VPC Service Controls 可帮助您降低 AI Platform Prediction 中数据渗漏的风险。VPC Service Controls 可确保您执行以下操作时数据不会离开服务边界:
- 在边界内的项目中创建模型和模型版本。
- 向这些资源发送预测请求。
VPC Service Controls 不支持批量预测和 AI Explanations。如果您按照本指南配置服务边界,则无法在该边界内的任何 Google Cloud 项目中使用批量预测或 AI Explanations。
创建服务边界
请按照 VPC Service Controls 指南创建服务边界。指定要限制的服务时,请务必限制以下所有服务:
- AI Platform Training and Prediction API (
ml.googleapis.com) - Pub/Sub API (
pubsub.googleapis.com) - Cloud Storage API (
storage.googleapis.com) - Google Kubernetes Engine API (
container.googleapis.com) - Container Registry API (
containerregistry.googleapis.com) - Cloud Logging API (
logging.googleapis.com)
要使 AI Platform Training 和 AI Platform Prediction 与 VPC Service Controls 正常配合使用,您的服务边界必须限制所有这些服务。
限制
创建服务边界并向其添加 Google Cloud 项目后,您可以在无需额外配置的情况下使用 AI Platform Prediction。但是,需遵守以下限制:
您不能使用批量预测。
您不能使用 AI Explanations。
我们建议您创建新的 Google Cloud 项目来设置与 VPC Service Controls 的集成。如果您为已包含 AI Platform Prediction 资源的项目配置服务边界,则必须考虑以下限制条件:
如果您在将项目添加到服务边界之前在项目中创建了模型,则不能再使用这些模型。
例如,您无法为在边界外创建的模型创建模型版本。您必须在边界内创建新模型,然后在这些新模型上创建模型版本。
旧版 (MLS1) 机器类型不可用,因此您无法使用 AI Platform Training and Prediction API 的全球端点。如果您尝试创建使用旧版 (MLS1) 机器类型的模型版本,版本创建会失败。您必须使用 Compute Engine (N1) 机器类型和区域端点进行在线预测。
如果您在创建服务边界后的几分钟内创建模型或模型版本,操作可能会失败。请等待大约 15 分钟,以便 VPC Service Controls 限制传播到所有相关的 Google Cloud 服务,然后再重试。
当
ml.googleapis.com受到保护时,您的模型版本无权访问边界外的资源。它们可以访问边界内项目的 Cloud Storage 以及 VPC Service Controls 支持的其他 Google Cloud 服务中的数据,但如果它们向边界外的服务发送请求,这些请求将失败。如果不进行额外配置,您就无法使用 Google Cloud 控制台管理服务边界内项目的 AI Platform Prediction 资源或查看访问日志和流式传输日志。了解如何在 Google Cloud 控制台中访问受服务边界保护的资源。
AI Platform Training 和 AI Platform Vizier
当您创建保护 AI Platform Training and Prediction API 的服务边界时,VPC Service Controls 会保护 AI Platform Training 和 AI Platform Prediction。了解如何将 VPC Service Controls 与 AI Platform Training 搭配使用。
AI Platform Vizier 也使用 AI Platform Training and Prediction API,它目前不完全支持 VPC Service Controls。但是,当您配置服务边界以保护 AI Platform Training and Prediction API 时,AI Platform Vizier 将保持启用状态。
后续步骤
- 详细了解 VPC Service Controls 如何保护您的数据。