Usar uma instância de notebook em um perímetro de serviço

Nesta página, você vê como usar o VPC Service Controls para configurar uma instância do AI Platform Notebooks em um perímetro de serviço.

Antes de começar

  1. Consulte a Visão geral do VPC Service Controls.

  2. Crie uma nova instância do AI Platform Notebooks. Ela ainda não estará em um perímetro de serviço.

  3. Crie um perímetro de serviço usando o VPC Service Controls. Esse perímetro protege os recursos gerenciados pelo Google dos serviços especificados por você. Ao criar o perímetro de serviço, faça o seguinte:

    1. Quando você precisar adicionar projetos ao perímetro de serviço, inclua o que contém a instância do AI Platform Notebooks.

    2. Quando você precisar adicionar serviços ao perímetro, inclua a API AI Platform Notebooks.

    Se você criou o perímetro de serviço sem adicionar os projetos e serviços necessários, consulte Como gerenciar perímetros de serviço para saber como atualizá-lo.

Configurar entradas DNS usando o Cloud DNS

O AI Platform Notebooks usa vários domínios que não são gerenciados por uma rede de nuvem privada virtual por padrão. Ao usar o Cloud DNS, adicione registros DNS para garantir que a rede VPC processe corretamente as solicitações enviadas a esses domínios. Para mais informações sobre rotas VPC, consulte esta página.

Siga os passos a seguir para criar uma zona gerenciada de um domínio, adicionar uma entrada DNS que roteará a solicitação e executar a transação. Repita esses passos para cada um dos vários domínios em que você processará solicitações, começando com *.notebooks.googleapis.com.

Para executar as tarefas seguir, use a ferramenta de linha de comando gcloud no seu terminal ou o Cloud Shell, que inclui a gcloud pré-instalada.

  1. Consiga as informações a seguir. Você usará esses valores em todos os comandos posteriores para configurar as entradas DNS.

    • PROJECT_ID é o código do projeto que hospeda sua rede VPC.

    • NETWORK_NAME é o nome da rede VPC que você criou anteriormente.

    • ZONE_NAME é um nome para a zona que você está criando. Você precisa usar uma zona separada para cada domínio. Esse nome será utilizado em todas as etapas a seguir.

    • DNS_NAME é a parte do domínio que vem depois do *.. Por exemplo, o DNS_NAME de *.notebooks.googleapis.com é notebooks.googleapis.com.

  2. Crie uma zona gerenciada privada para um dos domínios que a rede VPC precisa gerenciar.

    gcloud dns managed-zones create ZONE_NAME \
     --visibility=private \
     --networks=https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME \
     --dns-name=DNS_NAME \
     --description="Description of your managed zone"
    
  3. Inicie uma transação.

    gcloud dns record-sets transaction start --zone=ZONE_NAME
    
  4. Adicione o registro A DNS a seguir. Isso redireciona o tráfego para os endereços IP restritos do Google.

    gcloud dns record-sets transaction add \
     --name=DNS_NAME. \
     --type=A 199.36.153.4 199.36.153.5 199.36.153.6 199.36.153.7 \
     --zone=ZONE_NAME \
     --ttl=300
    
  5. Inclua o registro CNAME DNS a seguir para apontar para o registro A que você acabou de adicionar. Isso redireciona todo o tráfego que corresponde ao domínio para os endereços IP listados na etapa anterior.

    gcloud dns record-sets transaction add \
     --name=*.DNS_NAME. \
     --type=CNAME DNS_NAME. \
     --zone=ZONE_NAME \
     --ttl=300
    
  6. Execute a transação.

    gcloud dns record-sets transaction execute --zone=ZONE_NAME
    
  7. Repita essas etapas para cada um dos domínios a seguir. Para cada repetição, altere ZONE_NAME e DNS_NAME para os valores apropriados para esse domínio. Mantenha PROJECT_ID e NETWORK_NAME sempre iguais. Você já realizou essas tarefas para *.notebooks.googleapis.com.

    • *.notebooks.googleapis.com

    • *.notebooks.cloud.google.com

    • *.notebooks.googleusercontent.com

Como usar o Container Registry no perímetro de serviço

Se você quiser usar o Container Registry no perímetro de serviço, siga estas etapas para configurar as entradas DNS e o perímetro de serviço.

Como usar uma VPC compartilhada

Se você estiver usando uma VPC compartilhada, será necessário adicionar o host e os projetos de serviço ao perímetro de serviço. Consulte Como gerenciar perímetros de serviço.

Acessar a instância do AI Platform Notebooks

Siga as etapas para abrir um notebook.

Como instalar extensões do Jupyter nos AI Platform Notebooks

Se você tentar instalar extensões JupyterLab e a API Google Cloud Storage for restrita, talvez veja um erro NETWORK_NOT_IN_SAME_SERVICE_PERIMETER. Atualmente, as extensões do AI Platform Notebooks são armazenadas no bucket público deeplearning-platform-ui-public.

A seguir