Utiliser VPC Service Controls avec la prédiction en ligne

VPC Service Controls vous aide à limiter le risque d'exfiltration de données d'AI Platform Prediction. VPC Service Controls garantit que vos données ne quittent pas un périmètre de service lorsque vous effectuez les opérations suivantes :

  • Création de modèles et de versions de modèles dans un projet à l'intérieur du périmètre
  • Envoi de requêtes de prédiction à ces ressources

La prédiction par lot et AI Explanations ne sont pas compatibles avec VPC Service Controls. Si vous suivez ce guide pour configurer un périmètre de service, vous ne pourrez pas utiliser la prédiction par lot ni AI Explanations dans les projets Google Cloud de ce périmètre.

Créer un périmètre de service

Suivez le guide VPC Service Controls pour créer un périmètre de service. Lorsque vous spécifiez les services que vous souhaitez restreindre, veillez à inclure tous les services suivants :

  • API AI Platform Training et API Prediction (ml.googleapis.com)
  • API Pub/Sub (pubsub.googleapis.com)
  • API Cloud Storage (storage.googleapis.com)
  • API Google Kubernetes Engine (container.googleapis.com)
  • API Container Registry (containerregistry.googleapis.com)
  • API Cloud Logging (logging.googleapis.com)

Le périmètre de service doit restreindre tous ces services pour qu'AI Platform Training et AI Platform Prediction fonctionnent correctement avec VPC Service Controls.

Limites

Une fois que vous avez créé un périmètre de service et y avez ajouté votre projet Google Cloud, vous pouvez utiliser AI Platform Prediction sans configuration supplémentaire. Toutefois, les restrictions suivantes s'appliquent :

  • Vous ne pouvez pas utiliser la prédiction par lot.

  • Vous ne pouvez pas utiliser AI Explanations.

  • Nous vous recommandons de créer un projet Google Cloud pour configurer l'intégration avec VPC Service Controls. Si vous configurez plutôt un périmètre de service pour un projet contenant déjà des ressources AI Platform Prediction, vous devez tenir compte de la contrainte suivante :

    Si vous avez créé des modèles dans le projet avant de l'ajouter au périmètre de service, vous ne pouvez plus utiliser ces modèles.

    Par exemple, vous ne pouvez pas créer des versions de modèle sur des modèles créés en dehors du périmètre. Vous devez donc créer d'autres modèles dans le périmètre, puis créer des versions de modèle sur ces nouveaux modèles.

  • Si vous supprimez votre projet du périmètre de service, vous ne pouvez pas mettre à jour ni supprimer les modèles créés lorsque le projet se trouvait dans le périmètre.

  • Les anciens types de machines (MLS1) ne sont pas disponibles, et vous ne pouvez pas utiliser le point de terminaison mondial de l'API AI Platform Training and Prediction. Si vous essayez de créer une version de modèle utilisant un ancien type de machine (MLS1), la création de la version échoue. Vous devez utiliser des types de machines Compute Engine (N1) et des points de terminaison régionaux pour la prédiction en ligne.

  • Si vous créez un modèle ou une version de modèle dans les premières minutes suivant la création d'un périmètre de service, l'opération peut échouer. Attendez environ 15 minutes pour que les restrictions VPC Service Controls soient appliquées à tous les services Google Cloud concernés, puis réessayez.

  • Lorsque ml.googleapis.com est protégé, les versions de votre modèle n'ont accès à aucune ressource située en dehors du périmètre. Elles peuvent accéder aux données dans Cloud Storage ainsi qu'à d'autres services Google Cloud compatibles avec VPC Service Controls dans les projets au sein du périmètre, mais si elles envoient des requêtes à des services en dehors au périmètre, ces requêtes échouent.

  • Sans configuration supplémentaire, vous ne pouvez pas utiliser Google Cloud Console pour gérer les ressources AI Platform Prediction d'un projet dans un périmètre de service, ou pour afficher les journaux d'accès et de flux. Découvrez l'accès aux ressources protégées par un périmètre de service dans la console Google Cloud.

AI Platform Training et AI Platform Vizier

Lorsque vous créez un périmètre de service qui protège l'API AI Platform Training and Prediction, VPC Service Controls protège à la fois AI Platform Training et AI Platform Prediction. Découvrez comment utiliser VPC Service Controls avec AI Platform Training.

AI Platform Vizier, qui utilise également l'API AI Platform Training and Prediction, n'est actuellement pas entièrement compatible avec VPC Service Controls. Toutefois, AI Platform Vizier reste activé lorsque vous configurez un périmètre de service à des fins de protection de l'API AI Platform Training and Prediction.

Étapes suivantes