I Controlli di servizio VPC sono una Google Cloud funzionalità che ti consente di configurare un perimetro sicuro per proteggerti dall'esfiltrazione di dati. Questa guida mostra come includere i job Cloud Scheduler in un perimetro dei Controlli di servizio VPC.
Limitazioni
Le seguenti limitazioni si applicano al supporto dei Controlli di servizio VPC per Cloud Scheduler.
Azioni applicate
I Controlli di servizio VPC vengono applicati solo alle seguenti azioni:
- Creazione del job Cloud Scheduler
- Aggiornamenti dei job Cloud Scheduler
Perché è importante?
Poiché i Controlli di servizio VPC vengono applicati solo alla creazione e agli aggiornamenti dei job, non vengono applicati automaticamente ai job creati prima dell'aggiunta di Cloud Scheduler al perimetro di Controlli di servizio VPC. I job continuano a essere eseguiti anche se i target del job non fanno parte del perimetro di Controlli di servizio VPC o non sono target supportati. Per applicare i Controlli di servizio VPC a tutti i job Cloud Scheduler:
- Job con target non supportati o al di fuori del tuo perimetro: elimina i job. In questo documento, vedi Elimina job non conformi.
- Job con target supportati e all'interno del perimetro:esegui un aggiornamento di ogni job dopo aver aggiunto Cloud Scheduler al perimetro. In questo documento, consulta la sezione Applica i controlli di servizio VPC ai job preesistenti.
Target supportati
L'integrazione di Cloud Scheduler con Controlli di servizio VPC supporta le seguenti destinazioni. Gli endpoint HTTP sono supportati se elencati; tuttavia, gli endpoint HTTP arbitrari non sono supportati.
- Cloud Run Functions: sull'URL
functions.net - Cloud Run: nell'URL
run.appper i servizi Cloud Run. I target dei job Cloud Run non sono supportati. Per scoprire la differenza tra le risorse di servizio e di job Cloud Run, consulta Servizi e job: due modi per eseguire il codice. - API Dataflow: deve trovarsi nello stesso progetto Google Cloud del job Cloud Scheduler
- Data Pipelines: deve trovarsi nello stesso progetto Google Cloud del job Cloud Scheduler
- Pub/Sub: deve trovarsi nello stesso Google Cloud progetto del tuo job Cloud Scheduler
Eliminare i job non conformi
Consigliato. Elimina i job Cloud Scheduler con target che sono:
- Non supportato (vedi Target supportati)
- Al di fuori del perimetro dei Controlli di servizio VPC che prevedi di utilizzare
Per istruzioni sull'eliminazione dei job, vedi Eliminare un job.
Se non elimini questi job prima di aggiungere Cloud Scheduler al perimetro dei Controlli di servizio VPC, i job continuano a essere eseguiti, ma i Controlli di servizio VPC non vengono applicati. In questo documento, vedi Azioni applicate.
Ad esempio, se hai un job Cloud Scheduler che ha come target una destinazione non supportata (come un dominio personalizzato Cloud Run), il job continua a essere eseguito dopo che hai aggiunto Cloud Scheduler al perimetro dei Controlli di servizio VPC, ma non è protetto da questi controlli. Lo stesso vale per un job preesistente con una destinazione al di fuori del perimetro dei Controlli di servizio VPC.
Aggiungi i ruoli IAM richiesti
Obbligatorio. Per utilizzare i Controlli di servizio VPC, l'account di servizio Cloud Scheduler deve disporre del ruolo IAM Agente di servizio Cloud Scheduler. Il account di servizio Cloud Scheduler viene creato automaticamente per il tuo progetto. Per verificare che disponga del ruolo IAM agente di servizio Cloud Scheduler o per concederlo, segui questi passaggi:
Nella console Google Cloud , vai a IAM.
Seleziona la casella di controllo Includi concessioni di ruoli fornite da Google.
Nel filtro, digita Service account Cloud Scheduler e seleziona questa entità.
Esamina la colonna Ruolo per l'entità Service Account Cloud Scheduler. Puoi procedere se è elencato il seguente ruolo:
- Cloud Scheduler Service Agent
Se il ruolo di service account Cloud Scheduler non è elencato, fai clic sull'icona Modifica e concedi il ruolo Agente di servizio Cloud Scheduler all'entità service account Cloud Scheduler.
Specifica un perimetro dei Controlli di servizio VPC
Obbligatorio. Puoi utilizzare un perimetro esistente o crearne uno nuovo per proteggere i job Cloud Scheduler che hanno target supportati. Entrambi gli approcci ti danno la possibilità di specificare i servizi da limitare. Specifica l'API Cloud Scheduler.
Perimetri esistenti:per aggiornare un perimetro dei Controlli di servizio VPC esistente in modo da includere Cloud Scheduler, segui i passaggi per aggiornare un perimetro di servizio.
Nuovi perimetri:per creare un nuovo perimetro per Cloud Scheduler, segui i passaggi per creare un perimetro di servizio.
Applicare i Controlli di servizio VPC ai job preesistenti
Consigliato. Per applicare i Controlli di servizio VPC ai job Cloud Scheduler
che hai creato prima di aggiungere Cloud Scheduler al tuo
perimetro di Controlli di servizio VPC, esegui un update sul job. Non devi modificare il job, ma devi eseguire l'aggiornamento affinché i Controlli di servizio VPC vengano applicati al job e alle sue esecuzioni future.
Puoi eseguire un aggiornamento per il job dalla console Google Cloud (seleziona il job e utilizza il pulsante Modifica), utilizzando l'API o con gcloud CLI.
Per applicare i Controlli di servizio VPC a un job preesistente utilizzando gcloud CLI, esegui questo comando:
Target HTTP
gcloud scheduler jobs update http JOB_ID
Sostituisci quanto segue:
JOB_ID: l'ID del job
Destinazioni Pub/Sub
gcloud scheduler jobs update pubsub JOB_ID
Sostituisci quanto segue:
JOB_ID: l'ID del job