I Controlli di servizio VPC sono una Google Cloud funzionalità che ti consente di configurare un perimetro sicuro per proteggerti dall'esfiltrazione di dati. Questa guida mostra come includere i job Cloud Scheduler in un perimetro dei Controlli di servizio VPC.
Limitazioni
Le seguenti limitazioni si applicano al supporto dei Controlli di servizio VPC per Cloud Scheduler.
Azioni applicate
I Controlli di servizio VPC vengono applicati solo alle seguenti azioni:
- Creazione di job Cloud Scheduler
- Aggiornamenti dei job Cloud Scheduler
Perché è importante?
Poiché i Controlli di servizio VPC vengono applicati solo alla creazione e agli aggiornamenti dei job, non vengono applicati automaticamente ai job creati prima di aggiungere Cloud Scheduler al perimetro dei Controlli di servizio VPC. I job continuano a essere eseguiti anche se i target dei job non fanno parte del tuo perimetro dei Controlli di servizio VPC o non sono target supportati. Per applicare i Controlli di servizio VPC a tutti i job Cloud Scheduler:
- Job con target non supportati o esterni al perimetro: elimina i job. Consulta Eliminare i job non conformi in questo documento.
- Job con target supportati e all'interno del perimetro: esegui un aggiornamento di ogni job dopo aver aggiunto Cloud Scheduler al perimetro. Consulta Applicare i Controlli di servizio VPC ai job preesistenti in questo documento.
Target supportati
L'integrazione di Cloud Scheduler con i Controlli di servizio VPC supporta i seguenti target. Gli endpoint HTTP sono supportati se elencati; tuttavia, gli endpoint HTTP arbitrari non sono supportati.
- Servizi Cloud Run: sull'URL
run.app. - Cloud Run Functions: sull'URL
functions.net. Google Cloud Le API conformi ai Controlli di servizio VPC (in anteprima o GA) possono trovarsi in un progetto diverso dal job Cloud Scheduler. Google Cloud
Per i job Cloud Run, il formato URI supportato è il seguente:
https://run.googleapis.com/v2/projects/PROJECT_ID/locations/REGION/jobs/JOB_NAME:runPer scoprire la differenza tra le risorse di servizi e job Cloud Run, consulta Servizi e job: due modi per eseguire il codice.
Pub/Sub
Target non supportati
Quando Cloud Scheduler è un servizio limitato nel perimetro dei Controlli di servizio VPC, qualsiasi tentativo di creare o aggiornare un job con un target non supportato non andrà a buon fine e verrà restituito il codice di errore TARGET_TYPE_NOT_PERMITTED_FOR_VPC. Questa azione
non genera un log di violazione quando si utilizza la modalità
di prova.
Per evitare di bloccare in modo imprevisto i carichi di lavoro, elimina tutti i job con target non supportati o con target esterni al perimetro dei Controlli di servizio VPC che prevedi di utilizzare, prima di passare il perimetro alla modalità di applicazione forzata.
Eliminare i job non conformi
Consigliato. Elimina i job Cloud Scheduler con target che sono:
- Non supportati (vedi Target supportati)
- Al di fuori del perimetro dei Controlli di servizio VPC che prevedi di utilizzare
Per istruzioni sull'eliminazione dei job, consulta Eliminare un job.
Se non elimini questi job prima di aggiungere Cloud Scheduler al perimetro dei Controlli di servizio VPC, i job continuano a essere eseguiti, ma i Controlli di servizio VPC non vengono applicati. Consulta Azioni applicate in questo documento.
Ad esempio, se hai un job Cloud Scheduler che ha come target un target non supportato (ad esempio un dominio personalizzato Cloud Run), il job continua a essere eseguito dopo aver aggiunto Cloud Scheduler al perimetro dei Controlli di servizio VPC, ma non è protetto dai Controlli di servizio VPC. Lo stesso vale per un job preesistente con un target esterno al perimetro dei Controlli di servizio VPC.
Aggiungere i ruoli IAM richiesti
Obbligatorio. Per utilizzare i Controlli di servizio VPC, il account di servizio Cloud Scheduler deve avere il ruolo IAM Cloud Scheduler Service Agent. Il account di servizio Cloud Scheduler viene creato automaticamente per il tuo progetto. Per verificare che abbia il ruolo IAM Cloud Scheduler Service Agent o per concederlo, segui questi passaggi:
Nella Google Cloud console, vai a IAM.
Seleziona la casella di controllo Includi concessioni di ruoli fornite da Google.
Nel filtro, digita Service account Cloud Scheduler e seleziona questa entità.
Esamina la colonna Ruolo per l'entità Service account Cloud Scheduler. Puoi procedere se è elencato il seguente ruolo:
- Cloud Scheduler Service Agent
Se il ruolo Service account Cloud Scheduler non è elencato, fai clic sull'icona Modifica e concedi il ruolo Cloud Scheduler Service Agent all'entità Service account Cloud Scheduler.
Specificare un perimetro dei Controlli di servizio VPC
Obbligatorio. Puoi utilizzare un perimetro esistente o crearne uno nuovo per proteggere i job Cloud Scheduler con target supportati. Entrambi gli approcci ti danno la possibilità di specificare i servizi da limitare. Specifica l'API Cloud Scheduler.
Perimetri esistenti: per aggiornare un perimetro dei Controlli di servizio VPC esistente in modo da includere Cloud Scheduler, segui i passaggi per aggiornare un perimetro di servizio.
Nuovi perimetri: per creare un nuovo perimetro per Cloud Scheduler, segui i passaggi per creare un perimetro di servizio.
Applicare i Controlli di servizio VPC ai job preesistenti
Consigliato. Per applicare i Controlli di servizio VPC ai job Cloud Scheduler creati prima di aggiungere Cloud Scheduler al perimetro dei Controlli di servizio VPC, esegui un update del job. Non devi modificare il job, ma devi eseguire l'aggiornamento affinché i Controlli di servizio VPC vengano applicati al job e alle sue esecuzioni future.
Puoi eseguire un aggiornamento del job dalla Google Cloud console (seleziona il job e utilizza il pulsante Modifica), utilizzando l'API o con gcloud CLI.
Per applicare i Controlli di servizio VPC a un job preesistente utilizzando gcloud CLI, esegui il comando seguente:
Target HTTP
gcloud scheduler jobs update http JOB_ID
Sostituisci JOB_ID con l'ID del job.
Target Pub/Sub
gcloud scheduler jobs update pubsub JOB_ID
Sostituisci JOB_ID con l'ID del job.