Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

שימוש ב-VPC Service Controls עם Batch

במאמר הזה מוסבר איך להשתמש ב-VPC Service Controls עם Batch. ‫VPC Service Controls מאפשר להגן על המשאבים והנתונים של שירותי Google Cloud Google Cloud על ידי בידוד משאבים ספציפיים בגבולות גזרה של שירותים. גבולות גזרה לשירות חוסמים חיבורים לשירותים מחוץ לגבולות הגזרה וחיבורים מהאינטרנט שלא אושרו במפורש. Google Cloud

כדי להגדיר גבול גזרה לשירות ב-VPC Service Controls לשימוש ב-Batch, אפשר לעיין במאמר הגדרת גבול גזרה לשירות ב-Batch.
אם בפרויקט או ברשת שלכם נעשה שימוש ב-VPC Service Controls כדי להגביל את הגישה לרישות עבור Batch, אתם צריכים להגדיר את משימות ה-Batch כך שהן יפעלו בגבולות גזרה לשירות הנדרשים. במאמר הזה מוסבר איך יוצרים משימה שפועלת בגבולות גזרה לשירות.

מידע נוסף על מושגים ברשת ועל המקרים שבהם צריך להגדיר רשת זמין במאמר סקירה כללית על רשתות Batch.

לפני שמתחילים

אם עוד לא השתמשתם ב-Batch, כדאי לעיין במאמר תחילת העבודה עם Batch ולהפעיל את Batch על ידי השלמת הדרישות המוקדמות לפרויקטים ולמשתמשים.
כדי לקבל את ההרשאות שדרושות לשימוש ב-VPC Service Controls עם Batch, אתם צריכים לבקש מהאדמין לתת לכם את תפקידי ה-IAM הבאים:
- כדי להגדיר גבולות גזרה לשירות: עורך Access Context Manager (roles/accesscontextmanager.policyEditor) בפרויקט
- כדי ליצור משרה:
  - הכלי לעריכת משימות באצווה (roles/batch.jobsEditor) בפרויקט
  - משתמש בחשבון שירות (roles/iam.serviceAccountUser) בחשבון השירות של הג'וב, שמוגדר כברירת מחדל כחשבון השירות שמוגדר כברירת מחדל ב-Compute Engine
- כדי לזהות את גבולות הגזרה לשירות בפרויקט או ברשת: קורא Access Context Manager (roles/accesscontextmanager.policyReader) בפרויקט
- כדי לזהות את הרשת ואת רשת המשנה של משימה: צפייה ברשת Compute (roles/compute.networkViewer) בפרויקט
להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

יכול להיות שאפשר לקבל את ההרשאות הנדרשות גם באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש.
אם יוצרים משימה שפועלת ב-גבולות גזרה לשירות, צריך לציין את הרשת שרוצים להשתמש בה למשימה. הרשת שמציינים עבור משימה שמופעלת בתוך גבולות גזרה לשירות חייבת לעמוד בדרישות הבאות:
- הרשת היא רשת של ענן וירטואלי פרטי (VPC) שנמצאת באותו פרויקט כמו העבודה, או רשת VPC משותפת שמארחת את הפרויקט של העבודה או משותפת איתו.
- הרשת כוללת רשת משנה (subnet) במיקום שבו רוצים להריץ את העבודה.
- הרשת נמצאת בגבולות גזרה לשירות הנדרשים ומשתמשת בגישה פרטית ל-Google כדי לאפשר גישה לדומיינים של ממשקי ה-API והשירותים שבהם נעשה שימוש בעבודה. מידע נוסף זמין במאמר הזה בקטע הגדרת גבולות גזרה לשירות עבור Batch.
מידע נוסף זמין במאמר בנושא יצירה וניהול של רשתות VPC.

הגדרת גבולות גזרה לשירות ל-Batch

כדי להגדיר גבולות גזרה לשירות Batch:

מתכננים את ההגדרה של גבולות גזרה לשירות. סקירה כללית של שלבי ההגדרה של גבולות גזרה לשירות זמינה במאמר פרטים והגדרה של גבולות גזרה לשירות במסמכי התיעוד של VPC Service Controls.

