Esta página foi traduzida pela API Cloud Translation.

Use os VPC Service Controls com o Batch

Este documento explica como usar os VPC Service Controls com o Batch. Os VPC Service Controls permitem-lhe proteger os recursos e os dados dos Google Cloud serviços isolando recursos específicos em perímetros de serviço. Um perímetro de serviço bloqueia as ligações com serviços fora do perímetro e quaisquer ligações da Internet que não sejam explicitamente permitidas. Google Cloud

Para configurar um perímetro de serviço do VPC Service Controls para usar o Batch, consulte o artigo Configure um perímetro de serviço para o Batch neste documento.
Se o seu projeto ou rede usar os VPC Service Controls para restringir o acesso à rede para o Batch, tem de configurar os seus trabalhos do Batch para serem executados no perímetro de serviço necessário. Para saber como, consulte o artigo Crie uma tarefa que seja executada num perímetro de serviço neste documento.

Para mais informações sobre os conceitos de rede e quando configurar a rede, consulte o artigo Vista geral da rede em lote.

Antes de começar

Se nunca usou o Batch, reveja o artigo Comece a usar o Batch e ative o Batch concluindo os pré-requisitos para projetos e utilizadores.
Para receber as autorizações de que precisa para usar os VPC Service Controls com o Batch, peça ao seu administrador que lhe conceda as seguintes funções de IAM:
- Para configurar um perímetro de serviço: Editor do Gestor de acesso sensível ao contexto (roles/accesscontextmanager.policyEditor) no projeto
- Para criar uma tarefa:
  - Editor de tarefas de lote (roles/batch.jobsEditor) no projeto
  - Utilizador da conta de serviço (roles/iam.serviceAccountUser) na conta de serviço da tarefa, que, por predefinição, é a conta de serviço predefinida do Compute Engine
- Para identificar o perímetro de serviço de um projeto ou uma rede: Leitor do Gestor de acesso sensível ao contexto (roles/accesscontextmanager.policyReader) no projeto
- Para identificar a rede e a sub-rede de uma tarefa: Compute Network Viewer (roles/compute.networkViewer) no projeto
Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.

Também pode conseguir as autorizações necessárias através de funções personalizadas ou outras funções predefinidas.
Se criar uma tarefa que é executada num perímetro de serviço, tem de identificar a rede que quer usar para a tarefa. A rede que especificar para uma tarefa executada num perímetro de serviço tem de cumprir os seguintes requisitos:
- A rede é uma rede da nuvem virtual privada (VPC) que está no mesmo projeto que a tarefa ou é uma rede da VPC partilhada alojada ou partilhada com o projeto da tarefa.
- A rede inclui uma sub-rede (sub-net) na localização onde quer executar a tarefa.
- A rede está no perímetro de serviço necessário e usa o acesso privado à Google para permitir o acesso aos domínios das APIs e dos serviços que a sua tarefa usa. Para mais informações, consulte a secção Configure um perímetro de serviço para o Batch neste documento.
Para mais informações, consulte o artigo Crie e faça a gestão de redes VPC.

Configure um perímetro de serviço para o Batch

Para configurar um perímetro de serviço para o Batch, faça o seguinte:

Planeie a configuração do seu perímetro de serviço. Para uma vista geral das fases de configuração dos perímetros de serviço, consulte a documentação do VPC Service Controls para detalhes e configuração do perímetro de serviço.

Para usar o Batch, o perímetro de serviço tem de cumprir os seguintes requisitos:
- Serviços restritos: para proteger o Batch num perímetro de serviço, tem de incluir os serviços necessários para as suas tarefas do Batch nesse perímetro, como os seguintes serviços: Google Cloud
  - API Batch (batch.googleapis.com)
  - Cloud Logging API (logging.googleapis.com): obrigatória se quiser que os seus trabalhos escrevam registos no Cloud Logging. (Recomendado)
  - API Container Registry (containerregistry.googleapis.com): obrigatória se enviar uma tarefa que use contentores com uma imagem do Container Registry.
  - API Artifact Registry (artifactregistry.googleapis.com): obrigatória se enviar uma tarefa que use contentores com uma imagem do Artifact Registry.
  - API Filestore (file.googleapis.com): obrigatória se a sua tarefa usar uma partilha de ficheiros do Filestore.
  - API Cloud Storage (storage.googleapis.com): necessária para algumas tarefas que usam um contentor do Cloud Storage. Obrigatório se usar uma imagem para a tarefa em lote que não tenha o agente do serviço de processamento em lote pré-instalado.
  Para saber como ativar cada um destes serviços no seu perímetro de serviço, consulte os serviços acessíveis por VPC.
  
  Aviso: para que as tarefas em lote estejam totalmente protegidas pelo perímetro de serviço, tem de especificar todos os serviços que planeia usar.
  
  Para cada serviço que incluir além do Batch, também tem de verificar se o seu perímetro de serviço cumpre os requisitos indicados para esse serviço na documentação Produtos e limitações suportados pelo VPC Service Controls.
- Redes VPC: cada tarefa do Batch requer uma rede VPC, pelo que o seu perímetro de serviço tem de incluir uma rede VPC na qual as tarefas do Batch possam ser executadas. Para saber como configurar uma rede VPC que possa executar os seus trabalhos do Batch dentro de um perímetro de serviço, consulte os seguintes documentos:
  - Para uma vista geral da utilização de redes VPC num perímetro de serviço, consulte o artigo Gestão de redes VPC em perímetros de serviço.
  - Para saber como usar o acesso privado à Google com o VPC Service Controls para configurar o acesso aos serviços necessários para as suas tarefas em lote, consulte o artigo Configure a conetividade privada às APIs e aos serviços Google. Google Cloud
  - Para mais informações acerca dos requisitos de rede para tarefas em lote, consulte o artigo Vista geral da rede de tarefas.
Crie um novo perímetro de serviço ou atualize um perímetro de serviço existente para cumprir estes requisitos.

Crie um trabalho que seja executado num perímetro de serviço

Quando cria uma tarefa que é executada num perímetro de serviço, também tem de bloquear o acesso externo para todas as VMs em que uma tarefa é executada e especificar uma rede e uma sub-rede que permitam à tarefa aceder às APIs necessárias.

Para criar uma tarefa que seja executada num perímetro de serviço, siga os passos na documentação para Criar uma tarefa que bloqueie o acesso externo para todas as VMs e especifique uma rede que cumpra os requisitos de rede para uma tarefa que seja executada num perímetro de serviço.

O que se segue?

Se tiver problemas ao criar ou executar uma tarefa, consulte a secção Resolução de problemas.
Saiba mais acerca das redes.
Saiba mais sobre como criar uma tarefa.
Saiba como ver serviços e tarefas.