Usa una instancia de notebook dentro de un perímetro de servicio

En esta página, se describe cómo usar los Controles del servicio de VPC para configurar una instancia de AI Platform Notebooks dentro de un perímetro de servicio.

Antes de comenzar

  1. Lee la Descripción general de los Controles del servicio de VPC.

  2. Crea una instancia de AI Platform Notebooks nueva. Ten en cuenta que esta instancia de AI Platform Notebooks aún no se encuentra dentro de un perímetro de servicio.

  3. Crea un perímetro de servicio mediante los Controles del servicio de VPC. Este perímetro de servicio protege los recursos administrados por Google de los servicios que especifiques. Mientras creas tu perímetro de servicio, haz lo siguiente:

    1. Cuando sea el momento de agregar proyectos al perímetro de servicio, agrega el proyecto que contiene la instancia de AI Platform Notebooks.

    2. Cuando sea el momento de agregar servicios al perímetro de servicio, agrega la API de AI Platform Notebooks.

    Si creaste el perímetro de servicio sin agregar los proyectos y los servicios que necesitas, consulta Administra los perímetros de servicio para obtener información sobre cómo actualizar el perímetro de servicio.

Configura tus entradas de DNS mediante Cloud DNS

AI Platform Notebooks usa varios dominios que una red de nube privada virtual no controla de forma predeterminada. Con Cloud DNS, agrega Registros DNS para asegurarte de que la red de VPC controle de forma correcta las solicitudes enviadas a esos dominios. Para obtener más información sobre las rutas de VPC, consulta la Descripción general de las rutas.

Sigue estos pasos a fin de crear una zona administrada para un dominio, agregar una entrada de DNS que dirija la solicitud y ejecutar la transacción. Repite estos pasos para cada uno de los diferentes dominios para los que necesitas controlar las solicitudes, a partir de *.notebooks.googleapis.com.

Para hacer lo siguiente, puedes usar la herramienta de línea de comandos de gcloud con tu terminal preferida o usar Cloud Shell, que tiene la herramienta de gcloud preinstalada.

  1. Recopila la siguiente información. Debes usar estos valores en los siguientes comandos para configurar las entradas de DNS.

    • PROJECT_ID es el ID del proyecto que aloja tu red de VPC.

    • NETWORK_NAME es el nombre de la red de VPC que creaste anteriormente.

    • ZONE_NAME es un nombre para la zona que estás creando. Debes usar una zona separada para cada dominio. Este nombre de la zona se usará en cada uno de los siguientes pasos.

    • DNS_NAME es la parte del dominio que aparece después de *.. Por ejemplo, el DNS_NAME de *.notebooks.googleapis.com es notebooks.googleapis.com.

  2. Crea una zona privada y administrada para uno de los dominios que la red de VPC necesita controlar.

    gcloud dns managed-zones create ZONE_NAME \
     --visibility=private \
     --networks=https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME \
     --dns-name=DNS_NAME \
     --description="Description of your managed zone"
    
  3. Inicia una transacción.

    gcloud dns record-sets transaction start --zone=ZONE_NAME
    
  4. Agrega el siguiente registro A de DNS. De este modo, se redirige el tráfico a las direcciones IP restringidas de Google.

    gcloud dns record-sets transaction add \
     --name=DNS_NAME. \
     --type=A 199.36.153.4 199.36.153.5 199.36.153.6 199.36.153.7 \
     --zone=ZONE_NAME \
     --ttl=300
    
  5. Agrega el siguiente registro CNAME de DNS para que apunte al registro A que acabas de agregar. De este modo, se redirecciona todo el tráfico que coincide con el dominio a las direcciones IP enumeradas en el paso anterior.

    gcloud dns record-sets transaction add \
     --name=*.DNS_NAME. \
     --type=CNAME DNS_NAME. \
     --zone=ZONE_NAME \
     --ttl=300
    
  6. Ejecuta la transacción.

    gcloud dns record-sets transaction execute --zone=ZONE_NAME
    
  7. Repite estos pasos para cada uno de los siguientes dominios. Para cada repetición, cambia ZONE_NAME y DNS_NAME a los valores adecuados para ese dominio. Mantén PROJECT_ID y NETWORK_NAME igual cada vez. Ya completaste estos pasos para *.notebooks.googleapis.com.

    • *.notebooks.googleapis.com

    • *.datalab.cloud.google.com

    • *.notebooks.cloud.google.com

    • *.notebooks.googleusercontent.com

Usa Container Registry dentro del perímetro de servicio

Si deseas usar Container Registry dentro del perímetro de servicio, sigue estos pasos para configurar las entradas de DNS y el perímetro de servicio.

Usa una VPC compartida

Si usas una VPC compartida, debes agregar el host y los proyectos de servicio al perímetro de servicio. Consulta Administra perímetros de servicio.

Accede a la instancia de AI Platform Notebooks

Sigue los pasos para abrir un notebook.

Próximos pasos