Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Workload Manager für die Verwendung mit VPC Service Controls konfigurieren

Auf dieser Seite wird beschrieben, wie Sie Regeln für ein- und ausgehenden Traffic konfigurieren, um Workload Manager-Bewertungen in Projekten auszuführen, die mit VPC Service Controls geschützt sind.

Wenn Sie Workload Manager-Bewertungen in Projekten ausführen, die durch VPC Service Controls geschützt sind, müssen Sie Regeln für eingehenden und ausgehenden Traffic für das Dienstkonto konfigurieren, das an die Compute Engine-Instanz angehängt ist, auf der Ihr Agent für Computing-Arbeitslasten ausgeführt wird. Mit diesen Regeln kann das Dienstkonto auf die erforderlichen APIs innerhalb des VPC Service Controls-Perimeters zugreifen. Wenn Sie diese Regeln nicht konfigurieren, kann der Agent keine Daten an Workload Manager senden und Ihre Auswertungen schlagen fehl.

Weitere Informationen finden Sie unter VPC Service Controls – Übersicht.

Hinweis

Bevor Sie VPC Service Controls für Ihr Projekt einrichten, gehen Sie so vor:

VPC Service Controls-Perimeter einrichten
Ermitteln Sie das Dienstkonto, das an die Compute Engine-Instanz angehängt ist, auf der Ihr Agent für Compute-Arbeitslasten ausgeführt wird. Beispiel: sap-example-svc-acct@example-project-123456.iam.gserviceaccount.com. Sie finden diese Informationen in der Google Cloud -Console auf der Seite VM-Instanzdetails.
Prüfen Sie, ob das Dienstkonto die erforderlichen Rollen hat. Weitere Informationen finden Sie unter Erforderliche Rollen für den Agent und SAP-Arbeitslasten.

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Access Context Manager Editor (roles/accesscontextmanager.policyEditor) für Ihr Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Konfigurieren von Workload Manager für die Verwendung in VPC Service Controls-Perimetern benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Regeln für ein- und ausgehenden Traffic für einen Dienstperimeter erstellen

Damit der Agent for Compute Workloads mit den erforderlichen Diensten kommunizieren kann, müssen Sie Regeln für ein- und ausgehenden Traffic in Ihrem VPC Service Controls-Perimeter konfigurieren.

Weitere Informationen zum Erstellen von Regeln für eingehenden Traffic finden Sie unter Richtlinien für ein- und ausgehenden Traffic konfigurieren.

Console

Wechseln Sie in der Google Cloud Console zur Seite VPC Service Controls.

Zu VPC Service Controls
Wählen Sie Ihr Projekt aus.
Klicken Sie auf den Namen des Dienstperimeters und dann auf Bearbeiten.
Klicken Sie auf Richtlinie für eingehenden Traffic oder Richtlinie für ausgehenden Traffic.
Klicken Sie auf Regel für eingehenden Traffic hinzufügen.
Geben Sie im Abschnitt Von die Identität für den Dienst-Agent an:
1. Wählen Sie unter Identitäten die Option Identitäten und Gruppen auswählen aus.
2. Klicken Sie auf Identitäten hinzufügen.
3. Geben Sie die E-Mail-Adresse des Dienstkontos des Agents ein. Beispiel: sap-example-svc-acct@example-project-123456.iam.gserviceaccount.com.
Geben Sie im Abschnitt An die zulässigen Vorgänge an:
1. Wählen Sie für Ressourcen die Option Alle Projekte aus.
2. Wählen Sie unter Vorgänge die Option Vorgänge auswählen aus.
3. Klicken Sie auf Vorgänge hinzufügen und fügen Sie dann die folgenden Dienste hinzu. Dabei muss Alle Methoden ausgewählt sein:
  - compute.googleapis.com
  - workloadmanager.googleapis.com
  - secretmanager.googleapis.com
Klicken Sie auf Fertig und anschließend auf Speichern.

gcloud

Erstellen Sie zum Hinzufügen der Ingress-Regel eine YAML-Datei, die die Ingress-Regel enthält, und verwenden Sie den Befehl gcloud access-context-manager perimeters update mit dem Flag --set-ingress-policies.

Erstellen Sie eine YAML-Datei für die Ingress-Richtlinie mit dem Namen ingress_policy.yaml und dem folgenden Inhalt:

- ingressFrom:
    identities:
     - serviceAccount:SERVICE_ACCOUNT_EMAIL
    sources:
    - accessLevel: '*'
  ingressTo:
    operations:
    - serviceName: compute.googleapis.com
      methodSelectors:
      - method: "*"
    - serviceName: workloadmanager.googleapis.com
      methodSelectors:
      - method: "*"
    - serviceName: secretmanager.googleapis.com
      methodSelectors:
      - method: "*"
    resources:
    - "*"

Ersetzen Sie SERVICE_ACCOUNT_EMAIL durch die E-Mail-Adresse des Dienstkontos, das an die Compute Engine-Instanz angehängt ist, auf der der Agent für Compute Workloads ausgeführt wird.

Fügen Sie dem Perimeter die Richtlinie für eingehenden Traffic hinzu:
```
   gcloud access-context-manager perimeters update PERIMETER_NAME \
     --set-ingress-policies=ingress_policy.yaml
```
Ersetzen Sie PERIMETER_NAME durch den Namen Ihres Dienstperimeters. Beispiel: accessPolicies/1234567890/servicePerimeters/example_perimeter.

Fehler bei Verstößen gegen VPC Service Controls beheben

Verwenden Sie den Log-Explorer, um VPC Service Controls-Verstöße in Ihrem Projekt aufzurufen und Probleme zu beheben.

Weitere Informationen finden Sie unter Fehlerbehebung bei VPC Service Controls.

Nächste Schritte

Bewertung erstellen und ausführen