Como usar o VPC Service Controls com a previsão on-line

O VPC Service Controls ajuda a reduzir o risco de exfiltração de dados do AI Platform Prediction. O VPC Service Controls garante que os dados não saiam de um perímetro de serviço quando você faz o seguinte:

  • Criar modelos e versões de modelo em um projeto dentro do perímetro.
  • Enviar solicitações de previsão para esses recursos.

A Previsão em lote e o AI Explanations não são compatíveis com o VPC Service Controls. Se você seguir este guia para configurar um perímetro de serviço, não será possível usar a previsão em lote ou o AI Explanations em nenhum projeto do Google Cloud dentro desse perímetro.

Como criar um perímetro de serviço

Siga o guia do VPC Service Controls para criar um perímetro de serviço. Ao especificar quais serviços você quer restringir, restrinja todos os serviços a seguir:

  • API AI Platform Training and Prediction (ml.googleapis.com)
  • API Pub/Sub (pubsub.googleapis.com)
  • API Cloud Storage (storage.googleapis.com)
  • API Google Kubernetes Engine (container.googleapis.com)
  • API Container Registry (containerregistry.googleapis.com)
  • API Cloud Logging (logging.googleapis.com)

O perímetro de serviço precisa restringir todos esses serviços para que o AI Platform Training e o AI Platform Prediction funcionem corretamente com o VPC Service Controls.

Limitações

Depois de criar um perímetro de serviço e adicionar o projeto do Google Cloud a ele, use o AI Platform Prediction sem nenhuma configuração extra. No entanto, as seguintes limitações se aplicam:

  • Não é possível usar a previsão em lote.

  • Não é possível usar o AI Explanations.

  • Recomendamos que você crie um novo projeto do Google Cloud para configurar a integração com o VPC Service Controls. Se você configurar um perímetro de serviço para um projeto que já contém recursos do AI Platform Prediction, considere a seguinte restrição:

    Se você tiver criado modelos no projeto antes de adicioná-lo ao perímetro de serviço, não poderá mais usar esses modelos.

    Por exemplo, não é possível criar versões de modelo em modelos que foram criados fora do perímetro. Em vez disso, você precisa criar novos modelos dentro do perímetro e depois criar versões nesses modelos novos.

  • Se você remover o projeto do perímetro de serviço, não será possível atualizar ou excluir modelos criados enquanto o projeto estava no perímetro.

  • Os tipos de máquina legados (MLS1) não estão disponíveis, e não é possível usar o endpoint global da API AI Platform Training and Prediction. Se você tentar criar uma versão de modelo que use um tipo de máquina legado (MLS1), a criação da versão falhará. Use tipos de máquina do Compute Engine (N1) e endpoints regionais para previsão on-line.

  • Se você criar um modelo ou uma versão de modelo nos primeiros minutos após a criação de um perímetro de serviço, a operação poderá falhar. Aguarde cerca de 15 minutos para que as restrições do VPC Service Controls sejam propagadas a todos os serviços relevantes do Google Cloud e, em seguida, tente novamente.

  • Quando ml.googleapis.com estiver protegido, as versões do modelo não terão acesso a recursos fora do perímetro. Elas podem acessar dados no Cloud Storage e em outros serviços do Google Cloud compatíveis com o VPC Service Controls em projetos dentro do perímetro. No entanto, se enviarem solicitações para serviços fora do perímetro, essas solicitações falharão.

  • Sem configurações extras, não é possível usar o Console do Google Cloud para gerenciar recursos do AI Platform Prediction de um projeto dentro de um perímetro de serviço ou para visualizar registros de acesso e fluxo. Saiba como acessar recursos protegidos por um perímetro de serviço no console do Google Cloud.

AI Platform Training e AI Platform Vizier

Quando você cria um perímetro de serviço que protege a API AI Platform Training and Prediction, o VPC Service Controls protege o AI Platform Training e o AI Platform Prediction. Leia como usar o VPC Service Controls com o AI Platform Training.

O AI Platform Vizier, que também usa a API AI Platform Training and Prediction, não é totalmente compatível com o VPC Service Controls. No entanto, o AI Platform Vizier permanece ativado quando você configura um perímetro de serviço para proteger a API AI Platform Training and Prediction.

A seguir