Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

סקירה כללית על רשתות של קבוצות

במסמך הזה מוסברים מושגי רשת שקשורים ל-Batch, כולל אפשרויות רשת, מתי צריך להגדיר רשת ואיך הרשת פועלת.

אפשרויות רישות

אפשרויות הרשת קובעות איך Batch מתחבר למקורות אחרים, כמו האינטרנט ו Google Cloud שירותים ומשאבים אחרים.

ל-Batch יש את אפשרויות הרשת הבאות:

מציינים את הרשת של משימה או משתמשים ברשת שמוגדרת כברירת מחדל.
שימוש בהגבלות נוספות על הרשת:
- חסימת חיבורים חיצוניים לסביבות זמן ריצה של משימות, לכל המכונות הווירטואליות או למאגרי נתונים ספציפיים.
- הגנה על משאבים ונתונים של Batch באמצעות VPC Service Controls.

מידע נוסף על האפשרויות השונות של רשתות ל-Batch זמין בקטע מתי צריך להגדיר רשתות במאמר הזה. מידע נוסף על מושגי הרשתות שקשורים לכל אפשרות זמין במאמר איך הרשתות פועלות.

מתי צריך להגדיר רשת

כדאי לעיין בקטע הזה כדי להחליט אם להגדיר את הרשת כשמשתמשים ב-Batch או להשתמש בהגדרות הרשת שמוגדרות כברירת מחדל.

צריך להגדיר את הרשת עבור Batch במקרים הבאים:

אם בפרויקט או ברשת שלכם נעשה שימוש ב-VPC Service Controls כדי להגביל את הגישה לרשת עבור Batch, אתם צריכים להגדיר את הרשת לפי ההוראות במאמר שימוש ב-VPC Service Controls עם Batch.
אם האילוץ של מדיניות הארגון compute.vmExternalIpAccess מחייב אתכם ליצור בפרויקט מכונות וירטואליות ללא כתובות IP חיצוניות, או אם הרשת שלכם משתמשת בגישה פרטית ל-Google, אתם צריכים ליצור משימות שחוסמות גישה חיצונית לכל המכונות הווירטואליות.
אם אתם לא יכולים או לא רוצים להשתמש ברשת שמוגדרת כברירת מחדל, אתם צריכים לציין את הרשת לעבודות.

כדי לקבוע אם אפשר להשתמש ברשת שמוגדרת כברירת מחדל עבור משימה, צריך לוודא את הדברים הבאים:
- רשת ברירת המחדל קיימת בפרויקט. בפרויקטים חדשים, הרשת שמוגדרת כברירת מחדל כלולה אוטומטית, אלא אם מופעלת אילוץ מדיניות הארגון compute.skipDefaultNetworkCreation.Google Cloud
- רשת ברירת המחדל תומכת בכל דרישות הרשת הספציפיות שלכם. חשוב לדעת שאם משנים את רשת ברירת המחדל של הפרויקט, יכול להיות שאתם או משתמשים אחרים תיתקלו בבעיות. אם אתם צריכים מידע נוסף על רשת ברירת המחדל, תוכלו לעיין בקטע הגדרת רשת ברירת המחדל במאמר הזה.

גם אם זה לא נדרש, כדאי להגדיר את הרשת כדי לשפר את האבטחה של המשאבים והנתונים של Batch. לדוגמה, אם רוצים לשפר את האבטחה של משימות שמשתמשות בקונטיינרים ולא לחסום גישה חיצונית לכל המכונות הווירטואליות, אפשר ליצור משימות שחוסמות גישה חיצונית רק לקונטיינר אחד או יותר. שימוש ברשת שאינה ברירת המחדל או בהגבלות נוספות על הנטוורקינג יכול לעזור לכם להטמיע את העקרונות של הרשאות מינימליות. מידע נוסף על האפשרויות להגדרת הרשת ב-Batch זמין במאמר איך הרשת פועלת.

