Configura el Gestor de cargas de trabajo para usarlo con los Controles del servicio de VPC

En esta página, se describe cómo configurar las reglas de entrada y salida para ejecutar evaluaciones de Gestor de cargas de trabajo en proyectos protegidos con los Controles del servicio de VPC.

Cuando ejecutas evaluaciones de Gestor de cargas de trabajo en proyectos protegidos por los Controles del servicio de VPC, debes configurar las reglas de entrada y salida para la cuenta de servicio conectada a la instancia de Compute Engine que ejecuta tu Agente de cargas de trabajo de procesamiento. Estas reglas permiten que la cuenta de servicio acceda a las APIs necesarias dentro del perímetro de los Controles del servicio de VPC. Si no configuras estas reglas, el agente no podrá enviar datos a Gestor de cargas de trabajo y tus evaluaciones fallarán.

Para obtener más información, consulta Descripción general de los Controles del servicio de VPC.

Antes de comenzar

Antes de configurar los Controles del servicio de VPC para tu proyecto, haz lo siguiente:

  1. Configura un perímetro de Controles del servicio de VPC.
  2. Identifica la cuenta de servicio conectada a la instancia de Compute Engine que ejecuta tu agente para cargas de trabajo de Compute. Por ejemplo, sap-example-svc-acct@example-project-123456.iam.gserviceaccount.com. Puedes encontrarla en la página Detalles de la instancia de VM en la Google Cloud consola de.
  3. Verifica que la cuenta de servicio tenga los roles necesarios. Por ejemplo, consulta Roles obligatorios para el agente y las cargas de trabajo de SAP.

Roles obligatorios

Para obtener los permisos que necesitas para configurar Gestor de cargas de trabajo para usarlo dentro de los perímetros de los Controles del servicio de VPC, pídele a tu administrador que te otorgue el rol de IAM Editor de Access Context Manager (roles/accesscontextmanager.policyEditor) en tu proyecto. Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

También puedes obtener los permisos necesarios a través de roles personalizados o cualquier otro rol predefinido.

Crea reglas de entrada y salida para un perímetro de servicio

Para permitir que el agente para cargas de trabajo de Compute se comunique con los servicios necesarios, debes configurar las reglas de entrada y salida en tu perímetro de los Controles del servicio de VPC.

Para obtener más información sobre cómo crear reglas de entrada, consulta Configura políticas de entrada y salida.

Console

  1. En la Google Cloud consola, ve a la página Controles del servicio de VPC.

    Ir a los Controles del servicio de VPC

  2. Elige tu proyecto.

  3. Haz clic en el nombre del perímetro de servicio y, luego, en Editar.

  4. Haz clic en Política de entrada o Política de salida.

  5. Haz clic en Agregar una regla de entrada.

  6. En la sección De, especifica la identidad del agente de servicio:

    1. En Identidades, elige Seleccionar identidades y grupos.
    2. Haz clic en Agregar identidades.
    3. Ingresa la dirección de correo electrónico de la cuenta de servicio del agente. Por ejemplo, sap-example-svc-acct@example-project-123456.iam.gserviceaccount.com.

  7. En la sección A, especifica las operaciones permitidas:

    1. En Recursos, elige Todos los proyectos.
    2. En Operaciones, elige Operaciones seleccionadas.
    3. Haz clic en Agregar operaciones y, luego, agrega los siguientes servicios con Todos los métodos seleccionados:
      • compute.googleapis.com
      • workloadmanager.googleapis.com
      • secretmanager.googleapis.com

  8. Haz clic en Listo y, luego, en Guardar.

gcloud

Para agregar la regla de entrada, crea un archivo YAML que contenga la regla de entrada y usa el gcloud access-context-manager perimeters update comando con la --set-ingress-policies marca.

  1. Crea un archivo YAML de política de entrada llamado ingress_policy.yaml con el siguiente contenido:

    - ingressFrom:
    identities:
     - serviceAccount:SERVICE_ACCOUNT_EMAIL
    sources:
    - accessLevel: '*'
  ingressTo:
    operations:
    - serviceName: compute.googleapis.com
      methodSelectors:
      - method: "*"
    - serviceName: workloadmanager.googleapis.com
      methodSelectors:
      - method: "*"
    - serviceName: secretmanager.googleapis.com
      methodSelectors:
      - method: "*"
    resources:
    - "*"

    Reemplaza SERVICE_ACCOUNT_EMAIL por la dirección de correo electrónico de la cuenta de servicio conectada a la instancia de Compute Engine que ejecuta el agente para cargas de trabajo de Compute.

  2. Agrega la política de entrada al perímetro:

       gcloud access-context-manager perimeters update PERIMETER_NAME \
     --set-ingress-policies=ingress_policy.yaml

    Reemplaza PERIMETER_NAME por el nombre de tu perímetro de servicio. Por ejemplo, accessPolicies/1234567890/servicePerimeters/example_perimeter.

Soluciona problemas relacionados con incumplimientos de los Controles del servicio de VPC

Para ver los incumplimientos de los Controles del servicio de VPC en tu proyecto y solucionar problemas, usa el Explorador de registros.

Para obtener más información, consulta Solución de problemas de los Controles del servicio de VPC.

¿Qué sigue?