheduler Anda)
Pub/Sub (harus berada dalam project Google Cloud yang sama dengan job Cloud Scheduler Anda)

Menghapus tugas yang tidak mematuhi kebijakan

Direkomendasikan. Menghapus tugas Cloud Scheduler dengan target yang bersifat:

Tidak didukung (lihat Target yang didukung)
Di luar perimeter Kontrol Layanan VPC yang ingin Anda gunakan

Untuk petunjuk cara menghapus tugas, lihat Menghapus tugas.

Jika Anda tidak menghapus tugas ini sebelum menambahkan Cloud Scheduler ke perimeter Kontrol Layanan VPC, tugas akan terus berjalan, tetapi Kontrol Layanan VPC tidak diterapkan pada tugas tersebut (lihat Tindakan yang diterapkan).

Misalnya, jika Anda memiliki tugas Cloud Scheduler yang menargetkan target yang tidak didukung (seperti domain kustom Cloud Run), tugas tersebut akan terus berjalan setelah Anda menambahkan Cloud Scheduler ke perimeter Kontrol Layanan VPC, tetapi tidak dilindungi oleh Kontrol Layanan VPC. Hal yang sama berlaku untuk tugas yang sudah ada dengan target di luar perimeter Kontrol Layanan VPC Anda.

Menambahkan peran IAM yang diperlukan

Wajib diisi. Untuk menggunakan Kontrol Layanan VPC, akun layanan Cloud Scheduler harus memiliki peran IAM Cloud Scheduler Service Agent. Akun layanan Cloud Scheduler dibuat secara otomatis untuk project Anda. Untuk memverifikasi bahwa akun memiliki peran IAM Agen Layanan Cloud Scheduler, atau untuk memberikan peran ini, lakukan langkah-langkah berikut:

Di konsol Google Cloud, buka IAM.

Buka IAM
Centang kotak Include Google-provided role grants.
Di filter, ketik Cloud Scheduler Service Account, lalu pilih akun utama ini.
Lihat kolom Role untuk akun utama Cloud Scheduler Service Account. Anda dapat melanjutkan jika peran berikut tercantum:
- Cloud Scheduler Service Agent
Jika peran Akun Layanan Cloud Scheduler tidak tercantum, klik ikon Edit dan berikan peran Cloud Scheduler Service Agent kepada akun utama Akun Layanan Cloud Scheduler.

Menentukan perimeter Kontrol Layanan VPC

Wajib diisi. Anda dapat menggunakan perimeter yang ada atau membuat perimeter baru untuk melindungi tugas Cloud Scheduler yang telah mendukung target. Kedua pendekatan tersebut memberi Anda kesempatan untuk menentukan layanan yang akan dibatasi. Tentukan Cloud Scheduler API.

Perimeter yang ada: Untuk memperbarui perimeter Kontrol Layanan VPC yang ada agar menyertakan Cloud Scheduler, ikuti langkah-langkah untuk memperbarui perimeter layanan.
Perimeter baru: Untuk membuat perimeter baru bagi Cloud Scheduler, ikuti langkah-langkah untuk membuat perimeter layanan.

Menerapkan Kontrol Layanan VPC pada tugas yang sudah ada

Direkomendasikan. Untuk menerapkan Kontrol Layanan VPC pada tugas Cloud Scheduler yang Anda buat sebelum menambahkan Cloud Scheduler ke perimeter Kontrol Layanan VPC, jalankan update pada tugas. Anda tidak perlu mengubah tugas, tetapi Anda harus menjalankan update agar Kontrol Layanan VPC berlaku untuk tugas dan eksekusi berikutnya.

Anda dapat menjalankan update untuk tugas dari konsol Google Cloud (pilih tugas dan gunakan tombol Edit), menggunakan API, atau dengan gcloud CLI.

Untuk menerapkan Kontrol Layanan VPC pada tugas yang sudah ada menggunakan gcloud CLI, jalankan perintah berikut:

Target HTTP

gcloud scheduler jobs update http JOB_ID

Ganti kode berikut:

JOB_ID: ID tugas Anda

Target Pub/Sub

gcloud scheduler jobs update pubsub JOB_ID

Ganti kode berikut:

JOB_ID: ID tugas Anda