Utilizzo di un'istanza di blocchi note gestiti dall'utente all'interno di un perimetro di servizio
Questa pagina descrive come utilizzare Controlli di servizio VPC per configurare un'istanza di blocchi note gestiti dall'utente all'interno di un perimetro di servizio.
Prima di iniziare
Leggi la Panoramica dei Controlli di servizio VPC.
Crea un'istanza di blocchi note gestiti dall'utente. Questa istanza non si trova ancora all'interno di un perimetro di servizio.
Crea un perimetro di servizio utilizzando Controlli di servizio VPC. Questo perimetro di servizio protegge le risorse dei servizi gestite da Google che specifichi. Quando crei il perimetro di servizio:
Quando è il momento di aggiungere progetti al perimetro di servizio, aggiungi il progetto che contiene l'istanza di blocchi note gestiti dall'utente.
Quando è il momento di aggiungere servizi al perimetro di servizio, aggiungi l'API Notebooks.
Se hai creato il perimetro di servizio senza aggiungere i progetti e i servizi necessari, consulta Gestione dei perimetri di servizio per scoprire come aggiornare il perimetro di servizio.
Configura le voci DNS utilizzando Cloud DNS
Le istanze di blocchi note gestiti dall'utente di Vertex AI Workbench utilizzano diversi domini che una rete Virtual Private Cloud non gestisce per impostazione predefinita. Per assicurarti che la tua rete VPC gestisca correttamente le richieste inviate a questi domini, utilizza Cloud DNS per aggiungere i record DNS. Per maggiori informazioni sulle route VPC, consulta la panoramica delle route.
Per creare una zona gestita per un dominio, aggiungi una voce DNS che instrada la richiesta ed esegue la transazione, completa i seguenti passaggi.
Ripeti questi passaggi per ciascuno dei diversi domini per i quali devi gestire le richieste, a partire da *.notebooks.googleapis.com.
In Cloud Shell o in qualsiasi ambiente in cui è installata Google Cloud CLI, inserisci i seguenti comandi Google Cloud CLI.
-
Per creare una zona gestita privata per uno dei domini che la tua rete VPC deve gestire:
gcloud dns managed-zones create ZONE_NAME \ --visibility=private \ --networks=https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME \ --dns-name=DNS_NAME \ --description="Description of your managed zone"Sostituisci quanto segue:
-
ZONE_NAME: un nome per la zona da creare. Devi utilizzare una zona distinta per ogni dominio. Il nome della zona viene utilizzato in ciascuno dei passaggi seguenti. -
PROJECT_ID: l'ID del progetto che ospita la tua rete VPC -
NETWORK_NAME: il nome della rete VPC creata in precedenza -
DNS_NAME: la parte del nome di dominio che segue*., con un punto alla fine. Ad esempio,*.notebooks.googleapis.comha unDNS_NAMEdinotebooks.googleapis.com.
-
-
Avvia una transazione.
gcloud dns record-sets transaction start --zone=ZONE_NAME -
Aggiungi il seguente record A DNS. Questo reindirizza il traffico agli indirizzi IP limitati di Google.
gcloud dns record-sets transaction add \ --name=DNS_NAME. \ --type=A 199.36.153.4 199.36.153.5 199.36.153.6 199.36.153.7 \ --zone=ZONE_NAME \ --ttl=300 -
Aggiungi il seguente record DNS CNAME in modo che punti al record A appena aggiunto. Questa operazione reindirizza tutto il traffico corrispondente al dominio agli indirizzi IP elencati nel passaggio precedente.
gcloud dns record-sets transaction add \ --name=\*.DNS_NAME. \ --type=CNAME DNS_NAME. \ --zone=ZONE_NAME \ --ttl=300 -
Esegui la transazione.
gcloud dns record-sets transaction execute --zone=ZONE_NAME -
Ripeti questi passaggi per ciascuno dei domini seguenti. Per ogni ripetizione, modifica ZONE_NAME e DNS_NAME nei valori appropriati per quel dominio. Mantieni PROJECT_ID e NETWORK_NAME uguali ogni volta. Hai già completato questi passaggi per
*.notebooks.googleapis.com.*.notebooks.googleapis.com*.notebooks.cloud.google.com*.notebooks.googleusercontent.com*.googleapis.comper eseguire il codice che interagisce con altre API e altri servizi Google
Configura il perimetro di servizio
Dopo aver configurato i record DNS, crea un perimetro di servizio o aggiorna un perimetro esistente per aggiungere il progetto al perimetro di servizio.
Nella rete VPC, aggiungi una route per l'intervallo 199.36.153.4/30 con un
hop successivo di Default internet gateway.
Utilizza Artifact Registry all'interno del tuo perimetro di servizio
Se vuoi utilizzare Artifact Registry nel tuo perimetro di servizio, consulta Configurare l'accesso limitato per i cluster privati di GKE.
Utilizza VPC condiviso
Se utilizzi il VPC condiviso, devi aggiungere l'host e i progetti di servizio al perimetro di servizio. Nel progetto host, devi anche concedere il ruolo Utente di rete Compute (roles/compute.networkUser) all'agente di servizio Notebooks dal progetto di servizio. Per maggiori informazioni, consulta Gestione dei perimetri di servizio.
Accedi all'istanza di blocchi note gestiti dall'utente
Segui la procedura per aprire un blocco note.
Limitazioni
Tipo di identità per criteri in entrata e in uscita
Quando specifichi un criterio in entrata o in uscita per un perimetro di servizio, non puoi utilizzare ANY_SERVICE_ACCOUNT o ANY_USER_ACCOUNT come tipo di identità per tutte le operazioni di Vertex AI Workbench.
Utilizza invece ANY_IDENTITY come tipo di identità.
Accesso al proxy dei blocchi note gestiti dall'utente da una workstation senza internet
Per accedere alle istanze di blocchi note gestiti dall'utente da una workstation con accesso a internet limitato, verifica con l'amministratore IT che puoi accedere ai seguenti domini:
*.accounts.google.com*.accounts.youtube.com*.googleusercontent.com*.kernels.googleusercontent.com*.gstatic.com*.notebooks.cloud.google.com*.notebooks.googleapis.com
Devi avere accesso a questi domini per l'autenticazione in Google Cloud. Per ulteriori informazioni sulla configurazione, consulta la sezione precedente, Configurare le voci DNS utilizzando Cloud DNS.
Passaggi successivi
- Installa le dipendenze sulla tua nuova istanza di blocchi note gestiti dall'utente.