Como usar o VPC Service Controls com o AI Platform Training

É possível que o VPC Service Controls possa ajudar a reduzir o risco de filtragem externa de seus jobs do AI Platform Training. Quando você executa um job de treinamento em um projeto dentro de um perímetro de serviço, o VPC Service Controls garante que os dados não saiam do perímetro. Isso inclui dados de treinamento que seu job acessa e artefatos criados pelo job.

Como criar um perímetro de serviço

Siga o guia do VPC Service Controls para criar um perímetro de serviço. Adicione todos os serviços a seguir ao especificar quais você quer restringir:

  • API AI Platform Training and Prediction (ml.googleapis.com)
  • API Pub/Sub (pubsub.googleapis.com)
  • API Cloud Storage (storage.googleapis.com)
  • API Google Kubernetes Engine (container.googleapis.com)
  • API Container Registry (containerregistry.googleapis.com)
  • API Cloud Logging (logging.googleapis.com)

O perímetro de serviço precisa restringir todos esses serviços para que o AI Platform Training e o AI Platform Prediction funcionem corretamente com o VPC Service Controls.

Limitações

Depois de criar um perímetro de serviço e adicionar o projeto do Google Cloud a ele, é possível executar jobs de treinamento sem nenhuma outra configuração. No entanto, as seguintes limitações se aplicam:

  • Se você enviar um job de treinamento nos primeiros minutos após a criação de um perímetro de serviço, é possível que o job falhe. Aguarde cerca de 15 minutos para que as restrições do VPC Service Controls sejam propagadas para todos os serviços relevantes do Google Cloud e, em seguida, tente novamente.
  • Não é possível realizar treinamentos com TPUs.
  • Quando ml.googleapis.com estiver protegido, o job de treinamento não terá acesso a recursos fora do perímetro. O código de treinamento pode acessar dados no Cloud Storage e em outros serviços do Google Cloud compatíveis com o VPC Service Controls em projetos dentro do perímetro. No entanto, se o código enviar solicitações para serviços fora do perímetro, elas falharão.
  • Sem configurações complementares, não é possível usar o Console do Google Cloud para gerenciar os jobs de treinamento de um projeto dentro de um perímetro de serviço ou para visualizar registros. Saiba como acessar recursos protegidos por um perímetro de serviço no console do Google Cloud.

AI Platform Prediction e AI Platform Vizier

Quando você cria um perímetro de serviço que protege a API AI Platform Training and Prediction, o VPC Service Controls protege a funcionalidade de previsão on-line do AI Platform Training e do AI Platform Prediction. Leia como usar o VPC Service Controls com o AI Platform Prediction.

No entanto, a previsão em lote não é compatível com o VPC Service Controls. Quando a API AI Platform Training and Prediction é protegida por um perímetro de serviço, o AI Platform desativa a capacidade de criar um job de previsão em lote para ajudar a proteger seus dados contra exfiltração.

O AI Platform Vizier, que também usa a API AI Platform Training and Prediction, não é totalmente compatível com o VPC Service Controls. No entanto, o AI Platform Vizier permanece ativado quando você configura um perímetro de serviço para proteger a API AI Platform Training and Prediction.

A seguir