Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Usa los Controles del servicio de VPC con lotes

En este documento, se explica cómo usar los Controles del servicio de VPC con Batch. Los Controles del servicio de VPC te permiten proteger los recursos y los datos de los Google Cloud servicios mediante el aislamiento de recursos específicos en perímetros de servicio. Un perímetro de servicio bloquea las conexiones con Google Cloud servicios fuera del perímetro y cualquier conexión desde Internet que no esté permitida de forma explícita.

Para configurar un perímetro de servicio de los Controles del servicio de VPC para usar Batch, consulta Configura un perímetro de servicio para Batch en este documento.
Si tu proyecto o red usa los Controles del servicio de VPC para restringir el acceso a la red para Batch, debes configurar tus trabajos de Batch para que se ejecuten en el perímetro de servicio requerido. Para obtener información, consulta Crea un trabajo que se ejecute en un perímetro de servicio en este documento.

Para obtener más información sobre los conceptos de redes y cuándo configurar las redes, consulta Descripción general de las redes de Batch.

Antes de comenzar

Si nunca usaste Batch, revisa Comienza a usar Batch y habilita Batch completando los requisitos previos para proyectos y usuarios.
Para obtener los permisos que necesitas para usar los Controles del servicio de VPC con Batch, pídele a tu administrador que te otorgue los siguientes roles de IAM:
- Para configurar un perímetro de servicio: Editor de Access Context Manager (roles/accesscontextmanager.policyEditor) en el proyecto
- Para crear un trabajo:
  - Editor de trabajos de Batch (roles/batch.jobsEditor) en el proyecto
  - Usuario de cuenta de servicio (roles/iam.serviceAccountUser) en la cuenta de servicio del trabajo, que, de forma predeterminada, es la cuenta de servicio predeterminada de Compute Engine
- Para identificar el perímetro de servicio de un proyecto o una red: Lector de Access Context Manager (roles/accesscontextmanager.policyReader) en el proyecto
- Para identificar la red y la subred de un trabajo: Visualizador de red de Compute (roles/compute.networkViewer) en el proyecto
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

También puedes obtener los permisos necesarios a través de roles personalizados o cualquier otro rol predefinido.
Si creas un trabajo que se ejecuta en un perímetro de servicio, debes identificar la red que deseas usar para el trabajo. La red que especifiques para un trabajo que se ejecuta en un perímetro de servicio debe cumplir con los siguientes requisitos:
- La red es una red de nube privada virtual (VPC) que se encuentra en el mismo proyecto que el trabajo o es una red de VPC compartida que aloja el proyecto para el trabajo o se comparte con él.
- La red incluye una subred en la ubicación en la que deseas ejecutar el trabajo.
- La red se encuentra en el perímetro de servicio requerido y usa el Acceso privado a Google para permitir el acceso a los dominios de las APIs y los servicios que usa tu trabajo. Para obtener más información, consulta Configura un perímetro de servicio para Batch en este documento.
Para obtener más información, consulta Crea y administra redes de VPC.

Configura un perímetro de servicio para Batch

Para configurar un perímetro de servicio para Batch, haz lo siguiente:

Planifica la configuración de tu perímetro de servicio. Para obtener una descripción general de las etapas de configuración de los perímetros de servicio, consulta la documentación de los Controles del servicio de VPC para obtener detalles y configuración del perímetro de servicio.

Para usar Batch, el perímetro de servicio debe cumplir con los siguientes requisitos:
- Servicios restringidos: Para proteger Batch dentro de un perímetro de servicio, debes incluir los Google Cloud servicios que se requieren para tus trabajos de Batch en ese perímetro, como los siguientes servicios:
  - API de Batch (batch.googleapis.com)
  - API de Cloud Logging (logging.googleapis.com): Es obligatoria si deseas que tus trabajos escriban registros en Cloud Logging. (Recomendado)
  - API de Container Registry (containerregistry.googleapis.com): Es obligatoria si envías un trabajo que usa contenedores con una imagen de Container Registry.
  - API de Artifact Registry (artifactregistry.googleapis.com): Es obligatoria si envías un trabajo que usa contenedores con una imagen de Artifact Registry.
  - API de Filestore (file.googleapis.com): Es obligatoria si tu trabajo usa un recurso compartido de archivos de Filestore.
  - API de Cloud Storage (storage.googleapis.com): Es obligatoria para algunos trabajos que usan un bucket de Cloud Storage. Es obligatoria si usas una imagen para tu trabajo por lotes que no tiene preinstalado el agente de servicio de Batch.
  Para obtener información sobre cómo habilitar cada uno de estos servicios en tu perímetro de servicio, consulta Servicios de VPC accesibles.
  
  **Precaución:** Para que tus trabajos de Batch estén completamente protegidos por el perímetro de servicio, debes especificar _todos_ los servicios que planeas usar.
  
  Para cada servicio que incluyas que no sea Batch, también debes verificar que tu perímetro de servicio cumpla con los requisitos que se indican para ese servicio en la documentación de productos y limitaciones compatibles con los Controles del servicio de VPC.
- Redes de VPC: Cada trabajo por lotes de Batch requiere una red de VPC, por lo que tu perímetro de servicio debe incluir una red de VPC en la que se puedan ejecutar los trabajos por lotes de Batch. Para obtener información sobre cómo configurar una red de VPC que pueda ejecutar tus trabajos de Batch dentro de un perímetro de servicio, consulta los siguientes documentos:
  - Para obtener una descripción general del uso de redes de VPC en un perímetro de servicio, consulta Administración de redes de VPC en perímetros de servicio.
  - Para obtener información sobre cómo usar el Acceso privado a Google con los Controles del servicio de VPC para configurar el acceso a los Google Cloud servicios que se requieren para tus trabajos de Batch, consulta Configura una conectividad privada a los servicios y las APIs de Google.
  - Para obtener más información sobre los requisitos de redes para los trabajos de Batch, consulta Descripción general de las redes de trabajos.
Crea un perímetro de servicio nuevo o actualiza uno existente para cumplir con estos requisitos.

Crea un trabajo que se ejecute en un perímetro de servicio

Cuando creas un trabajo que se ejecuta en un perímetro de servicio, también debes bloquear el acceso externo para todas las VMs en las que se ejecuta un trabajo y especificar una red y una subred que permitan que el trabajo acceda a las APIs requeridas.

Para crear un trabajo que se ejecute en un perímetro de servicio, sigue los pasos de la documentación para crear un trabajo que bloquee el acceso externo para todas las VMs y especifica una red que cumpla con los requisitos de red para un trabajo que se ejecuta en un perímetro de servicio.

¿Qué sigue?

Si tienes problemas para crear o ejecutar un trabajo, consulta Solución de problemas.
Obtén más información sobre las redes.
Obtén más información para crear un trabajo.
Obtén información para ver trabajos y tareas.