Vista geral da rede em lote

Este documento explica os conceitos de rede para o Batch, incluindo opções de rede, quando configurar a rede e como funciona a rede.

Opções de rede

As opções de rede controlam a forma como o Batch está ligado a outras fontes, como a Internet e outros recursos e serviços. Google Cloud

O Batch tem as seguintes opções de rede:

• Especifique a rede para uma tarefa ou use a rede predefinida.
• Use restrições de rede adicionais:
  • Bloquear ligações externas para ambientes de tempo de execução de tarefas, seja para todas as VMs ou para contentores específicos.
  • Proteja os recursos e os dados do Batch através dos VPC Service Controls.

Para mais informações sobre como determinar que opções de rede usar para o Batch, consulte a secção Quando configurar a rede neste documento. Para mais informações sobre os conceitos de rede de cada opção, consulte a secção Como funciona a rede neste documento.

Quando configurar a rede

Reveja esta secção para determinar se deve configurar a rede quando usar o processamento em lote ou usar a configuração de rede predefinida.

Tem de configurar a rede para o Batch nos seguintes casos:

• Se o seu projeto ou rede usar os VPC Service Controls para restringir o acesso à rede para o Batch, tem de configurar a rede seguindo a documentação Use os VPC Service Controls com o Batch.
• Se a restrição da política da organização compute.vmExternalIpAccessexigir que o seu projeto crie VMs sem endereços IP externos ou se a sua rede usar o acesso privado à Google, tem de criar tarefas que bloqueiem o acesso externo para todas as VMs.

• Se não puder ou não quiser usar a rede predefinida, tem de especificar a rede para trabalhos.

  Para determinar se pode usar a rede predefinida para uma tarefa, verifique o seguinte:

  • A rede predefinida existe para o seu projeto. Os novos Google Cloud projetos incluem automaticamente a rede predefinida a menos que a restrição da compute.skipDefaultNetworkCreationpolítica organizacional esteja ativada.
  • A rede predefinida suporta quaisquer requisitos de rede específicos que tenha. Em particular, se a rede predefinida do seu projeto for modificada, pode ter problemas, bem como outros utilizadores. Se precisar de mais informações acerca da rede predefinida, consulte a secção Configuração de rede predefinida neste documento.

Mesmo que não seja obrigatório, pode querer configurar a rede para melhorar a segurança dos recursos e dos dados do Batch. Por exemplo, se quiser melhorar a segurança dos trabalhos que usam contentores e não bloquear o acesso externo para todas as VMs, pode, opcionalmente, criar trabalhos que bloqueiem o acesso externo apenas para um ou mais contentores. A utilização de uma rede não predefinida ou de restrições de rede adicionais pode ajudar a implementar princípios de privilégio mínimo. Para mais informações sobre as opções que pode usar para configurar a rede para o Batch, consulte a secção Como funciona a rede neste documento.

Caso contrário, se não precisar nem quiser configurar a rede, pode criar uma tarefa sem especificar opções de rede para usar a configuração de rede predefinida.

Como funciona a rede

As secções seguintes explicam os conceitos de rede para o Batch:

• Rede de empregos
• Restrições de rede adicionais
• Configuração de rede predefinida

Rede de empregos

Todos os trabalhos são executados em máquinas virtuais (VMs) do Compute Engine, que têm de fazer parte de uma rede da nuvem virtual privada (VPC) e de uma sub-rede dessa rede. Google Cloud

As redes VPC ligam as VMs a outras origens, como a Internet e outros Google Cloud recursos e serviços. Cada rede consiste em, pelo menos, uma sub-rede, também conhecida como sub-rede, que é um ou mais intervalos de endereços IP associados a uma região. Cada VM tem uma interface de rede com um endereço IP interno e um endereço IP externo opcional que são atribuídos a partir da sub-rede. Pode configurar regras de firewall da VPC para permitir ou negar ligações para as VMs numa rede. Todas as redes têm regras de firewall implícitas que bloqueiam todas as ligações recebidas e permitem todas as ligações enviadas. Normalmente, uma rede VPC só pode ser usada no respetivo projeto, mas se quiser usar a mesma rede em vários projetos, pode usar a VPC partilhada.

Em resumo, cada tarefa é executada em VMs que usam endereços IP para estabelecer ligações controladas pelas regras de firewall da rede.

Para mais informações sobre os conceitos de rede, consulte o artigo Vista geral das redes para VMs na documentação do Compute Engine e o artigo Vista geral da nuvem virtual privada (VPC) na documentação da VPC.

