VPC Service Controls mit Onlinevorhersage verwenden

Mit VPC Service Controls können Sie das Risiko der Daten-Exfiltration aus AI Platform Prediction verringern. VPC Service Controls gewährleistet, dass Ihre Daten einen Dienstperimeter nicht überschreiten, wenn Sie Folgendes tun:

  • Erstellen Sie Modelle und Modellversionen innerhalb eines Projekts innerhalb des Perimeters.
  • Vorhersageanfragen an diese Ressourcen senden.

Batchvorhersagen und AI Explanations werden von VPC Service Controls nicht unterstützt. Wenn Sie dieser Anleitung zum Konfigurieren eines Dienstperimeters folgen, können Sie Batchvorhersage oder AI Explanations in keinem Google Cloud-Projekt innerhalb dieses Perimeters verwenden.

Dienstperimeter erstellen

Richten Sie sich nach dem Leitfaden zu VPC Service Controls zum Erstellen eines Dienstperimeters. Wenn Sie festlegen, welche Dienste Sie einschränken möchten, sollten Sie die folgenden Dienste einschränken:

  • AI Platform Training und Prediction API (ml.googleapis.com)
  • Pub/Sub API (pubsub.googleapis.com)
  • Cloud Storage API (storage.googleapis.com)
  • Google Kubernetes Engine API (container.googleapis.com)
  • Container Registry API (containerregistry.googleapis.com)
  • Cloud Logging API (logging.googleapis.com)

Der Dienstperimeter muss alle diese Dienste einschränken, damit AI Platform Training und AI Platform Prediction ordnungsgemäß mit VPC Service Controls funktionieren.

Beschränkungen

Nachdem Sie einen Dienstperimeter erstellt und Ihrem Google Cloud-Projekt hinzugefügt haben, können Sie AI Platform Prediction ohne zusätzliche Konfiguration verwenden. Es gelten jedoch die folgenden Einschränkungen:

  • Sie können keine Batchvorhersage verwenden.

  • Sie können AI Explanations nicht verwenden.

  • Wir empfehlen Ihnen, ein neues Google Cloud-Projekt zu erstellen, um die Integration in VPC Service Controls einzurichten. Wenn Sie stattdessen einen Dienstperimeter für ein Projekt konfigurieren, das bereits AI Platform Prediction-Ressourcen enthält, müssen Sie die folgende Einschränkung berücksichtigen:

    Wenn Sie Modelle im Projekt erstellt haben, bevor Sie das Projekt dem Dienstperimeter hinzugefügt haben, können Sie diese Modelle nicht mehr verwenden.

    Sie können beispielsweise keine Modellversionen für Modelle erstellen, die außerhalb des Perimeters erstellt wurden. Sie müssen stattdessen neue Modelle innerhalb des Perimeters erstellen und dann Modellversionen für diese neuen Modelle erstellen.

  • Wenn Sie Ihr Projekt aus dem Dienstperimeter entfernen, können Sie Modelle, die erstellt wurden, während das Projekt im Perimeter war, nicht aktualisieren oder löschen.

  • Legacy-Maschinentypen (MLS1) sind nicht verfügbar und Sie können den globalen Endpunkt der AI Platform Training and Prediction API nicht verwenden. Wenn Sie versuchen, eine Modellversion mit einem Legacy-Maschinentyp (MLS1) zu erstellen, schlägt das Erstellen der Version fehl. Sie müssen für die Onlinevorhersage Compute Engine-Maschinentypen (N1) und regionale Endpunkte verwenden.

  • Wenn Sie ein Modell oder eine Modellversion in den ersten Minuten nach dem Erstellen eines Dienstperimeters erstellen, kann der Vorgang fehlschlagen. Warten Sie ca. 15 Minuten, bis die VPC Service Controls-Beschränkungen an alle relevanten Google Cloud-Dienste weitergegeben wurden, und versuchen Sie es dann noch einmal.

  • Wenn ml.googleapis.com geschützt ist, haben Ihre Modellversionen keinen Zugriff auf Ressourcen außerhalb des Perimeters. Sie können auf Daten in Cloud Storage und andere von VPC Service Controls unterstützte Google Cloud-Dienste in Projekten innerhalb des Perimeters zugreifen, aber wenn sie Anfragen an Dienste außerhalb des Perimeters senden, schlagen diese Anfragen fehl.

  • Ohne zusätzliche Konfiguration können Sie die Google Cloud Console nicht verwenden, um AI Platform Prediction-Ressourcen eines Projekts innerhalb eines Dienstperimeters zu verwalten oder Zugriffs- und Stream-Logs aufzurufen. Informieren Sie sich über den Zugriff auf Ressourcen, die durch einen Dienstperimeter in der Cloud Console geschützt sind.

AI Platform Training und AI Platform Vizier

Wenn Sie einen Dienstperimeter zum Schutz der AI Platform Training and Prediction API erstellen, schützen VPC Service Controls sowohl AI Platform Training als auch AI Platform Prediction. VPC Service Controls mit AI Platform Training verwenden

AI Platform Vizier, die auch die AI Platform Training and Prediction API verwendet, unterstützt VPC Service Controls derzeit nicht vollständig. AI Platform Vizier bleibt jedoch aktiviert, wenn Sie einen Dienstperimeter zum Schutz der AI Platform Training and Prediction API konfigurieren.

Nächste Schritte