Usa los Controles del servicio de VPC con AI Platform Training

Los Controles del servicio de VPC pueden ayudarte a mitigar el riesgo de robo de datos de los trabajos de AI Platform Training. Cuando ejecutas un trabajo de entrenamiento de un proyecto dentro de un perímetro de servicio, los Controles del servicio de VPC garantizan que los datos no salgan del perímetro. Esto incluye los datos de entrenamiento a los que accede el trabajo y los artefactos que crea.

Crea un perímetro de servicio

Sigue la guía de los Controles del servicio de VPC para crear un perímetro de servicio. Cuando especifiques los servicios que deseas restringir, asegúrate de agregar todos los servicios que se indican a continuación:

  • API de entrenamiento y predicción de AI Platform (ml.googleapis.com)
  • API de Pub/Sub (pubsub.googleapis.com)
  • API de Cloud Storage (storage.googleapis.com)
  • API de Google Kubernetes Engine (container.googleapis.com)
  • API de Container Registry (containerregistry.googleapis.com)
  • API de Cloud Logging (logging.googleapis.com)

El perímetro de servicio debe restringir todos estos servicios para que AI Platform Training y AI Platform Prediction funcionen de forma correcta con los Controles del servicio de VPC.

Limitaciones

Después de crear un perímetro de servicio y agregarle el proyecto de Google Cloud, puedes ejecutar trabajos de entrenamiento sin ninguna configuración adicional. Sin embargo, se aplican las siguientes limitaciones:

  • Si envías un trabajo de entrenamiento en los primeros minutos después de crear un perímetro de servicio, es posible que el trabajo falle. Espera alrededor de 15 minutos para que las restricciones de los Controles del servicio de VPC se propaguen a todos los servicios de Google Cloud relevantes y vuelve a intentarlo.
  • No puedes realizar entrenamientos con TPU.
  • Cuando ml.googleapis.com tiene protección, el trabajo de entrenamiento no tiene acceso a recursos fuera del perímetro. El código de entrenamiento puede acceder a datos en Cloud Storage y otros servicios de Google Cloud compatibles con los Controles del servicio de VPC en proyectos dentro del perímetro. Sin embargo, si el código envía solicitudes a servicios fuera del perímetro, esas solicitudes fallarán.
  • Sin configuración adicional, no puedes usar la consola de Google Cloud a fin de administrar los trabajos de entrenamiento de un proyecto dentro de un perímetro de servicio ni para visualizar registros. Obtén más información sobre el acceso a los recursos protegidos por un perímetro de servicio en la consola de Google Cloud.

AI Platform Prediction y AI Platform Vizier

Cuando creas un perímetro de servicio que protege la API de AI Platform Training and Prediction, los Controles del servicio de VPC protegen la funcionalidad de predicción en línea de AI Platform Training y AI Platform Prediction. Obtén información sobre cómo usar los Controles del servicio de VPC con AI Platform Prediction.

Sin embargo, la predicción por lotes no es compatible con los Controles del servicio de VPC. Cuando un perímetro de servicio protege a la API de AI Platform Training and Prediction, AI Platform inhabilita la capacidad de crear un trabajo de predicción por lotes para proteger tus datos contra el robo.

AI Platform Vizier, que también usa API Plarform Training y API de Prediction, actualmente no es compatible por completo con los Controles del servicio de VPC. Sin embargo, AI Platform Vizier permanece habilitado cuando configuras un perímetro de servicio para proteger la API de entrenamiento y predicción de AI Platform.

¿Qué sigue?