O VPC Service Controls ajuda a reduzir o risco de exfiltração de dados do AI Platform Prediction. O VPC Service Controls garante que os dados não saiam de um perímetro de serviço quando você faz o seguinte:
- Criar modelos e versões de modelo em um projeto dentro do perímetro.
- Enviar solicitações de previsão para esses recursos.
A Previsão em lote e o AI Explanations não são compatíveis com o VPC Service Controls. Se você seguir este guia para configurar um perímetro de serviço, não será possível usar a previsão em lote ou o AI Explanations em nenhum projeto do Google Cloud dentro desse perímetro.
Como criar um perímetro de serviço
Siga o guia do VPC Service Controls para criar um perímetro de serviço. Ao especificar quais serviços você quer restringir, restrinja todos os serviços a seguir:
- API AI Platform Training and Prediction (
ml.googleapis.com
) - API Pub/Sub (
pubsub.googleapis.com
) - API Cloud Storage (
storage.googleapis.com
) - API Google Kubernetes Engine (
container.googleapis.com
) - API Container Registry (
containerregistry.googleapis.com
) - API Cloud Logging (
logging.googleapis.com
)
O perímetro de serviço precisa restringir todos esses serviços para que o AI Platform Training e o AI Platform Prediction funcionem corretamente com o VPC Service Controls.
Limitações
Depois de criar um perímetro de serviço e adicionar o projeto do Google Cloud a ele, use o AI Platform Prediction sem nenhuma configuração extra. No entanto, as seguintes limitações se aplicam:
Não é possível usar a previsão em lote.
Não é possível usar o AI Explanations.
Recomendamos que você crie um novo projeto do Google Cloud para configurar a integração com o VPC Service Controls. Se você configurar um perímetro de serviço para um projeto que já contém recursos do AI Platform Prediction, considere a seguinte restrição:
Se você tiver criado modelos no projeto antes de adicioná-lo ao perímetro de serviço, não poderá mais usar esses modelos.
Por exemplo, não é possível criar versões de modelo em modelos que foram criados fora do perímetro. Em vez disso, você precisa criar novos modelos dentro do perímetro e depois criar versões nesses modelos novos.
Se você remover o projeto do perímetro de serviço, não será possível atualizar ou excluir modelos criados enquanto o projeto estava no perímetro.
Os tipos de máquina legados (MLS1) não estão disponíveis, e não é possível usar o endpoint global da API AI Platform Training and Prediction. Se você tentar criar uma versão de modelo que use um tipo de máquina legado (MLS1), a criação da versão falhará. Use tipos de máquina do Compute Engine (N1) e endpoints regionais para previsão on-line.
Se você criar um modelo ou uma versão de modelo nos primeiros minutos após a criação de um perímetro de serviço, a operação poderá falhar. Aguarde cerca de 15 minutos para que as restrições do VPC Service Controls sejam propagadas a todos os serviços relevantes do Google Cloud e, em seguida, tente novamente.
Quando
ml.googleapis.com
estiver protegido, as versões do modelo não terão acesso a recursos fora do perímetro. Elas podem acessar dados no Cloud Storage e em outros serviços do Google Cloud compatíveis com o VPC Service Controls em projetos dentro do perímetro. No entanto, se enviarem solicitações para serviços fora do perímetro, essas solicitações falharão.Sem configurações extras, não é possível usar o Console do Google Cloud para gerenciar recursos do AI Platform Prediction de um projeto dentro de um perímetro de serviço ou para visualizar registros de acesso e fluxo. Saiba como acessar recursos protegidos por um perímetro de serviço no console do Google Cloud.
AI Platform Training e AI Platform Vizier
Quando você cria um perímetro de serviço que protege a API AI Platform Training and Prediction, o VPC Service Controls protege o AI Platform Training e o AI Platform Prediction. Leia como usar o VPC Service Controls com o AI Platform Training.
O AI Platform Vizier, que também usa a API AI Platform Training and Prediction, não é totalmente compatível com o VPC Service Controls. No entanto, o AI Platform Vizier permanece ativado quando você configura um perímetro de serviço para proteger a API AI Platform Training and Prediction.
A seguir
- Saiba mais sobre como o VPC Service Controls protege seus dados.