Mit VPC Service Controls können Sie das Risiko der Daten-Exfiltration aus AI Platform Training-Jobs minimieren. Wenn Sie einen Trainingsjob in einem Projekt innerhalb eines Dienstperimeters ausführen, sorgt VPC Service Controls dafür, dass Ihre Daten den Perimeter nicht verlassen. Dazu gehören auch Trainingsdaten, auf die Ihr Job zugreift, und Artefakte, die von Ihrem Job erzeugt werden.
Dienstperimeter erstellen
Richten Sie sich nach dem Leitfaden zu VPC Service Controls zum Erstellen eines Dienstperimeters. Wenn Sie festlegen, welche Dienste Sie einschränken möchten, geben Sie alle folgenden Dienste an:
- AI Platform Training und Prediction API (
ml.googleapis.com
) - Pub/Sub API (
pubsub.googleapis.com
) - Cloud Storage API (
storage.googleapis.com
) - Google Kubernetes Engine API (
container.googleapis.com
) - Container Registry API (
containerregistry.googleapis.com
) - Cloud Logging API (
logging.googleapis.com
)
Der Dienstperimeter muss alle diese Dienste einschränken, damit AI Platform Training und AI Platform Prediction ordnungsgemäß mit VPC Service Controls funktionieren.
Beschränkungen
Nachdem Sie einen Dienstperimeter erstellt und in das Google Cloud-Projekt eingefügt haben, können Sie ohne weitere Konfiguration Trainingsjobs ausführen. Es gelten jedoch die folgenden Einschränkungen:
- Wenn Sie einen Trainingsjob in den ersten Minuten nach dem Erstellen eines Dienstperimeters senden, kann der Job unter Umständen nicht ausgeführt werden. Warten Sie ca. 15 Minuten, bis die VPC Service Controls-Beschränkungen an alle relevanten Google Cloud-Dienste weitergegeben wurden, und versuchen Sie es dann noch einmal.
- Sie können kein Training mit TPUs ausführen.
- Wenn
ml.googleapis.com
geschützt ist, hat der Trainingsjob keinen Zugriff auf Ressourcen außerhalb des Perimeters. Der Trainingscode kann in Projekten innerhalb des Perimeters auf Daten in Cloud Storage und andere von VPC Service Controls unterstützte Google Cloud-Dienste zugreifen. Wenn Ihr Code jedoch Anfragen an Dienste außerhalb des Perimeters sendet, führen diese Anfragen zu Fehlern. - Ohne zusätzliche Konfiguration können Sie die Google Cloud Console nicht verwenden, um die Trainingsjobs eines Projekts innerhalb eines Dienstperimeters zu verwalten oder Logs aufzurufen. Informieren Sie sich über den Zugriff auf Ressourcen, die durch einen Dienstperimeter in der Google Cloud Console geschützt sind.
AI Platform Prediction und AI Platform Vizier
Wenn Sie einen Dienstperimeter zum Schutz der AI Platform Training und Prediction API erstellen, schützt VPC Service Controls die Onlinevorhersagefunktionalität von AI Platform Training und AI Platform Prediction. Weitere Informationen erhalten Sie im Abschnitt zum Verwenden von VPC Service Controls mit AI Platform Prediction.
Batchvorhersagen werden jedoch von VPC Service Controls nicht unterstützt. Wenn die AI Platform Training und Prediction API durch einen Dienstperimeter geschützt ist, deaktiviert AI Platform die Möglichkeit, einen Batchvorhersagejob zu erstellen, um Ihre Daten vor Exfiltration schützen.
AI Platform Vizier, die auch die AI Platform Training and Prediction API verwendet, unterstützt VPC Service Controls derzeit nicht vollständig. AI Platform Vizier bleibt jedoch aktiviert, wenn Sie einen Dienstperimeter zum Schutz der AI Platform Training and Prediction API konfigurieren.
Nächste Schritte
- Informieren Sie sich darüber, wie VPC Service Controls Ihre Daten schützt.