I Controlli di servizio VPC sono una funzionalità di Google Cloud Platform che ti consente di configurare un perimetro sicuro per proteggerti dall'esfiltrazione di dati. Questa guida mostra come includere i job Cloud Scheduler in un perimetro dei Controlli di servizio VPC.
Limitazioni
Le seguenti limitazioni si applicano al supporto dei Controlli di servizio VPC per Cloud Scheduler.
Azioni applicate
I Controlli di servizio VPC vengono applicati solo alle seguenti azioni:
- Creazione del job Cloud Scheduler
- Aggiornamenti dei job Cloud Scheduler
Perché è importante?
Poiché i Controlli di servizio VPC vengono applicati solo alla creazione e agli aggiornamenti dei job, non vengono applicati automaticamente ai job creati prima dell'aggiunta di Cloud Scheduler al perimetro dei Controlli di servizio VPC. I job continuano a essere eseguiti anche se i target del job non fanno parte del perimetro dei Controlli di servizio VPC o non sono target supportati. Per applicare i Controlli di servizio VPC a tutti i job Cloud Scheduler:
- Job con target non supportati o al di fuori del tuo perimetro: elimina i job. In questo documento, vedi Elimina i job non conformi.
- Job con target supportati e all'interno del perimetro:esegui un aggiornamento di ogni job dopo aver aggiunto Cloud Scheduler al perimetro. In questo documento, consulta la sezione Applica i Controlli di servizio VPC ai job preesistenti.
Target supportati
L'integrazione di Cloud Scheduler con Controlli di servizio VPC supporta le seguenti destinazioni. Gli endpoint HTTP sono supportati se elencati; tuttavia, gli endpoint HTTP arbitrari non sono supportati.
- Servizi Cloud Run: sull'URL
run.app. - Cloud Run Functions, all'URL
functions.net. Le APIGoogle Cloud conformi ai Controlli di servizio VPC (in anteprima o GA) possono trovarsi in un progetto Google Cloud diverso dal tuo job Cloud Scheduler.
Per i job Cloud Run, il formato URI supportato è il seguente:
https://run.googleapis.com/v2/projects/PROJECT_ID/locations/REGION/jobs/JOB_NAME:runPer scoprire la differenza tra le risorse di servizio e di job di Cloud Run, consulta Servizi e job: due modi per eseguire il codice.
Pub/Sub
Target non supportati
Quando Cloud Scheduler è un servizio con limitazioni nel perimetro dei Controlli di servizio VPC, qualsiasi tentativo di creare o aggiornare un job con una destinazione non supportata non andrà a buon fine. Questa azione non genera un log delle violazioni quando viene utilizzata la modalità test di prova.
Per evitare di bloccare in modo imprevisto i tuoi workload, elimina tutti i job con destinazioni non supportate o con destinazioni al di fuori del perimetro dei Controlli di servizio VPC che prevedi di utilizzare, prima di spostare il perimetro in modalità di applicazione.
Elimina i job non conformi
Consigliato. Elimina i job Cloud Scheduler con target che sono:
- Non supportato (vedi Target supportati)
- Al di fuori del perimetro dei Controlli di servizio VPC che prevedi di utilizzare
Per istruzioni sull'eliminazione dei job, vedi Eliminare un job.
Se non elimini questi job prima di aggiungere Cloud Scheduler al perimetro dei Controlli di servizio VPC, i job continuano a essere eseguiti, ma i Controlli di servizio VPC non vengono applicati. Consulta Azioni applicate in questo documento.
Ad esempio, se hai un job Cloud Scheduler che ha come target un target non supportato (come un dominio personalizzato Cloud Run), il job continua a essere eseguito dopo che hai aggiunto Cloud Scheduler al perimetro dei Controlli di servizio VPC, ma non è protetto dai Controlli di servizio VPC. Lo stesso vale per un job preesistente con una destinazione al di fuori del perimetro dei Controlli di servizio VPC.
Aggiungi i ruoli IAM richiesti
Obbligatorio. Per utilizzare i Controlli di servizio VPC, l'account di servizio Cloud Scheduler deve disporre del ruolo IAM Agente di servizio Cloud Scheduler. Il account di servizio Cloud Scheduler viene creato automaticamente per il tuo progetto. Per verificare che abbia il ruolo IAM service agent Cloud Scheduler o per concederlo, segui questi passaggi:
Nella console Google Cloud , vai a IAM.
Seleziona la casella di controllo Includi concessioni di ruoli fornite da Google.
Nel filtro, digita Service account Cloud Scheduler e seleziona questo principal.
Esamina la colonna Ruolo per l'entità Service Account Cloud Scheduler. Puoi procedere se è elencato il seguente ruolo:
- Service Agent Cloud Scheduler
Se il ruolo Service Account Cloud Scheduler non è elencato, fai clic sull'icona Modifica e concedi il ruolo Agente di servizio Cloud Scheduler all'entità Service Account Cloud Scheduler.
Specifica un perimetro dei Controlli di servizio VPC
Obbligatorio. Puoi utilizzare un perimetro esistente o crearne uno nuovo per proteggere i job Cloud Scheduler che hanno target supportati. Entrambi gli approcci ti danno la possibilità di specificare i servizi da limitare. Specifica l'API Cloud Scheduler.
Perimetri esistenti:per aggiornare un perimetro dei Controlli di servizio VPC esistente in modo da includere Cloud Scheduler, segui i passaggi per aggiornare un perimetro di servizio.
Nuovi perimetri:per creare un nuovo perimetro per Cloud Scheduler, segui i passaggi per creare un perimetro di servizio.
Applicare i Controlli di servizio VPC ai job preesistenti
Consigliato. Per applicare i Controlli di servizio VPC ai job Cloud Scheduler
che hai creato prima di aggiungere Cloud Scheduler al perimetro dei Controlli di servizio VPC, esegui un update sul job. Non devi modificare il job, ma devi eseguire l'aggiornamento affinché i Controlli di servizio VPC vengano applicati al job e alle sue esecuzioni future.
Puoi eseguire un aggiornamento per il job dalla console Google Cloud (seleziona il job e utilizza il pulsante Modifica), utilizzando l'API o con gcloud CLI.
Per applicare i Controlli di servizio VPC a un job preesistente utilizzando gcloud CLI, esegui questo comando:
Target HTTP
gcloud scheduler jobs update http JOB_ID
Sostituisci JOB_ID con l'ID del tuo job.
Destinazioni Pub/Sub
gcloud scheduler jobs update pubsub JOB_ID
Sostituisci JOB_ID con l'ID del tuo job.