VPC 서비스 제어를 사용하면 AI Platform Training 작업에서 데이터 무단 반출 위험을 완화할 수 있습니다. 서비스 경계 내부의 프로젝트에서 학습 작업을 실행할 때 VPC 서비스 제어는 데이터가 경계를 벗어나지 않도록 해줍니다. 여기에는 작업에서 액세스하는 학습 데이터와 작업이 생성하는 아티팩트가 포함됩니다.
서비스 경계 만들기
VPC 서비스 제어 가이드에 따라 서비스 경계를 만드세요. 제한할 서비스를 지정할 때는 다음 서비스를 모두 추가해야 합니다.
- AI Platform Training 및 Prediction API(
ml.googleapis.com
) - Pub/Sub API(
pubsub.googleapis.com
) - Cloud Storage API(
storage.googleapis.com
) - Google Kubernetes Engine API(
container.googleapis.com
) - Container Registry API(
containerregistry.googleapis.com
) - Cloud Logging API(
logging.googleapis.com
)
AI Platform Training 및 AI Platform Prediction이 VPC 서비스 제어와 함께 제대로 작동하려면 서비스 경계가 이러한 모든 서비스를 제한해야 합니다.
제한사항
서비스 경계를 만들고 여기에 Google Cloud 프로젝트를 추가한 후에는 추가 구성 없이도 학습 작업을 실행할 수 있습니다. 단, 다음과 같은 제한사항이 적용됩니다.
- 서비스 경계를 만든 후 몇 분 내에 학습 작업을 제출하면 작업이 실패할 수 있습니다. VPC 서비스 제어 제한사항이 모든 관련 Google Cloud 서비스에 적용될 때까지 약 15분 정도 기다린 다음 다시 시도하세요.
- TPU를 사용한 학습은 수행할 수 없습니다.
ml.googleapis.com
이 보호되어 있으면 학습 작업이 경계 외부의 리소스에 액세스할 수 없습니다. 학습 코드는 Cloud Storage의 데이터뿐 아니라 경계 내부 프로젝트에서 VPC 서비스 제어가 지원하는 다른 Google Cloud 서비스의 데이터에 액세스할 수 있지만, 코드에서 경계 외부의 서비스로 요청을 보내면 해당 요청은 실패합니다.- 추가 구성 없이는 Google Cloud Console을 사용하여 서비스 경계 내 프로젝트의 학습 작업을 관리하거나 로그를 볼 수 없습니다. Google Cloud Console에서 서비스 경계로 보호되는 리소스에 액세스하는 방법을 알아보세요.
AI Platform Prediction 및 AI Platform Vizier
AI Platform Training 및 Prediction API를 보호하는 서비스 경계를 만들면 VPC 서비스 제어는 AI Platform Training 및 AI Platform Prediction의 온라인 예측 기능을 보호합니다. AI Platform Prediction으로 VPC 서비스 제어를 사용하는 방법 알아보기
하지만 VPC 서비스 제어에서는 일괄 예측이 지원되지 않습니다. AI Platform Training 및 Prediction API가 서비스 경계로 보호되면 AI Platform은 데이터가 유출되지 않도록 일괄 예측 작업을 만드는 기능을 사용 중지합니다.
AI Platform Training 및 Prediction API를 사용하는 AI Platform Vizier는 현재 VPC 서비스 제어를 완벽하게 지원하지 않습니다. 하지만 AI Platform Training 및 Prediction API를 보호하기 위해 서비스 경계를 구성할 때 AI Platform Vizier가 사용 설정된 상태로 유지됩니다.
다음 단계
- VPC 서비스 제어에서 데이터를 보호하는 방법에 대해 자세히 알아보세요.