Utiliser VPC Service Controls avec AI Platform Training

VPC Service Controls peut vous aider à limiter le risque d'exfiltration de données de vos tâches d'entraînement AI Platform. Lorsque vous exécutez une tâche d'entraînement à partir d'un projet dans un périmètre de service, VPC Service Controls garantit que vos données ne quittent pas le périmètre. Cela inclut les données d'entraînement auxquelles votre tâche a accès et les artefacts créés par votre tâche.

Créer un périmètre de service

Suivez le guide VPC Service Controls pour créer un périmètre de service. Lorsque vous spécifiez les services que vous souhaitez restreindre, veillez à ajouter tous les services suivants :

  • API AI Platform Training et API Prediction (ml.googleapis.com)
  • API Pub/Sub (pubsub.googleapis.com)
  • API Cloud Storage (storage.googleapis.com)
  • API Google Kubernetes Engine (container.googleapis.com)
  • API Container Registry (containerregistry.googleapis.com)
  • API Cloud Logging (logging.googleapis.com)

Le périmètre de service doit restreindre tous ces services pour qu'AI Platform Training et AI Platform Prediction fonctionnent correctement avec VPC Service Controls.

Limites

Une fois que vous avez créé un périmètre de service et y avez ajouté votre projet Google Cloud, vous pouvez exécuter des tâches d'entraînement sans aucune configuration supplémentaire. Toutefois, les restrictions suivantes s'appliquent :

  • Si vous envoyez une tâche d'entraînement dans les premières minutes suivant la création d'un périmètre de service, la tâche peut échouer. Attendez environ 15 minutes pour que les restrictions VPC Service Controls soient appliquées à tous les services Google Cloud concernés, puis réessayez.
  • Vous ne pouvez pas effectuer d'entraînement avec des TPU.
  • Lorsque ml.googleapis.com est protégé, votre tâche d'entraînement n'a pas accès à des ressources en dehors du périmètre. Votre code d'entraînement peut accéder aux données dans Cloud Storage et dans les services Google Cloud compatibles avec VPC Service Controls dans les projets au sein du périmètre, mais si votre code envoie des requêtes à des services en dehors du périmètre, ces requêtes échouent.
  • Sans configuration supplémentaire, vous ne pouvez pas utiliser Google Cloud Console pour gérer les tâches d'entraînement d'un projet dans un périmètre de service ou pour afficher des journaux. Découvrez l'accès aux ressources protégées par un périmètre de service dans la console Google Cloud.

AI Platform Prediction et AI Platform Vizier

Lorsque vous créez un périmètre de service qui protège l'API AI Platform Training and Prediction, VPC Service Controls protège également les fonctionnalités de prédiction en ligne d'AI Platform Training et d'AI Platform Prediction. Découvrez comment utiliser VPC Service Controls avec AI Platform Prediction.

Sachez toutefois que la prédiction par lot n'est pas disponible avec VPC Service Controls. Lorsque l'API AI Platform Training and Prediction est protégée par un périmètre de service, AI Platform désactive la fonctionnalité de création d'une tâche de prédiction par lot afin de protéger vos données de l'exfiltration.

AI Platform Vizier, qui utilise également l'API AI Platform Training and Prediction, n'est actuellement pas entièrement compatible avec VPC Service Controls. Toutefois, AI Platform Vizier reste activé lorsque vous configurez un périmètre de service à des fins de protection de l'API AI Platform Training and Prediction.

Étapes suivantes