כדי להשתמש ב-Batch, גבולות גזרה לשירות צריכים לעמוד בדרישות הבאות:
- שירותים מוגבלים: כדי לאבטח את Batch בתוך גבולות גזרה לשירות, צריך לכלול את Google Cloud השירותים שנדרשים למשימות Batch בגבולות גזרה האלה, כמו השירותים הבאים:
  - ‫Batch API ‏ (batch.googleapis.com)
  - ‫Cloud Logging API ‏ (logging.googleapis.com): נדרש אם רוצים שהעבודות יכתבו יומנים ב-Cloud Logging. (מומלץ)
  - ‫Container Registry API‏ (containerregistry.googleapis.com): נדרש אם שולחים עבודה שמשתמשת בקונטיינרים עם תמונה מ-Container Registry.
  - ‫Artifact Registry API ‏ (artifactregistry.googleapis.com): נדרש אם שולחים עבודה שמשתמשת במאגרי מידע עם תמונה מ-Artifact Registry.
  - ‫Filestore API ‏ (file.googleapis.com): נדרש אם העבודה משתמשת בשיתוף קבצים ב-Filestore.
  - ‫Cloud Storage API‏ (storage.googleapis.com): נדרש לחלק מהמשימות שמשתמשות בקטגוריה של Cloud Storage. חובה אם משתמשים בתמונה לעבודת Batch שלא מותקן בה מראש סוכן השירות של Batch.
  במאמר שירותים שאפשר לגשת אליהם מ-VPC מוסבר איך להפעיל כל אחד מהשירותים האלה בגבולות גזרה לשירות.
  
  זהירות: כדי שעבודות ה-Batch שלכם יהיו מוגנות באופן מלא על ידי גבולות הגזרה לשירות, אתם צריכים לציין את כל השירותים שאתם מתכננים להשתמש בהם.
  
  לכל שירות שאתם כוללים מלבד Batch, אתם צריכים גם לוודא שגבולות גזרה לשירות שלכם עומדים בדרישות שמפורטות לגבי השירות הזה במסמך מוצרים נתמכים ומגבלות של VPC Service Controls.
- רשתות VPC: כל משימה באצווה דורשת רשת VPC, ולכן גבולות הגזרה לשירות צריכים לכלול רשת VPC שעליה אפשר להריץ משימות באצווה. כדי ללמוד איך להגדיר רשת VPC שבה אפשר להריץ את משימות Batch בתוך גבול גזרה לשירות, אפשר לעיין במסמכים הבאים:
  - סקירה כללית על שימוש ברשתות VPC בגבולות גזרה לשירות זמינה במאמר ניהול רשתות VPC בגבולות גזרה לשירות.
  - במאמר הגדרת קישוריות פרטית לממשקי Google APIs ולשירותים מוסבר איך להשתמש בגישה פרטית ל-Google עם VPC Service Controls כדי להגדיר גישה לשירותים שנדרשים לעבודות Batch. Google Cloud
  - מידע נוסף על דרישות הרשת לעבודות Batch זמין במאמר סקירה כללית על רשתות של עבודות.
יוצרים גבולות גזרה לשירות חדשים או מעדכנים גבולות גזרה לשירות קיימים כדי לעמוד בדרישות האלה.

יצירת ג'וב שפועל ב-גבולות גזרה לשירות

כשיוצרים עבודה שמופעלת בתוך גבולות גזרה לשירות, צריך גם לחסום גישה חיצונית לכל המכונות הווירטואליות שהעבודה מופעלת בהן, ולציין רשת ותת-רשת שמאפשרות לעבודה לגשת לממשקי ה-API הנדרשים.

כדי ליצור עבודה שפועלת ב-גבולות גזרה לשירות, פועלים לפי השלבים ב-מאמרי עזרה יצירת עבודה שחוסמת גישה חיצונית לכל המכונות הווירטואליות ומציינים רשת שעומדת בדרישות הרשת לעבודה שפועלת ב-גבולות גזרה לשירות.

המאמרים הבאים

אם נתקלתם בבעיות ביצירה או בהפעלה של משימה, תוכלו להיעזר בפתרון בעיות.
מידע נוסף על רשתות
מידע נוסף על יצירת משרה
איך רואים את העבודות והמשימות?