Controlli di servizio VPC è una funzionalità di Google Cloud che consente di configurare un perimetro sicuro per proteggersi dall'esfiltrazione di dati. Questa guida mostra come includere i job Cloud Scheduler in una Perimetro Controlli di servizio VPC.
Limitazioni
Le seguenti limitazioni si applicano al supporto di Controlli di servizio VPC per Cloud Scheduler.
Azioni applicate
I Controlli di servizio VPC vengono applicati solo alle seguenti azioni:
- Creazione di job Cloud Scheduler
- Aggiornamenti dei job Cloud Scheduler
Perché è importante?
Poiché i Controlli di servizio VPC vengono applicati solo alla creazione e agli aggiornamenti dei job, non vengono applicati automaticamente ai job creati prima di aggiungere Cloud Scheduler al perimetro di VPC Service Controls. I job continuano a essere eseguiti anche se i target non fanno parte del perimetro di Controlli di servizio VPC o non sono target supportati. Per applicare i Controlli di servizio VPC a tutti i job Cloud Scheduler:
- I job con target non supportati o che non rientrano nel perimetro: elimina i job. Consulta Eliminare i job non conformi.
- Job con destinazioni supportate sia all'interno del perimetro: esegui un aggiornamento su ciascun job dopo l'aggiunta di Cloud Scheduler al perimetro. Consulta Applicare ai job esistenti.
Target supportati
Integrazione di Cloud Scheduler solo con Controlli di servizio VPC supporta i seguenti target:
- Funzioni Cloud Run (all'URL
functions.net) - Cloud Run (all'URL
run.appper Cloud Run i servizi di machine learning. I target dei job Cloud Run non sono supportati. Per apprendere sulla differenza tra risorse di servizio e risorse Cloud Run, consulta Servizi e job: due modi per eseguire il codice.) - API Dataflow (deve trovarsi nello stesso progetto Google Cloud del job Cloud Scheduler)
- Pipeline di dati (devono trovarsi nello stesso progetto Google Cloud del tuo job Cloud Scheduler)
- Pub/Sub (deve trovarsi nello stesso progetto Google Cloud del job Cloud Scheduler)
Eliminare i job non conformi
Consigliata. Elimina i job Cloud Scheduler con target che sono:
- Non supportati (vedi Target supportati)
- Al di fuori del perimetro di Controlli di servizio VPC che prevedi di utilizzare
Per istruzioni sull'eliminazione dei job, consulta Elimina un job.
Se non elimini questi job prima di aggiungere Cloud Scheduler a il perimetro dei Controlli di servizio VPC, i job continuano a essere eseguiti, I Controlli di servizio VPC non sono applicati in modo forzato (vedi Azioni forzate).
Ad esempio, se hai un job Cloud Scheduler che ha come target un obiettivo non supportato (ad esempio un dominio personalizzato Cloud Run), il job continua a funzionare dopo aver aggiunto Cloud Scheduler al perimetro dei Controlli di servizio VPC, ma non è protetto da questa funzionalità. La lo stesso vale per un'offerta di lavoro preesistente con un target al di fuori del Perimetro Controlli di servizio VPC.
Aggiungi i ruoli IAM richiesti
Obbligatorio. Per utilizzare i Controlli di servizio VPC, Cloud Scheduler l'account di servizio deve avere l'agente di servizio Cloud Scheduler ruolo IAM. L'account di servizio Cloud Scheduler è stato creato per il tuo progetto automaticamente. Per verificare che disponga del ruolo IAM Agente di servizio Cloud Scheduler o per concederlo, svolgi i seguenti passaggi:
Nella console Google Cloud, vai a IAM.
Seleziona la casella di controllo Includi concessioni di ruoli fornite da Google.
Nel filtro, digita Account di servizio Cloud Scheduler e seleziona questo principale.
Controlla la colonna Ruolo per il principale Account di servizio Cloud Scheduler. Puoi procedere se è elencato il seguente ruolo:
- Agente di servizio Cloud Scheduler
Se il ruolo dell'account di servizio Cloud Scheduler non è elencato, fai clic sull'icona Modifica e concedi il ruolo Agente di servizio Cloud Scheduler all'entità dell'account di servizio Cloud Scheduler.
Specificare un perimetro dei Controlli di servizio VPC
Obbligatorio. Puoi utilizzare un perimetro esistente o crearne uno nuovo per proteggere i job Cloud Scheduler che hanno target supportati. Entrambi gli approcci ti consentono di specificare i servizi da limitare. Specifica l'API Cloud Scheduler.
Perimetri esistenti: per aggiornare un perimetro dei Controlli di servizio VPC esistente in modo da includere Cloud Scheduler, segui la procedura per aggiornare un perimetro di servizio.
Nuovi perimetri: per creare un nuovo perimetro per Cloud Scheduler, segui la procedura per creare un perimetro di servizio.
Applicare i Controlli di servizio VPC ai job esistenti
Consigliata. Per applicare i Controlli di servizio VPC sui job Cloud Scheduler
creato prima di aggiungere Cloud Scheduler al tuo
Perimetro dei Controlli di servizio VPC, esegui un update sul job. Non è necessario
modificare il job, ma devi eseguire l'aggiornamento affinché i Controlli di servizio VPC
al job e alle sue esecuzioni future.
Puoi eseguire un aggiornamento del job dalla console Google Cloud (seleziona il job e utilizza il pulsante Modifica), utilizzando l'API o con gcloud CLI.
Per applicare i Controlli di servizio VPC a un job esistente utilizzando gcloud CLI, esegui quanto segue:
Target HTTP
gcloud scheduler jobs update http JOB_ID
Sostituisci quanto segue:
JOB_ID: l'ID del job
Destinazioni Pub/Sub
gcloud scheduler jobs update pubsub JOB_ID
Sostituisci quanto segue:
JOB_ID: l'ID del job