אפשרות אחרת היא ליצור משימה בלי לציין אפשרויות רשת, כדי להשתמש בהגדרות הרשת שמוגדרות כברירת מחדל.

איך עובד הקישור לרשת

בקטעים הבאים מוסברים מושגים ברשת שקשורים ל-Batch:

רשת של משרות
הגבלות נוספות על נטוורקינג
הגדרת ברירת מחדל של הרשת

רשת של משרות

כל משימה פועלת במכונות וירטואליות (VM) של Compute Engine, שצריכות להיות חלק מרשת של Google Cloud ענן וירטואלי פרטי (VPC) ומתת-רשת של אותה רשת.

רשתות VPC מקשרות מכונות וירטואליות למקורות אחרים, כמו האינטרנט ומשאבים ושירותים אחרים של Google Cloud . כל רשת מורכבת מתת-רשת אחת לפחות, שנקראת גם subnet, והיא טווח אחד או יותר של כתובות IP שמשויך לאזור. לכל מכונה וירטואלית יש ממשק רשת עם כתובת IP פנימית וכתובת IP חיצונית אופציונלית שמוקצות מתת-הרשת. אתם יכולים להגדיר כללים של חומת אש ב-VPC כדי לאפשר או לחסום חיבורים למכונות הווירטואליות ברשת. לכל רשת יש כללי חומת אש מרומזים שחוסמים את כל החיבורים הנכנסים ומאפשרים את כל החיבורים היוצאים. בדרך כלל, אפשר להשתמש ברשת VPC רק בתוך הפרויקט שלה, אבל אם רוצים להשתמש באותה רשת בכמה פרויקטים, אפשר להשתמש ב-VPC משותף.

לסיכום, כל משימה מורצת במכונות וירטואליות שכל אחת מהן משתמשת בכתובות IP כדי ליצור חיבורים שמבוקרים על ידי כללי חומת האש של הרשת.

מידע נוסף על מושגים ברשתות זמין במאמר סקירה כללית על רשתות למכונות וירטואליות במאמרי העזרה של Compute Engine ובמאמר סקירה כללית על ענן וירטואלי פרטי (VPC) במאמרי העזרה של VPC.

הגבלות נוספות על נטוורקינג

כדי לשפר את האבטחה, הגדרת רשת עשויה לכלול הגבלות נוספות מעבר לכללי חומת האש של הרשת. לדוגמה, הפרויקט או הארגון שלכם יכולים להשתמש באילוצים של מדיניות הארגון או בשירותים אחרים של Google Cloud כדי להגביל את הרשת.

בקטעים הבאים מוסבר על אפשרויות נפוצות להגבלת הגישה לרשת:

חסימת חיבורים חיצוניים לסביבות זמן ריצה של משימות
הגבלת גישה לרשת ל-Batch באמצעות VPC Service Controls

חסימת חיבורים חיצוניים לסביבות זמן ריצה של משימות

אפשר לחסום חיבורים חיצוניים ישירות אל סביבת זמן הריצה וממנה עבור משימה באמצעות אחת מהאפשרויות הבאות:

חסימת גישה חיצונית לכל המכונות הווירטואליות של משימה. חסימת גישה חיצונית למכונות וירטואליות של משימה כדי ליצור משימה שפועלת במכונות וירטואליות ללא כתובות IP חיצוניות. לרוב נדרשת האפשרות הזו עבור רשת או פרויקט, או שהיא משמשת לשיפור האבטחה.

