Halaman ini diterjemahkan oleh Cloud Translation API.

Menggunakan Kontrol Layanan VPC dengan Batch

Dokumen ini menjelaskan cara menggunakan Kontrol Layanan VPC dengan Batch. Kontrol Layanan VPC memungkinkan Anda melindungi resource dan data Google Cloud layanan dengan mengisolasi resource tertentu ke dalam perimeter layanan. Perimeter layanan memblokir koneksi dengan Google Cloud layanan di luar perimeter dan koneksi apa pun dari internet yang tidak diizinkan secara eksplisit.

Untuk mengonfigurasi perimeter layanan Kontrol Layanan VPC agar menggunakan Batch, lihat Mengonfigurasi perimeter layanan untuk Batch dalam dokumen ini.
Jika project atau jaringan Anda menggunakan Kontrol Layanan VPC untuk membatasi akses jaringan untuk Batch, Anda harus mengonfigurasi tugas Batch agar berjalan di perimeter layanan yang diperlukan. Untuk mempelajari caranya, lihat Membuat tugas yang berjalan dalam perimeter layanan dalam dokumen ini.

Untuk mengetahui informasi selengkapnya tentang konsep jaringan dan kapan harus mengonfigurasi jaringan, lihat Ringkasan jaringan batch.

Sebelum memulai

Jika belum pernah menggunakan Batch, baca Mulai menggunakan Batch dan aktifkan Batch dengan menyelesaikan prasyarat untuk project dan pengguna.
Untuk mendapatkan izin yang diperlukan untuk menggunakan Kontrol Layanan VPC dengan Batch, minta administrator Anda untuk memberi Anda peran IAM berikut:
- Untuk mengonfigurasi perimeter layanan: Access Context Manager Editor (roles/accesscontextmanager.policyEditor) di project
- Untuk membuat tugas:
  - Batch Job Editor (roles/batch.jobsEditor) di project
  - Pengguna Akun Layanan (roles/iam.serviceAccountUser) di akun layanan tugas, yang secara default adalah akun layanan Compute Engine default
- Untuk mengidentifikasi perimeter layanan untuk project atau jaringan: Access Context Manager Reader (roles/accesscontextmanager.policyReader) di project
- Untuk mengidentifikasi jaringan dan subnet untuk tugas: Compute Network Viewer (roles/compute.networkViewer) di project
Untuk mengetahui informasi selengkapnya tentang cara memberikan peran, lihat Mengelola akses ke project, folder, dan organisasi.

Anda mungkin juga bisa mendapatkan izin yang diperlukan melalui peran khusus atau peran bawaan lainnya.
Jika membuat tugas yang berjalan di perimeter layanan, Anda harus mengidentifikasi jaringan yang ingin digunakan untuk tugas tersebut. Jaringan yang Anda tentukan untuk tugas yang berjalan di perimeter layanan harus memenuhi persyaratan berikut:
- Jaringan ini adalah jaringan Virtual Private Cloud (VPC) yang berada di project yang sama dengan tugas atau merupakan jaringan VPC Bersama yang dihosting oleh atau dibagikan ke project untuk tugas tersebut.
- Jaringan mencakup subnetwork (subnet) di lokasi tempat Anda ingin menjalankan tugas.
- Jaringan berada di perimeter layanan yang diperlukan dan menggunakan Akses Google Pribadi untuk mengizinkan akses ke domain untuk API dan layanan yang digunakan tugas Anda. Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi perimeter layanan untuk Batch dalam dokumen ini.
Untuk mengetahui informasi selengkapnya, lihat Membuat dan mengelola jaringan VPC.

Mengonfigurasi perimeter layanan untuk Batch

Untuk mengonfigurasi perimeter layanan untuk Batch, lakukan hal berikut:

Rencanakan konfigurasi untuk perimeter layanan Anda. Untuk ringkasan tahap konfigurasi perimeter layanan, lihat dokumentasi Kontrol Layanan VPC untuk Detail dan konfigurasi perimeter layanan.

