Notebookinstanz innerhalb eines Dienstperimeters verwenden

Auf dieser Seite wird beschrieben, wie Sie VPC Service Controls zum Einrichten einer AI Platform Notebooks-Instanz innerhalb eines Dienstperimeters verwenden.

Vorbereitung

  1. Lesen Sie VPC Service Controls.

  2. Erstellen Sie eine neue AI Platform Notebooks-Instanz. Diese AI Platform Notebooks-Instanz befindet sich noch nicht in einem Dienstperimeter.

  3. Erstellen Sie mit VPC Service Controls einen Dienstperimeter. Er schützt die von Google verwalteten Ressourcen der von Ihnen angegebenen Dienste. Gehen Sie beim Erstellen des Dienstperimeters so vor:

    1. Wenn das Einfügen von Projekte in den Dienstperimeter ansteht, fügen Sie das Projekt ein, das Ihre AI Platform Notebooks-Instanz enthält.

    2. Wenn Dienste in den Dienstperimeter eingefügt werden können, fügen Sie die AI Platform Notebooks API ein.

    Wenn Sie Ihren Dienstperimeter erstellt haben, ohne die benötigten Projekte und Dienste einzufügen, erfahren Sie unter Dienstperimeter verwalten, wie Sie Ihren Dienstperimeter aktualisieren.

DNS-Einträge mit Cloud DNS konfigurieren

AI Platform Notebooks verwendet mehrere Domains, die ein Virtual Private Cloud-Netzwerk standardmäßig nicht verarbeitet. Fügen Sie DNS-Einträge mithilfe von Cloud DNS hinzu, damit Ihr VPC-Netzwerk Anfragen, die an diese Domains gesendet werden, ordnungsgemäß verarbeitet. Weitere Informationen zu VPC-Routes finden Sie unter Routes.

Führen Sie die folgenden Schritte aus, um eine verwaltete Zone für eine Domain zu erstellen, einen DNS-Eintrag anzugeben, der die Anfrage weiterleitet, und die Transaktion auszuführen. Wiederholen Sie diese Schritte für jede einzelne Domain, für die Sie Anfragen bearbeiten müssen. Beginnen Sie mit *.notebooks.googleapis.com.

Sie können dazu das gcloud-Befehlszeilentool mit Ihrem bevorzugten Terminal oder Cloud Shell verwenden, wo das gcloud-Tool vorinstalliert ist.

  1. Erfassen Sie die unten stehenden Informationen. Sie müssen diese Werte in allen folgenden Befehlen verwenden, um Ihre DNS-Einträge zu konfigurieren.

    • PROJECT_ID ist die ID des Projekts, in dem sich Ihr VPC-Netzwerk befindet.

    • NETWORK_NAME ist der Name des VPC-Netzwerks, das Sie zuvor erstellt haben.

    • ZONE_NAME ist ein Name für die Zone, die Sie erstellen. Sie müssen für jede Domain eine separate Zone verwenden. Dieser Zonenname wird in allen nachfolgenden Schritten verwendet.

    • DNS_NAME ist der Teil der Domain, der hinter *. steht. Beispiel: *.notebooks.googleapis.com hat den DNS_NAME notebooks.googleapis.com.

  2. Erstellen Sie eine private verwaltete Zone für eine der Domains, die Ihr VPC-Netzwerk verarbeiten muss.

    gcloud dns managed-zones create ZONE_NAME \
     --visibility=private \
     --networks=https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME \
     --dns-name=DNS_NAME
    
  3. Starten Sie eine Transaktion.

    gcloud dns record-sets transaction start --zone=ZONE_NAME
    
  4. Fügen Sie den folgenden DNS-A-Eintrag hinzu. Dadurch wird der Traffic an die eingeschränkten IP-Adressen von Google umgeleitet.

    gcloud dns record-sets transaction add \
     --name=DNS_NAME. \
     --type=A 199.36.153.4 199.36.153.5 199.36.153.6 199.36.153.7 \
     --zone=ZONE_NAME \
     --ttl=300
    
  5. Geben Sie den folgenden DNS-CNAME-Eintrag an, um auf den gerade hinzugefügten A-Eintrag zu verweisen. Dadurch wird der gesamte Traffic, der mit der Domain übereinstimmt, an die im vorherigen Schritt aufgeführten IP-Adressen umgeleitet.

    gcloud dns record-sets transaction add \
     --name=*.DNS_NAME. \
     --type=CNAME DNS_NAME. \
     --zone=ZONE_NAME \
     --ttl=300
    
  6. Führen Sie die Transaktion aus.

    gcloud dns record-sets transaction execute --zone=ZONE_NAME
    
  7. Wiederholen Sie diese Schritte für jede der folgenden Domains. Ändern Sie bei jeder Wiederholung ZONE_NAME und DNS_NAME in die entsprechenden Werte für diese Domain ab. Behalten Sie PROJECT_ID und NETWORK_NAME immer bei. Sie haben diese Schritte für *.notebooks.googleapis.com bereits ausgeführt.

    • *.notebooks.googleapis.com

    • *.datalab.cloud.google.com

    • *.notebooks.cloud.google.com

    • *.notebooks.googleusercontent.com

Container Registry im Dienstperimeter verwenden

Wenn Sie Container Registry in Ihrem Dienstperimeter verwenden möchten, folgen Sie dieser Anleitung zum Konfigurieren der DNS-Einträge und des Dienstperimeters.

Freigegebene VPC verwenden

Wenn Sie eine freigegebene VPC verwenden, müssen Sie den Host und die Dienstprojekte in den Dienstperimeter einfügen. Siehe Dienstperimeter verwalten.

Auf Ihre AI Platform Notebooks-Instanz zugreifen

Folgen Sie der Anleitung zum Öffnen eines Notebooks.

Weitere Informationen