En este documento, se explica cómo usar los Controles del servicio de VPC con Batch. Controles del servicio de VPC te permite proteger los recursos y datos de los servicios de Google Cloud aislando recursos específicos en perímetros de servicio. Un servicio perímetro bloquea las conexiones con los servicios de Google Cloud fuera en el perímetro y cualquier conexión desde Internet que no se por lo que está permitido.
- Configurar un perímetro de servicio de Controles del servicio de VPC Por lotes, consulta Configura un perímetro de servicio para Batch en este documento.
- Si tu proyecto o red usan los Controles del servicio de VPC para restringir acceso a redes para Batch, debes configurar Trabajos por lotes para ejecutar en el perímetro de servicio requerido. Para obtener más información, consulta Crea un trabajo que se ejecute en un perímetro de servicio en este documento.
Para obtener más información sobre los conceptos de red cuándo configurar las redes, consulta Descripción general de las herramientas de redes por lotes.
Antes de comenzar
- Si nunca usaste Batch, revisa Comienza a usar Batch y habilitar Batch completando el requisitos previos para los proyectos y usuarios.
-
A fin de obtener los permisos que necesitas para usar los Controles del servicio de VPC con Batch, solicita a tu administrador que te otorgue el los siguientes roles de IAM:
-
Para configurar un perímetro de servicio, debes tener el rol de editor de Access Context Manager (
roles/accesscontextmanager.policyEditor) en el proyecto. -
Para crear un trabajo, sigue estos pasos:
-
Editor de trabajos por lotes (
roles/batch.jobsEditor) en el proyecto -
Usuario de cuenta de servicio (
roles/iam.serviceAccountUser) en la cuenta de servicio del trabajo, que, de forma predeterminada, es la cuenta de servicio predeterminada de Compute Engine
-
Editor de trabajos por lotes (
-
Para identificar el perímetro de servicio de un proyecto o una red, debes tener el rol de Lector de Access Context Manager (
roles/accesscontextmanager.policyReader) en el proyecto. -
Para identificar la red y la subred de un trabajo, sigue estos pasos:
Visualizador de la red de Compute (
roles/compute.networkViewer) en el proyecto
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
También puedes obtener los permisos necesarios mediante roles personalizados o cualquier otro rol predefinido.
-
Para configurar un perímetro de servicio, debes tener el rol de editor de Access Context Manager (
-
Si creas un trabajo que se ejecuta en un perímetro de servicio, debes identificar el
que quieres usar para el trabajo. La red que especificas para una
El trabajo que se ejecuta en un perímetro de servicio debe cumplir con los siguientes requisitos:
- La red es una red de nube privada virtual (VPC) que se encuentra en mismo proyecto que el trabajo o es un Red de VPC compartida que se aloja o se comparte con el proyecto para el trabajo.
- La red incluye una subred en la ubicación en la que quieres ejecutar el trabajo.
- La red se encuentra en el perímetro de servicio requerido y usa el Acceso privado a Google para permitir el acceso a los dominios de las APIs y los servicios que usa tu trabajo. Para obtener más información, consulta Configura un perímetro de servicio para Batch en este documento.
Configura un perímetro de servicio para Batch
Si deseas configurar un perímetro de servicio para Batch, haz lo siguiente:
Planifica la configuración de tu perímetro de servicio. Para obtener un resumen del etapas de configuración para perímetros de servicio, consulta Controles del servicio de VPC documentación para Detalles y configuración del perímetro de servicio.
Para usar Batch, el perímetro de servicio debe cumplir con los siguientes requisitos:
Servicios restringidos: para proteger Batch perímetro de servicio, debes incluir los servicios de Google Cloud que los trabajos por lotes en ese perímetro, como los siguientes:
- API de Batch (
batch.googleapis.com) - API de Cloud Logging (
logging.googleapis.com): Obligatorio si lo deseas tus trabajos para escribir registros en Cloud Logging. (Recomendado) - API de Container Registry (
containerregistry.googleapis.com): Es obligatorio si envías un trabajo que usa contenedores con una imagen de Container Registry. - API de Artifact Registry (
artifactregistry.googleapis.com): obligatoria si envías un trabajo que usa contenedores con una imagen de Artifact Registry - API de Filestore (
file.googleapis.com): Es obligatoria si tu usa una Archivos compartidos de Filestore. - API de Cloud Storage (
storage.googleapis.com): Obligatorio para algunos trabajos que usan un Bucket de Cloud Storage. Es obligatorio si usas un para tu trabajo por lotes que no tenga la Agente de servicio por lotes preinstalado.
Para obtener más información sobre cómo habilitar cada uno de estos servicios en tu perímetro de servicio, consulta Servicios accesibles de VPC.
Para cada servicio que incluyas, además de Batch, también debes verificar que el perímetro de servicio cumpla con los requisitos que se indican para ese servicio en la documentación de Productos y limitaciones admitidos de los Controles del servicio de VPC.
- API de Batch (
Redes de VPC: cada trabajo por lotes requiere una red de VPC, por lo que tu perímetro de servicio debe incluyen una red de VPC que realice trabajos por lotes en los que se puede ejecutar. Para aprender a configurar una red de VPC que ejecutar tus trabajos de Batch dentro de un perímetro de servicio, consulta los siguientes documentos:
- Obtén una descripción general del uso de redes de VPC en un servicio perímetro, consulta Administración de redes de VPC en perímetros de servicio.
- Para aprender a usar el Acceso privado a Google con los Controles del servicio de VPC para configurar el acceso a Google Cloud servicios necesarios para tus trabajos por lotes, consulta Configura la conectividad privada a los servicios y las APIs de Google.
- Para obtener más información sobre los requisitos de herramientas de redes para trabajos por lotes, consulta Descripción general de las herramientas de redes de trabajos.
Crea un perímetro de servicio nuevo o actualiza un perímetro de servicio existente para cumplir con estos requisitos.
Crea un trabajo que se ejecute en un perímetro de servicio
Cuando creas un trabajo que se ejecuta en un perímetro de servicio, también debes bloquear el acceso externo para todas las VMs en las que se ejecuta un trabajo y especificar una red y que permita que el trabajo acceda a las APIs necesarias.
Para crear un trabajo que se ejecute en un perímetro de servicio, sigue los pasos que se indican en la documentación para crear un trabajo que bloquee el acceso externo de todas las VMs y especifica una red que cumpla con los requisitos de red para un trabajo que se ejecute en un perímetro de servicio.
¿Qué sigue?
- Si tienes problemas para crear o ejecutar un trabajo, consulta Solución de problemas.
- Obtén más información sobre las redes.
- Obtén más información sobre cómo crear un trabajo.
- Obtén más información sobre cómo ver trabajos y tareas.