אפשר לגשת למכונות וירטואליות בלי כתובות IP חיצוניות רק דרך כתובות ה-IP הפנימיות שלהן על ידי צומת אחר באותה רשת. לכן, צריך להגדיר גישה למכונות הווירטואליות האלה באופן הבא:
- כדי להריץ משימה במכונות וירטואליות ללא כתובות IP חיצוניות, צריך להשתמש ב-Cloud NAT או ב-גישה פרטית ל-Google כדי לאפשר גישה לדומיינים של ממשקי ה-API והשירותים שבהם נעשה שימוש במשימה. לדוגמה, כל המשימות של Batch משתמשות בממשקי ה-API של Batch ו-Compute Engine, ולעתים קרובות גם ב-Cloud Logging API.
- אם אתם או משתמשים אחרים צריכים להתחבר למכונות וירטואליות ללא כתובות IP חיצוניות, כדאי לעיין במאמר בחירת אפשרות חיבור למכונות וירטואליות פנימיות בלבד במסמכי התיעוד של Compute Engine.
חסימת גישה חיצונית למאגר אחד או יותר של משימה. אם ג'וב משתמש במאגרי תגים ולא חוסם גישה חיצונית לכל המכונות הווירטואליות שלו, אתם יכולים לבחור אם לחסום גישה חיצונית לכל מאגר תגים. האפשרות הזו היא אופציונלית. אפשר להשתמש בה כדי לשפר את האבטחה כשמציינים את הרשת למשימה או כשיוצרים משימה שמשתמשת בהגדרת הרשת שמוגדרת כברירת מחדל.

הגנה על משאבים ונתונים של Batch באמצעות VPC Service Controls

בנוסף לחסימת גישה חיצונית לכל המכונות הווירטואליות של משימה, אתם יכולים להגביל עוד יותר את הגישה לרשת באמצעות VPC Service Controls.

בניגוד לאפשרויות האחרות לניהול רשתות שמוסברות במסמך הזה, שמאפשרות להגביל את הרשתות רק למכונות הווירטואליות או לקונטיינרים שמריצים משימות, VPC Service Controls מאפשר להגביל את הגישה לרשתות למשאבים ולנתונים של שירותים – לדוגמה, משימות ונתונים של Batch. Google Cloud

בעזרת VPC Service Controls אפשר ליצור גבולות גזרה שמגנים על המשאבים ועל הנתונים של שירותים שאתם מגדירים. Google Cloud גבולות גזרה לשירות מבודדים את השירותים והמשאבים שנבחרו, וחוסמים חיבורים לשירותים מחוץ לגבולות הגזרה וחיבורים מהאינטרנט שלא אושרו במפורש. Google Cloud מידע נוסף זמין במסמכי העזרה בנושא VPC Service Controls ובמאמר שימוש ב-VPC Service Controls עם Batch.

הגדרת רשתות שמוגדרת כברירת מחדל

כשיוצרים משימה ולא מציינים אפשרויות רשת, המכונות הווירטואליות של המשימה משתמשות ברשת ברירת המחדל וברשת המשנה של המיקום של המכונה הווירטואלית.

לכל פרויקט יש רשת ברירת מחדל בשם default, אלא אם מוחקים אותה או משביתים אותה באמצעות האילוץ compute.skipDefaultNetworkCreation של מדיניות הארגון. רשת ברירת המחדל היא רשת במצב אוטומטי, ולכן יש לה רשת משנה אחת בכל אזור. בנוסף לכללי חומת האש המשתמעים לכל רשת, לרשת default יש גם כללי חומת אש שאוכלסו מראש, שמאפשרים גישה לתרחישי שימוש נפוצים. מידע נוסף זמין במאמר כללים שאוכלסו מראש ברשת ברירת המחדל במסמכי התיעוד של VPC.

אם אין לכם דרישות רשת לעבודה ואתם לא רוצים להגדיר רשת, כדאי להשתמש בהגדרת הרשת שמוגדרת כברירת מחדל. פרטים על המקרים שבהם כדאי להשתמש בהגדרת הרשת שמוגדרת כברירת מחדל מופיעים במאמר הזה בקטע מתי כדאי להגדיר רשת.

המאמרים הבאים

הגדרת רשתות ל-Batch:
לחלופין, כדי ליצור משימה שמשתמשת בהגדרת רשת ברירת מחדל, אפשר לעיין במאמר בנושא יצירה והפעלה של משימה בסיסית.
אפשר גם לשלוט בגישה לעבודה באמצעות חשבון שירות בהתאמה אישית.