VPC Service Controls mit Batch verwenden

In diesem Dokument wird beschrieben, wie Sie VPC Service Controls mit Batch verwenden. Mit VPC Service Controls können Sie die Ressourcen und Daten von Google Cloud Diensten schützen, indem Sie bestimmte Ressourcen in Dienstperimeter isolieren. Ein Dienstperimeter blockiert Verbindungen mit Google Cloud Diensten außerhalb des Perimeters und alle Verbindungen aus dem Internet, die nicht explizit zugelassen sind.

  • Informationen zum Konfigurieren eines VPC Service Controls-Dienstperimeters für die Verwendung von Batch finden Sie in diesem Dokument unter Dienstperimeter für Batch konfigurieren.
  • Wenn in Ihrem Projekt oder Netzwerk VPC Service Controls verwendet werden, um den Netzwerkzugriff für Batch einzuschränken, müssen Sie Ihre Batch-Jobs so konfigurieren, dass sie im erforderlichen Dienstperimeter ausgeführt werden. Informationen dazu finden Sie unter Job erstellen, der in einem Dienstperimeter ausgeführt wird in diesem Dokument.

Weitere Informationen zu Netzwerkkonzepten und dazu, wann Sie das Netzwerk konfigurieren sollten, finden Sie unter Übersicht über Batch-Netzwerke.

Hinweise

  1. Wenn Sie Batch noch nicht verwendet haben, lesen Sie den Abschnitt Erste Schritte mit Batch und aktivieren Sie Batch, indem Sie die Voraussetzungen für Projekte und Nutzer erfüllen.

  2. Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen zuzuweisen, um die Berechtigungen zu erhalten, die Sie zur Verwendung von VPC Service Controls mit Batch benötigen:

    Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

    Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

  3. Wenn Sie einen Job erstellen, der in einem Dienstperimeter ausgeführt wird, müssen Sie das Netzwerk angeben, das Sie für den Job verwenden möchten. Das Netzwerk, das Sie für einen Job angeben, der in einem Dienstperimeter ausgeführt wird, muss die folgenden Anforderungen erfüllen:
    • Das Netzwerk ist ein VPC-Netzwerk (Virtual Private Cloud), das sich im selben Projekt wie der Job befindet, oder ein freigegebenes VPC-Netzwerk, das vom Projekt für den Job gehostet oder für das Projekt freigegeben wird.
    • Das Netzwerk enthält ein Subnetzwerk (Subnetz) an dem Ort, an dem Sie den Job ausführen möchten.
    • Das Netzwerk befindet sich im erforderlichen Dienstperimeter und verwendet den privater Google-Zugriff, um den Zugriff auf die Domains für die APIs und Dienste zu ermöglichen, die von Ihrem Job verwendet werden. Weitere Informationen finden Sie in diesem Dokument unter Dienstperimeter für Batch konfigurieren.
    Weitere Informationen finden Sie unter VPC-Netzwerke erstellen und verwalten.

Dienstperimeter für Batch konfigurieren

So konfigurieren Sie einen Dienstperimeter für Batch:

  1. Planen Sie die Konfiguration für Ihren Dienstperimeter. Eine Übersicht über die Konfigurationsphasen für Dienstperimeter finden Sie in der VPC Service Controls-Dokumentation unter Details und Konfiguration von Dienstperimetern.

    Damit Sie Batch verwenden können, muss der Dienstperimeter die folgenden Anforderungen erfüllen:

    • Eingeschränkte Dienste:Wenn Sie Batch innerhalb eines Dienstperimeters schützen möchten, müssen Sie die Google Cloud -Dienste, die für Ihre Batch-Jobs erforderlich sind, in diesen Perimeter aufnehmen, z. B. die folgenden Dienste:

      • Batch API (batch.googleapis.com)
      • Cloud Logging API (logging.googleapis.com): Erforderlich, wenn Ihre Jobs Logs in Cloud Logging schreiben sollen. (Empfohlen)
      • Container Registry API (containerregistry.googleapis.com): Erforderlich, wenn Sie einen Job einreichen, in dem Container mit einem Image aus Container Registry verwendet werden.
      • Artifact Registry API (artifactregistry.googleapis.com): Erforderlich, wenn Sie einen Job einreichen, in dem Container mit einem Image aus Artifact Registry verwendet werden.
      • Filestore API (file.googleapis.com): Erforderlich, wenn in Ihrem Job eine Filestore-Dateifreigabe verwendet wird.
      • Cloud Storage API (storage.googleapis.com): Erforderlich für einige Jobs, die einen Cloud Storage-Bucket verwenden. Erforderlich, wenn Sie für Ihren Batchjob ein Image verwenden, auf dem der Batch-Dienst-Agent nicht vorinstalliert ist.

      Informationen zum Aktivieren der einzelnen Dienste in Ihrem Dienstperimeter finden Sie unter Über VPC zugängliche Dienste.

      Für jeden Dienst, den Sie außer Batch einbeziehen, müssen Sie auch prüfen, ob Ihr Dienstperimeter die Anforderungen erfüllt, die für diesen Dienst in der Dokumentation Von VPC Service Controls unterstützte Produkte und Einschränkungen aufgeführt sind.

    • VPC-Netzwerke:Für jeden Batch-Job ist ein VPC-Netzwerk erforderlich. Ihr Dienstperimeter muss also ein VPC-Netzwerk enthalten, in dem Batch-Jobs ausgeführt werden können. Informationen zum Konfigurieren eines VPC-Netzwerk, in dem Ihre Batch-Jobs innerhalb eines Dienstperimeters ausgeführt werden können, finden Sie in den folgenden Dokumenten:

  2. Erstellen Sie einen neuen Dienstperimeter oder aktualisieren Sie einen vorhandenen Dienstperimeter, um diese Anforderungen zu erfüllen.

Job erstellen, der in einem Dienstperimeter ausgeführt wird

Wenn Sie einen Job erstellen, der in einem Dienstperimeter ausgeführt wird, müssen Sie auch den externen Zugriff für alle VMs blockieren, auf denen ein Job ausgeführt wird, und ein Netzwerk und ein Subnetz angeben, über die der Job auf die erforderlichen APIs zugreifen kann.

Wenn Sie einen Job erstellen möchten, der in einem Dienstperimeter ausgeführt wird, folgen Sie der Anleitung unter Job erstellen, der den externen Zugriff für alle VMs blockiert und geben Sie ein Netzwerk an, das den Netzwerkanforderungen für einen Job, der in einem Dienstperimeter ausgeführt wird, entspricht.

Nächste Schritte