Utilizzo dei Controlli di servizio VPC con la previsione online

Controlli di servizio VPC ti aiuta a ridurre il rischio di esfiltrazione di dati dal servizio AI Platform Prediction. I Controlli di servizio VPC assicurano che i dati non escano da un perimetro di servizio quando esegui le seguenti operazioni:

  • Crea modelli e versioni del modello all'interno di un progetto all'interno del perimetro.
  • Invia richieste di previsione a queste risorse.

La previsione batch e AI Explanations non sono supportate dai Controlli di servizio VPC. Se segui questa guida per configurare un perimetro di servizio, non potrai utilizzare la previsione batch o AI Explanations in nessun progetto Google Cloud all'interno di quel perimetro.

Creazione di un perimetro di servizio

Segui la guida ai Controlli di servizio VPC per creare un perimetro di servizio. Quando specifichi i servizi che vuoi limitare, assicurati di limitare tutti i seguenti servizi:

  • API AI Platform Training and Prediction (ml.googleapis.com)
  • API Pub/Sub (pubsub.googleapis.com)
  • API Cloud Storage (storage.googleapis.com)
  • API Google Kubernetes Engine (container.googleapis.com)
  • API Container Registry (containerregistry.googleapis.com)
  • API Cloud Logging (logging.googleapis.com)

Il tuo perimetro di servizio deve limitare tutti questi servizi affinché AI Platform Training e AI Platform Prediction funzionino correttamente con i Controlli di servizio VPC.

Limitazioni

Dopo aver creato un perimetro di servizio e avervi aggiunto il tuo progetto Google Cloud, puoi utilizzare AI Platform Prediction senza alcuna configurazione aggiuntiva. Tuttavia, si applicano le seguenti limitazioni:

  • Non puoi utilizzare la previsione batch.

  • Non puoi utilizzare AI Explanations.

  • Ti consigliamo di creare un nuovo progetto Google Cloud per configurare l'integrazione con i Controlli di servizio VPC. Se invece configuri un perimetro di servizio per un progetto che contiene già risorse di AI Platform Prediction, devi tenere conto del seguente vincolo:

    Se hai creato modelli nel progetto prima di aggiungerli al perimetro di servizio, non puoi più utilizzarli.

    Ad esempio, non puoi creare versioni del modello su modelli creati al di fuori del perimetro. devi creare nuovi modelli all'interno del perimetro e poi creare versioni dei modelli su questi nuovi modelli.

  • Se rimuovi il progetto dal perimetro di servizio, non potrai aggiornare o eliminare i modelli creati mentre il progetto si trovava nel perimetro.

  • I tipi di macchine legacy (MLS1) non sono disponibili e non puoi utilizzare l'endpoint globale dell'API AI Platform Training and Prediction. Se provi a creare una versione del modello che utilizza un tipo di macchina legacy (MLS1), la creazione della versione non va a buon fine. Devi utilizzare i tipi di macchine di Compute Engine (N1) e gli endpoint a livello di regione per la previsione online.

  • Se crei un modello o una versione del modello nei primi minuti dopo la creazione di un perimetro di servizio, l'operazione potrebbe non riuscire. Attendi circa 15 minuti che le limitazioni dei Controlli di servizio VPC si propaghino a tutti i servizi Google Cloud pertinenti, quindi riprova.

  • Quando ml.googleapis.com è protetto, le versioni del modello non hanno accesso alle risorse all'esterno del perimetro. Possono accedere ai dati in Cloud Storage e altri servizi Google Cloud supportati da Controlli di servizio VPC nei progetti all'interno del perimetro, ma se inviano richieste a servizi fuori dal perimetro, queste richieste non andranno a buon fine.

  • Senza configurazioni aggiuntive, non puoi utilizzare la console Google Cloud per gestire le risorse di AI Platform Prediction di un progetto all'interno di un perimetro di servizio o per visualizzare i log di accesso e di flusso. Scopri di più sull'accesso alle risorse protette da un perimetro di servizio nella console Google Cloud.

AI Platform Training e AI Platform Vizier

Quando crei un perimetro di servizio che protegge l'API AI Platform Training and Prediction, Controlli di servizio VPC protegge sia AI Platform Training sia AI Platform Prediction. Scopri di più su come utilizzare i Controlli di servizio VPC con AI Platform Training.

AI Platform Vizier, che utilizza anche l'API AI Platform Training and Prediction, al momento non supporta completamente i Controlli di servizio VPC. Tuttavia, AI Platform Vizier rimane abilitato quando configuri un perimetro di servizio per proteggere l'API AI Platform Training and Prediction.

Passaggi successivi