Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

使用 VPC Service Controls 保护 cron 作业

VPC Service Controls 是一项 Google Cloud 功能，可让您设置安全的边界以防数据渗漏。本指南介绍了如何将 Cloud Scheduler 作业纳入 VPC Service Controls 边界。

限制

以下限制适用于 Cloud Scheduler 的 VPC Service Controls 支持。

强制执行的操作

仅对以下操作执行 VPC Service Controls：

创建 Cloud Scheduler 作业
更新 Cloud Scheduler 作业

这一点为什么非常重要？

由于 VPC Service Controls 仅对作业创建和作业更新强制执行，因此对于在您将 Cloud Scheduler 添加到 VPC Service Controls 边界之前创建的作业，VPC Service Controls 不会自动强制执行。即使作业目标不属于您的 VPC Service Controls 边界或是不受支持的目标，作业也会继续执行。如需对所有 Cloud Scheduler 作业强制执行 VPC Service Controls，请执行以下操作：

目标不受支持或位于边界外的作业：删除作业。在本文档中，请参阅删除不合规的作业。
目标受支持且位于边界内的作业：将 Cloud Scheduler 添加到边界后，对每个作业运行更新。在本文档中，请参阅对现有作业强制执行 VPC Service Controls。

支持的目标

Cloud Scheduler 与 VPC Service Controls 的集成支持以下目标。如果列出了 HTTP 端点，则支持这些端点；但是，不支持任意 HTTP 端点。

Cloud Run 服务 - 位于 run.app 网址上。
Cloud Run 函数 - 位于 functions.net 网址上。
Google Cloud 符合 VPC Service Controls 要求的 API（预览版或正式版）可以位于与 Google Cloud 您的 Cloud Scheduler 作业不同的项目中。
- 对于 Cloud Run 作业，支持的 URI 格式如下： https://run.googleapis.com/v2/projects/PROJECT_ID/locations/REGION/jobs/JOB_NAME:run
  
  如需了解 Cloud Run 服务和作业资源之间的区别，请参阅服务和作业：运行代码的两种方式。
Pub/Sub

不支持的目标

当 Cloud Scheduler 是 VPC Service Controls 边界中的受限服务时，任何尝试使用不受支持的目标创建或更新作业的操作都会失败，并显示 TARGET_TYPE_NOT_PERMITTED_FOR_VPC 错误代码。使用试运行模式时，此操作不会 生成违规日志。

为避免意外阻止工作负载，请在将边界移至强制执行模式之前，删除所有具有不受支持的目标或目标位于您计划使用的 VPC Service Controls 边界之外的作业。

删除不合规的作业

推荐。删除具有以下目标的 Cloud Scheduler 作业：

不受支持（请参阅支持的目标）
位于您计划使用的 VPC Service Controls 边界之外

如需了解如何删除作业，请参阅删除作业。

如果您在将 Cloud Scheduler 添加到 VPC Service Controls 边界之前未删除这些作业，这些作业会继续运行，但 VPC Service Controls 不会对它们强制执行。在本文档中，请参阅强制执行的操作。

例如，如果您有一个 Cloud Scheduler 作业，其目标是不受支持的目标（例如 Cloud Run 自定义网域），则在您将 Cloud Scheduler 添加到 VPC Service Controls 边界后，该作业会继续运行，但不会受到 VPC Service Controls 的保护。对于目标位于 VPC Service Controls 边界之外的现有作业，情况也是如此。

添加所需的 IAM 角色

必需。如需使用 VPC Service Controls，Cloud Scheduler 服务帐号必须具有 Cloud Scheduler Service Agent IAM 角色。系统会自动为您的项目创建 Cloud Scheduler 服务帐号。如需验证该账号是否具有 Cloud Scheduler Service Agent IAM 角色，或授予此角色，请执行以下步骤：

在 Google Cloud 控制台中，前往 IAM。

转到 IAM
选中包括 Google 提供的角色授权 复选框。
在过滤条件中，输入 Cloud Scheduler Service Account，然后选择此主账号。
查看 Cloud Scheduler Service Account 主账号的角色列。如果列出了以下角色，您可以继续：
- Cloud Scheduler Service Agent
如果未列出 Cloud Scheduler Service Account 角色，请点击修改图标，然后将 Cloud Scheduler Service Agent 角色授予 Cloud Scheduler Service Account 主账号。

指定 VPC Service Controls 边界

必需。您可以使用现有边界或创建新边界来保护具有受支持目标的 Cloud Scheduler 作业。这两种方法都让您有机会指定要限制的服务。指定 Cloud Scheduler API 。

现有边界：如需更新现有 VPC Service Controls 边界以纳入 Cloud Scheduler，请按照更新服务边界的步骤操作。
新边界：如需为 Cloud Scheduler 创建新边界，请按照创建服务边界的步骤操作。

对现有作业强制执行 VPC Service Controls

推荐。如需对在您将 Cloud Scheduler 添加到 VPC Service Controls 边界之前创建的 Cloud Scheduler 作业强制执行 VPC Service Controls，请对该作业运行 update。您无需更改作业，但必须运行更新，VPC Service Controls 才能应用于该作业及其未来的执行。

您可以使用 Google Cloud 控制台（选择作业并使用修改按钮）、API 或使用 gcloud CLI 为作业运行更新。

如需使用 gcloud CLI 对现有作业强制执行 VPC Service Controls，请运行以下命令：

HTTP 目标

gcloud scheduler jobs update http JOB_ID

将 JOB_ID 替换为您的作业的 ID。

Pub/Sub 目标

gcloud scheduler jobs update pubsub JOB_ID