Panoramica del networking di batch

Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Questo documento illustra i concetti di networking per Batch, tra cui le opzioni di networking, quando configurare il networking e come funziona.

Opzioni di networking

Le opzioni di networking controllano il modo in cui Batch è connesso ad altre fonti, come internet e altre risorse e servizi. Google Cloud

Batch offre le seguenti opzioni di networking:

• Specifica la rete per un job o utilizza la rete predefinita.
• Utilizza ulteriori restrizioni di rete:
  • Blocca le connessioni esterne per gli ambienti di runtime dei job, per tutte le VM o per container specifici.
  • Proteggi le risorse e i dati di Batch utilizzando i Controlli di servizio VPC.

Per ulteriori informazioni su come determinare le opzioni di rete da utilizzare per Batch, consulta Quando configurare la rete in questo documento. Per ulteriori informazioni sui concetti di networking per ogni opzione, consulta Come funziona la rete in questo documento.

Quando configurare il networking

Esamina questa sezione per stabilire se configurare la rete quando utilizzi Batch o se utilizzare la configurazione di rete predefinita.

Devi configurare il networking per Batch nei seguenti casi:

• Se il tuo progetto o la tua rete utilizzano Controlli di servizio VPC per limitare l'accesso alla rete per Batch, devi configurare la rete seguendo la documentazione su come utilizzare Controlli di servizio VPC con Batch.
• Se il vincolo delle norme dell'organizzazione compute.vmExternalIpAccess richiede al tuo progetto di creare VM senza indirizzi IP esterni o se la tua rete utilizza l'accesso privato Google, devi creare job che blocchino l'accesso esterno per tutte le VM.

• Se non puoi o non vuoi utilizzare la rete predefinita, devi specificare la rete per i job.

  Per determinare se puoi utilizzare la rete predefinita per un job, verifica quanto segue:

  • La rete predefinita esiste per il tuo progetto. I nuovi Google Cloud progetti includono automaticamente la rete predefinita a meno che non sia attivato il vincolo compute.skipDefaultNetworkCreation dei criteri dell'organizzazione.
  • La rete predefinita supporta eventuali requisiti di rete specifici. In particolare, se la rete predefinita per il progetto viene modificata, tu o altri utenti potreste riscontrare problemi. Per ulteriori informazioni sulla rete predefinita, consulta la sezione Configurazione di rete predefinita di questo documento.

Anche se non è obbligatorio, ti consigliamo di configurare la rete per migliorare la sicurezza delle risorse e dei dati di Batch. Ad esempio, se vuoi migliorare la sicurezza per i job che utilizzano i container e non bloccano l'accesso esterno per tutte le VM, facoltativamente puoi creare job che bloccano l'accesso esterno solo per uno o più container. L'utilizzo di una rete non predefinita o di restrizioni di rete aggiuntive può aiutarti a implementare i principi del privilegio minimo. Per ulteriori informazioni sulle opzioni che puoi utilizzare per configurare la rete per Batch, consulta Come funziona la rete in questo documento.

In caso contrario, se non hai bisogno o non vuoi configurare la rete, puoi creare un job senza specificare opzioni di rete per utilizzare la configurazione di rete predefinita.

Come funziona la rete

Le sezioni seguenti illustrano i concetti di networking per Batch:

• Job network
• Ulteriori limitazioni di rete
• Configurazione di rete predefinita

Rete di lavoro

Ogni job viene eseguito su macchine virtuali (VM) Compute Engine, che devono far parte di una Google Cloud rete Virtual Private Cloud (VPC) e di una subnet di quella rete.

Le reti VPC connettono le VM ad altre origini, come internet e altre Google Cloud risorse e servizi. Ogni rete è composta da almeno una sottorete, nota anche come subnet, ovvero uno o più intervalli di indirizzi IP associati a una regione. Ogni VM ha un'interfaccia di rete con un indirizzo IP interno e un indirizzo IP esterno facoltativo allocati dalla subnet. Puoi configurare le regole firewall VPC per consentire o negare le connessioni per le VM in una rete. Ogni rete ha regole del firewall implicite che bloccano tutte le connessioni in entrata e consentono tutte le connessioni in uscita. In genere, una rete VPC può essere utilizzata solo all'interno del proprio progetto, ma se vuoi utilizzare la stessa rete in più progetti, puoi utilizzare la rete VPC condivisa.

In sintesi, ogni job viene eseguito su VM che utilizzano indirizzi IP per effettuare connessioni controllate dalle regole firewall della rete.

Per ulteriori informazioni sui concetti di networking, consulta la Panoramica della rete per le VM nella documentazione di Compute Engine e la Panoramica di Virtual Private Cloud (VPC) nella documentazione di VPC.

