Questo documento spiega come utilizzare i Controlli di servizio VPC con Batch. I Controlli di servizio VPC consentono di proteggere le risorse e i dati dei Google Cloud servizi isolando risorse specifiche in perimetri di servizio. Un perimetro di servizio blocca le connessioni con Google Cloud i servizi esterni al perimetro e tutte le connessioni da internet che non sono esplicitamente consentite.
- Per configurare un perimetro di servizio dei Controlli di servizio VPC da utilizzare con Batch, consulta Configurare un perimetro di servizio per Batch in questo documento.
- Se il tuo progetto o la tua rete utilizza i Controlli di servizio VPC per limitare l'accesso alla rete per Batch, devi configurare i job Batch in modo che vengano eseguiti nel perimetro di servizio richiesto. Per scoprire come fare, consulta Creare un job che viene eseguito in un perimetro di servizio in questo documento.
Per saperne di più sui concetti di rete e su quando configurare la rete, consulta Panoramica della rete Batch.
Prima di iniziare
- Se non hai mai utilizzato Batch, consulta la pagina Inizia a utilizzare Batch e abilita Batch completando i prerequisiti per progetti e utenti.
-
Per ottenere le autorizzazioni necessarie per utilizzare i Controlli di servizio VPC con Batch, chiedi all'amministratore di concederti i seguenti ruoli IAM:
-
Per configurare un perimetro di servizio:
Gestore contesto accesso Editor (
roles/accesscontextmanager.policyEditor) sul progetto -
Per creare un job:
- Batch Job Editor (
roles/batch.jobsEditor) sul progetto - Utente account di servizio (
roles/iam.serviceAccountUser) sul service account del job, che per impostazione predefinita è il service account predefinito di Compute Engine
- Batch Job Editor (
-
Per identificare il perimetro di servizio per un progetto o una rete:
Gestore contesto accesso Reader (
roles/accesscontextmanager.policyReader) sul progetto -
Per identificare la rete e la subnet per un job:
Compute Network Viewer (
roles/compute.networkViewer) sul progetto
Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.
Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.
-
Per configurare un perimetro di servizio:
Gestore contesto accesso Editor (
-
Se crei un job che viene eseguito in un perimetro di servizio, devi identificare la rete che vuoi utilizzare per il job. La rete specificata per un job che viene eseguito in un perimetro di servizio deve soddisfare i seguenti requisiti:
- La rete è una rete Virtual Private Cloud (VPC) che si trova nello stesso progetto del job o è una rete VPC condivisa ospitata dal progetto per il job o condivisa con quest'ultimo.
- La rete include una subnet nella località in cui vuoi eseguire il job.
- La rete si trova nel perimetro di servizio richiesto e utilizza l'accesso privato Google per consentire l'accesso ai domini per le API e i servizi utilizzati dal job. Per saperne di più, consulta Configurare un perimetro di servizio per Batch in questo documento.
Configurare un perimetro di servizio per Batch
Per configurare un perimetro di servizio per Batch:
Pianifica la configurazione del perimetro di servizio. Per una panoramica delle fasi di configurazione dei perimetri di servizio, consulta la documentazione dei Controlli di servizio VPC per i dettagli e la configurazione dei perimetri di servizio.
Per utilizzare Batch, il perimetro di servizio deve soddisfare i seguenti requisiti:
Servizi limitati: per proteggere Batch all'interno di un perimetro di servizio, devi includere in questo perimetro i Google Cloud servizi necessari per i job Batch, ad esempio i seguenti servizi:
- API Batch (
batch.googleapis.com) - API Cloud Logging (
logging.googleapis.com): obbligatoria se vuoi che i job scrivano i log in Cloud Logging. (Consigliato) - API Container Registry (
containerregistry.googleapis.com): obbligatoria se invii un job che utilizza container con un'immagine di Container Registry. - API Artifact Registry (
artifactregistry.googleapis.com): obbligatoria se invii un job che utilizza container con un'immagine di Artifact Registry. - API Filestore (
file.googleapis.com): obbligatoria se il tuo job utilizza una condivisione file Filestore. - API Storage (
storage.googleapis.com): obbligatoria per alcuni job che utilizzano un bucket Cloud Storage. Obbligatoria se utilizzi un' immagine per il job Batch in cui non è preinstallato il service agent Batch.
Per scoprire come abilitare ciascuno di questi servizi nel perimetro di servizio, consulta Servizi accessibili da VPC.
Per ogni servizio incluso diverso da Batch, devi anche verificare che il perimetro di servizio soddisfi i requisiti elencati per quel servizio nella documentazione Prodotti e limitazioni supportati dai Controlli di servizio VPC.
- API Batch (
Reti VPC: ogni job Batch richiede una rete VPC, quindi il perimetro di servizio deve includere una rete VPC su cui possono essere eseguiti i job Batch. Per scoprire come configurare una rete VPC in cui possono essere eseguiti i job Batch all'interno di un perimetro di servizio, consulta i seguenti documenti:
- Per una panoramica sull'utilizzo delle reti VPC in un perimetro di servizio, consulta Gestione delle reti VPC nei perimetri di servizio.
- Per scoprire come utilizzare l'accesso privato Google con i Controlli di servizio VPC per configurare l'accesso ai Google Cloud servizi necessari per i job Batch, consulta Configurare la connettività privata ai servizi e alle API di Google.
- Per saperne di più sui requisiti di rete per i job Batch, consulta Panoramica della rete dei job.
Crea un nuovo perimetro di servizio o aggiorna un perimetro di servizio esistente in modo che soddisfi questi requisiti.
Creare un job che viene eseguito in un perimetro di servizio
Quando crei un job che viene eseguito in un perimetro di servizio, devi anche bloccare l'accesso esterno per tutte le VM su cui viene eseguito un job e specificare una rete e una subnet che consentano al job di accedere alle API richieste.
Per creare un job che viene eseguito in un perimetro di servizio, segui i passaggi descritti nella documentazione per Creare un job che blocca l'accesso esterno per tutte le VM e specifica una rete che soddisfi i requisiti di rete per un job che viene eseguito in un perimetro di servizio.
Passaggi successivi
- Se riscontri problemi durante la creazione o l'esecuzione di un job, consulta Risoluzione dei problemi.
- Scopri di più sulla rete.
- Scopri di più sulla creazione di un job.
- Scopri come visualizzare job e attività.