서비스 경계 내에서 메모장 인스턴스 사용

이 페이지에서는 VPC Service Controls를 사용하여 서비스 경계 내에서 AI Platform Notebooks 인스턴스를 설정하는 방법을 설명합니다.

시작하기 전에

  1. VPC Service Controls 개요를 읽어보세요.

  2. 새 AI Platform Notebooks 인스턴스를 만듭니다. 이 AI Platform Notebooks 인스턴스는 아직 서비스 경계 내에 있지 않습니다.

  3. VPC Service Controls를 사용하여 서비스 경계를 만듭니다. 이 서비스 경계는 사용자가 지정한 서비스의 Google 관리 리소스를 보호합니다. 서비스 경계를 만드는 동안 다음을 수행합니다.

    1. 서비스 경계에 프로젝트를 추가할 때 AI Platform Notebooks 인스턴스가 포함된 프로젝트를 추가합니다.

    2. 서비스 경계에 서비스를 추가할 때 AI Platform Notebooks API를 추가합니다.

    필요한 프로젝트 및 서비스를 추가하지 않고 서비스 경계를 만들었을 때 서비스 경계를 업데이트하는 방법은 서비스 경계 관리를 참조하세요.

Cloud DNS를 사용하여 DNS 항목 구성

AI Platform Notebooks는 Virtual Private Cloud 네트워크가 기본적으로 처리하지 않는 여러 도메인을 사용합니다. Cloud DNS를 사용하여 VPC 네트워크가 이러한 도메인으로 전송된 요청을 올바르게 처리하도록 DNS 레코드를 추가합니다. VPC 경로에 대한 자세한 내용은 경로 개요를 읽어보세요.

다음 단계에 따라 도메인의 관리 영역을 만들고 요청을 라우팅할 DNS 항목을 추가한 다음 트랜잭션을 실행합니다. 요청을 처리해야 하는 *.notebooks.googleapis.com으로 시작하는 여러 도메인 각각에 이 단계를 반복합니다.

다음 단계를 수행하기 위해 선호하는 터미널이 있는 gcloud 명령줄 도구를 사용하거나 gcloud 도구가 사전 설치된 Cloud Shell을 사용할 수 있습니다.

  1. 다음 정보를 수집합니다. DNS 항목을 구성하려면 다음 명령어에서 이 값을 사용해야 합니다.

    • PROJECT_ID는 VPC 네트워크를 호스팅하는 프로젝트의 ID입니다.

    • NETWORK_NAME은 앞에서 만든 VPC 네트워크의 이름입니다.

    • ZONE_NAME은 만들려는 영역의 이름입니다. 도메인마다 별도의 영역을 사용해야 합니다. 이 영역 이름은 다음 각 단계에서 사용됩니다.

    • DNS_NAME*. 뒤에 오는 도메인의 일부입니다. 예를 들어 *.notebooks.googleapis.com의 DNS_NAME은 notebooks.googleapis.com입니다.

  2. VPC 네트워크에서 처리해야 하는 도메인 중 하나의 비공개 관리 영역을 만듭니다.

    gcloud dns managed-zones create ZONE_NAME \
     --visibility=private \
     --networks=https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME \
     --dns-name=DNS_NAME \
     --description="Description of your managed zone"
    
  3. 트랜잭션을 시작합니다.

    gcloud dns record-sets transaction start --zone=ZONE_NAME
    
  4. 다음 DNS A 레코드를 추가합니다. 이렇게 하면 트랙픽이 Google의 제한된 IP 주소로 다시 라우팅됩니다.

    gcloud dns record-sets transaction add \
     --name=DNS_NAME. \
     --type=A 199.36.153.4 199.36.153.5 199.36.153.6 199.36.153.7 \
     --zone=ZONE_NAME \
     --ttl=300
    
  5. 방금 추가한 A 레코드를 가리키도록 다음 DNS CNAME 레코드를 추가합니다. 그러면 도메인과 일치하는 모든 트래픽이 이전 단계에서 나열한 IP 주소로 리디렉션됩니다.

    gcloud dns record-sets transaction add \
     --name=*.DNS_NAME. \
     --type=CNAME DNS_NAME. \
     --zone=ZONE_NAME \
     --ttl=300
    
  6. 트랜잭션을 실행합니다.

    gcloud dns record-sets transaction execute --zone=ZONE_NAME
    
  7. 다음 도메인 각각에 대해 이 단계를 반복합니다. 반복할 때마다 ZONE_NAMEDNS_NAME을 해당 도메인에 적절한 값으로 변경합니다. 매번 PROJECT_IDNETWORK_NAME은 항상 동일하게 유지합니다. *.notebooks.googleapis.com에 대해서는 이들 단계를 이미 완료했습니다.

    • *.notebooks.googleapis.com

    • *.datalab.cloud.google.com

    • *.notebooks.cloud.google.com

    • *.notebooks.googleusercontent.com

서비스 경계 내에서 Container Registry 사용

서비스 경계 내에서 Container Registry를 사용하려면 DNS 항목과 서비스 경계를 구성하는 단계를 따릅니다.

공유 VPC 사용

공유 VPC를 사용하는 경우 호스트와 서비스 프로젝트를 서비스 경계에 추가해야 합니다. 서비스 경계 관리를 참조하세요.

AI Platform Notebooks 인스턴스에 액세스

메모장 열기 단계를 따릅니다.

AI Platform Notebooks에 Jupyter 확장 프로그램 설치

JupyterLab 확장 프로그램을 설치하려고 하는데 Google Cloud Storage API가 제한되어 있는 경우 NETWORK_NOT_IN_SAME_SERVICE_PERIMETER 오류가 표시될 수 있습니다. AI Platform Notebooks 확장 프로그램은 현재 deeplearning-platform-ui-public 공개 버킷에 저장됩니다.

다음 단계