Usa los Controles del servicio de VPC con la predicción en línea

Los Controles del servicio de VPC te ayudarán a mitigar el riesgo de robo de datos de AI Platform Prediction. Los Controles del servicio de VPC garantizan que tus datos no salgan de un perímetro de servicio cuando hagas lo siguiente:

  • Crees modelos y versiones de modelos dentro de un proyecto dentro del perímetro
  • Envíes solicitudes de predicción a estos recursos

La predicción por lotes y Explicaciones de IA no son compatibles con los Controles del servicio de VPC y, si sigues esta guía para configurar un perímetro de servicio, no podrás usar la predicción por lotes ni Explicaciones de IA en cualquier proyecto de Google Cloud dentro de ese perímetro.

Crea un perímetro de servicio

Sigue la guía de los Controles del servicio de VPC para crear un perímetro de servicio. Cuando especifiques qué servicios deseas restringir, asegúrate de seleccionar los siguientes:

  • API de AI Platform Training and Prediction (ml.googleapis.com)
  • API de Pub/Sub (pubsub.googleapis.com)
  • API de Cloud Storage (storage.googleapis.com)
  • API de Google Kubernetes Engine (container.googleapis.com)
  • API de Container Registry (containerregistry.googleapis.com)
  • API de Cloud Logging (logging.googleapis.com)

El perímetro de servicio debe restringir todos estos servicios para que AI Platform Training y AI Platform Prediction funcionen de forma correcta con los Controles del servicio de VPC.

Limitaciones

Después de crear un perímetro de servicio y agregar tu proyecto de Google Cloud, puedes usar AI Platform Prediction sin ninguna configuración adicional. Sin embargo, se aplican las siguientes limitaciones:

  • No puedes usar la predicción por lotes.

  • No puedes usar Explicaciones de IA.

  • Te recomendamos que crees un proyecto de Google Cloud nuevo para configurar la integración con los Controles del servicio de VPC. Si, en cambio, configuras un perímetro de servicio para un proyecto que ya contiene recursos de AI Platform Prediction, debes tener en cuenta la siguiente restricción:

    Si creaste modelos en el proyecto antes de agregarlo al perímetro de servicio, ya no podrás usar esos modelos.

    Por ejemplo, no puedes crear versiones de modelos en modelos que se crearon fuera del perímetro. En su lugar, debes crear modelos nuevos dentro del perímetro y, luego, crear versiones de modelos en esos modelos nuevos.

  • Si quitas tu proyecto del perímetro de servicio, no puedes actualizar o borrar los modelos que se crearon mientras el proyecto estaba en el perímetro.

  • Los tipos de máquina heredados (MLS1) no están disponibles y no puedes usar el extremo global de la API de AI Platform Training and Prediction. Si intentas crear una versión del modelo que usa un tipo de máquina heredado (MLS1), la creación de la versión fallará. Debes usar los tipos de máquina (N1) de Compute Engine y los extremos regionales para la predicción en línea.

  • Si creas un modelo o una versión del modelo en los primeros minutos después de crear un perímetro de servicio, la operación puede fallar. Espera alrededor de 15 minutos para que las restricciones de los Controles del servicio de VPC se propaguen a todos los servicios de Google Cloud relevantes y vuelve a intentarlo.

  • Cuando ml.googleapis.com está protegido, las versiones del modelo no tienen acceso a recursos fuera del perímetro. Pueden acceder a datos en Cloud Storage y otros servicios de Google Cloud compatibles con los Controles del servicio de VPC en proyectos dentro del perímetro, pero si envían solicitudes a servicios fuera del perímetro, esas fallarán.

  • Sin una configuración adicional, no puedes usar la consola de Google Cloud para administrar los recursos de AI Platform Prediction dentro de un perímetro de servicio o para ver los registros de acceso y transmisión. Obtén más información sobre el acceso a los recursos protegidos por un perímetro de servicio en la consola de Google Cloud.

AI Platform Training y AI Platform Vizier

Cuando creas un perímetro de servicio que protege la API de AI Platform Training and Prediction, los Controles del servicio de VPC protegen a AI Platform Training y AI Platform Prediction. Obtén información sobre cómo usar los Controles del servicio de VPC con AI Platform Training.

AI Platform Vizier, que también usa API Plarform Training y API de Prediction, actualmente no es compatible por completo con los Controles del servicio de VPC. Sin embargo, AI Platform Vizier permanece habilitado cuando configuras un perímetro de servicio para proteger la API de entrenamiento y predicción de AI Platform.

¿Qué sigue?