Restrições de rede adicionais

Para ajudar a melhorar a segurança, uma configuração de rede pode envolver mais restrições do que apenas as regras de firewall para a respetiva rede. Por exemplo, o seu projeto ou organização pode usar restrições de políticas da organização ou outros serviços para restringir a rede. Google Cloud

As secções seguintes explicam as opções comuns para restringir ainda mais a rede:

• Bloqueie ligações externas para ambientes de tempo de execução de tarefas
• Restrinja o acesso à rede para o Batch através dos VPC Service Controls

Bloqueie ligações externas para ambientes de tempo de execução de tarefas

Pode bloquear as ligações externas diretamente para e a partir do ambiente de tempo de execução de uma tarefa através de uma das seguintes opções:

• Bloqueie o acesso externo para todas as VMs de uma tarefa. Bloquear o acesso externo para as VMs de uma tarefa para criar uma tarefa que seja executada em VMs sem endereços IP externos. Esta opção é frequentemente necessária para uma rede ou um projeto, ou é usada opcionalmente para melhorar a segurança.

  Só é possível aceder às VMs sem endereços IP externos através dos respetivos endereços IP internos por outro nó na mesma rede. Por isso, tem de configurar o acesso a estas VMs da seguinte forma:

  • Para executar uma tarefa em VMs sem endereços IP externos, use o Cloud NAT ou o acesso privado à Google para permitir o acesso aos domínios das APIs e dos serviços que a sua tarefa usa. Por exemplo, todas as tarefas em lote usam as APIs Batch e Compute Engine e, muitas vezes, usam a API Cloud Logging.

  • Se você ou outros utilizadores precisarem de estabelecer ligação a VMs sem endereços IP externos, consulte Escolha uma opção de ligação para VMs apenas internas na documentação do Compute Engine.

• Bloqueie o acesso externo para um ou mais contentores de um trabalho. Se uma tarefa usar contentores e ainda não bloquear o acesso externo para todas as respetivas VMs, pode escolher se quer bloquear o acesso externo para cada contentor. Esta opção é opcional. Pode ser usada para melhorar a segurança quando especifica a rede para uma tarefa ou quando cria uma tarefa que usa a configuração de rede predefinida.

Proteja os recursos e os dados do Batch através dos VPC Service Controls

Além de bloquear o acesso externo para todas as VMs de uma tarefa, pode restringir ainda mais a rede através dos VPC Service Controls.

Ao contrário das outras opções de rede explicadas neste documento, que podem restringir a rede apenas para as VMs ou os contentores que executam tarefas, os VPC Service Controls permitem-lhe restringir o acesso à rede para os recursos e os dados dos serviços, por exemplo, tarefas e dados do Batch. Google Cloud

Pode usar os VPC Service Controls para criar perímetros que protegem os recursos e os dados dos Google Cloud serviços que especificar. O perímetro de serviço isola os serviços e os recursos selecionados, bloqueando as ligações com Google Cloud serviços fora do perímetro e quaisquer ligações da Internet que não sejam explicitamente permitidas. Para mais informações, consulte a documentação do VPC Service Controls e o artigo Use o VPC Service Controls com o Batch.

Configuração de rede predefinida

Quando cria uma tarefa e não especifica opções de rede, as VMs da tarefa usam a rede predefinida e a sub-rede para a localização da VM.

Cada projeto tem uma rede predefinida denominada default, a menos que a elimine ou desative esta opção através da restrição da política da organização compute.skipDefaultNetworkCreation. A rede predefinida é uma rede no modo automático, pelo que tem uma sub-rede em cada região. Além das regras de firewall implícitas para todas as redes, a rede default também tem regras de firewall pré-preenchidas, que permitem o acesso para exemplos de utilização comuns. Para mais informações, consulte o artigo Regras pré-preenchidas na rede predefinida na documentação da VPC.

Considere usar a configuração de rede predefinida se não tiver requisitos de rede para uma tarefa e não quiser configurar a rede. Para ver detalhes sobre quando usar a configuração de rede predefinida, consulte a secção Quando configurar a rede neste documento.

O que se segue?

• Configure a rede para o Batch:
  • Especifique a rede para um trabalho
  • Bloqueie o acesso externo para uma tarefa
  • Use os VPC Service Controls com o Batch
• Em alternativa, para criar uma tarefa que use a configuração de rede predefinida, consulte o artigo Crie e execute uma tarefa básica.
• Também pode controlar o acesso a uma tarefa através de uma conta de serviço personalizada.