Ulteriori limitazioni di rete

Per contribuire a migliorare la sicurezza, una configurazione di rete potrebbe comportare più limitazioni rispetto alle sole regole del firewall per la rete. Ad esempio, il tuo progetto o la tua organizzazione può utilizzare vincoli dei criteri dell'organizzazione o altri Google Cloud servizi per limitare la connettività di rete.

Le sezioni seguenti illustrano le opzioni comuni per limitare ulteriormente la rete:

• Bloccare le connessioni esterne per gli ambienti di runtime dei job
• Limitare l'accesso alla rete per Batch utilizzando i Controlli di servizio VPC

Bloccare le connessioni esterne per gli ambienti di runtime dei job

Puoi bloccare le connessioni esterne direttamente verso e dall'ambiente di runtime per un job utilizzando una delle seguenti opzioni:

• Bloccare l'accesso esterno per tutte le VM di un job. Blocca l'accesso esterno per le VM di un job per creare un job che venga eseguito su VM senza indirizzi IP esterni. Questa opzione è spesso richiesta per una rete o un progetto o viene facoltativamente utilizzata per migliorare la sicurezza.

  Le VM senza indirizzi IP esterni sono accessibili solo tramite i propri indirizzi IP interni da un altro nodo della stessa rete, quindi devi configurare l'accesso a queste VM nel seguente modo:

  • Per eseguire un job su VM senza indirizzi IP esterni, utilizza Cloud NAT o Accesso privato Google per consentire l'accesso ai domini per le API e i servizi utilizzati dal job. Ad esempio, tutti i job batch utilizzano le API Batch e Compute Engine e molto spesso l'API Cloud Logging.

  • Se tu o altri utenti dovete connettervi a VM senza indirizzi IP esterni, consulta Scegliere un'opzione di connessione per le VM solo interne nella documentazione di Compute Engine.

• Bloccare l'accesso esterno per uno o più contenitori di un job. Se un job utilizza i container e non blocca già l'accesso esterno per tutte le VM, puoi scegliere se bloccare l'accesso esterno per ogni container. Questa opzione è facoltativa; può essere utilizzata per migliorare la sicurezza quando specifichi la rete per un job o quando crei un job che utilizza la configurazione di rete predefinita.

Proteggere le risorse e i dati di Batch utilizzando i Controlli di servizio VPC

Oltre a bloccare l'accesso esterno per tutte le VM di un job, facoltativamente puoi limitare ulteriormente la rete utilizzando Controlli di servizio VPC.

A differenza delle altre opzioni di rete spiegate in questo documento, che possono limitare la rete solo per le VM o i contenitori che eseguono i job, i Controlli di servizio VPC ti consentono di limitare l'accesso alla rete per le risorse e i dati dei servizi, ad esempio i job e i dati batch. Google Cloud

Puoi utilizzare i Controlli di servizio VPC per creare perimetri che proteggono le risorse e i dati dei Google Cloud servizi specificati. Il perimetro di servizio isola le risorse e i servizi selezionati, bloccando le connessioni con i servizi al di fuori del perimetro e qualsiasi connessione da internet non consentita esplicitamente. Google Cloud Per ulteriori informazioni, consulta la documentazione relativa ai Controlli di servizio VPC e l'articolo Utilizzare i Controlli di servizio VPC con Batch.

Configurazione di rete predefinita

Quando crei un job e non specifichi opzioni di rete, le VM del job useranno la rete e la subnet predefinite per la posizione della VM.

Ogni progetto ha una rete predefinita denominata default, a meno che non la elimini o la disattivi utilizzando il vincolo del criterio dell'organizzazione compute.skipDefaultNetworkCreation. La rete predefinita è una rete in modalità automatica, quindi ha una subnet in ogni regione. Oltre alle regole firewall implicite per ogni rete, la rete default ha anche regole firewall precompilate che consentono l'accesso per i casi d'uso comuni. Per ulteriori informazioni, consulta Regole precompilate nella rete predefinita nella documentazione di VPC.

Valuta la possibilità di utilizzare la configurazione di rete predefinita se non hai requisiti di rete per un job e non vuoi configurare la rete. Per dettagli su quando utilizzare la configurazione di rete predefinita, consulta Quando configurare la rete in questo documento.

Passaggi successivi

• Configura la rete per Batch:
  • Specificare la rete per un job
  • Bloccare l'accesso esterno per un job
  • Utilizzare i Controlli di servizio VPC con Batch
• In alternativa, per creare un job che utilizza la configurazione di rete predefinita, consulta Creare ed eseguire un job di base.
• Puoi anche controllare l'accesso per un job utilizzando un account di servizio personalizzato.