Untuk menggunakan Batch, perimeter layanan harus memenuhi persyaratan berikut:
- Layanan terbatas: Untuk mengamankan Batch dalam perimeter layanan, Anda harus menyertakan layanan Google Cloud yang diperlukan untuk tugas Batch Anda dalam perimeter tersebut, seperti layanan berikut:
  - Batch API (batch.googleapis.com)
  - Cloud Logging API (logging.googleapis.com): Diperlukan jika Anda ingin tugas Anda menulis log ke Cloud Logging. (Disarankan)
  - Container Registry API (containerregistry.googleapis.com): Diperlukan jika Anda mengirimkan tugas yang menggunakan container dengan image dari Container Registry.
  - Artifact Registry API (artifactregistry.googleapis.com): Diperlukan jika Anda mengirimkan tugas yang menggunakan container dengan image dari Artifact Registry.
  - Filestore API (file.googleapis.com): Diperlukan jika tugas Anda menggunakan berbagi file Filestore.
  - Cloud Storage API (storage.googleapis.com): Diperlukan untuk beberapa tugas yang menggunakan bucket Cloud Storage. Wajib diisi jika Anda menggunakan image untuk tugas Batch yang tidak memiliki agen layanan Batch yang telah diinstal sebelumnya.
  Untuk mempelajari cara mengaktifkan setiap layanan ini di perimeter layanan Anda, lihat Layanan yang dapat diakses VPC.
  
  Perhatian: Agar tugas Batch Anda terlindungi sepenuhnya oleh perimeter layanan, Anda harus menentukan semua layanan yang akan digunakan.
  
  Untuk setiap layanan yang Anda sertakan selain Batch, Anda juga perlu memverifikasi bahwa perimeter layanan Anda memenuhi persyaratan yang tercantum untuk layanan tersebut dalam dokumentasi Produk dan batasan yang didukung Kontrol Layanan VPC.
- Jaringan VPC: Setiap tugas Batch memerlukan jaringan VPC, sehingga perimeter layanan Anda harus menyertakan jaringan VPC yang dapat digunakan untuk menjalankan tugas Batch. Untuk mempelajari cara mengonfigurasi jaringan VPC yang dapat menjalankan tugas Batch Anda di dalam perimeter layanan, lihat dokumen berikut:
  - Untuk mengetahui ringkasan penggunaan jaringan VPC di perimeter layanan, lihat Pengelolaan jaringan VPC di perimeter layanan.
  - Untuk mempelajari cara menggunakan Akses Google Pribadi dengan Kontrol Layanan VPC guna mengonfigurasi akses ke layanan Google Cloud yang diperlukan untuk tugas Batch Anda, lihat Menyiapkan konektivitas pribadi ke Google API dan layanan Google.
  - Untuk mengetahui informasi selengkapnya tentang persyaratan jaringan untuk tugas Batch, lihat Ringkasan jaringan tugas.
Buat perimeter layanan baru atau perbarui perimeter layanan yang ada untuk memenuhi persyaratan ini.

Membuat tugas yang berjalan di perimeter layanan

Saat membuat tugas yang berjalan di perimeter layanan, Anda juga harus memblokir akses eksternal untuk semua VM tempat tugas berjalan dan menentukan jaringan dan subnet yang memungkinkan tugas mengakses API yang diperlukan.

Untuk membuat tugas yang berjalan di perimeter layanan, ikuti langkah-langkah dalam dokumentasi untuk Membuat tugas yang memblokir akses eksternal untuk semua VM dan tentukan jaringan yang memenuhi persyaratan jaringan untuk tugas yang berjalan di perimeter layanan.

Langkah berikutnya

Jika Anda mengalami masalah saat membuat atau menjalankan tugas, lihat Pemecahan masalah.
Pelajari jaringan lebih lanjut.
Pelajari lebih lanjut cara membuat tugas.
Pelajari cara melihat tugas dan pekerjaan.