Questa pagina è stata tradotta dall'API Cloud Translation.

Utilizzare i Controlli di servizio VPC

Questa pagina descrive come utilizzare i Controlli di servizio VPC per configurare un notebook Colab Enterprise all'interno di un perimetro di servizio.

Panoramica

I Controlli di servizio VPC sono una Google Cloud funzionalità che ti consente di configurare un perimetro che aiuta a proteggerti dall'esfiltrazione di dati.

I Controlli di servizio VPC forniscono un livello aggiuntivo di difesa per i serviziGoogle Cloud indipendentemente dalla protezione fornita da Identity and Access Management (IAM).

Quando utilizzi Colab Enterprise all'interno di un perimetro di servizio, i runtime sono soggetti al perimetro di servizio. Pertanto, per eseguire il codice del notebook che interagisce con altre API e altri servizi Google, devi aggiungere questi servizi al perimetro del servizio.

Per ulteriori informazioni sui Controlli di servizio VPC, consulta Panoramica dei Controlli di servizio VPC.

Limitazioni note

Colab Enterprise utilizza Dataform per archiviare i notebook.

Per scoprire di più sull'utilizzo dei Controlli di servizio VPC con Dataform, consulta Configurare i Controlli di servizio VPC per Dataform.
L'interfaccia utente di Colab Enterprise è accessibile solo dalla console Google Cloud. Per scoprire le limitazioni di Controlli di servizio VPC per la console Google Cloud, consulta le limitazioni della console Google Cloud.
Se il perimetro del servizio deve accedere ai servizi Vertex AI, consulta Limitazioni di Controlli di servizio VPC con Colab Enterprise.

Ruoli obbligatori

Per assicurarti che il tuo account utente disponga delle autorizzazioni necessarie per utilizzare VPC Service Controls con Colab Enterprise, chiedi all'amministratore di concedere al tuo account utente i seguenti ruoli IAM sul progetto:

Access Context Manager Editor (roles/accesscontextmanager.policyEditor)
Utente Colab Enterprise (roles/aiplatform.colabEnterpriseUser)

Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

L'amministratore potrebbe anche assegnare al tuo account utente le autorizzazioni richieste tramite ruoli personalizzati o altri ruoli predefiniti.

Uno o più dei ruoli richiesti includono l'autorizzazione dataform.repositories.list. Gli utenti a cui è stata concessa l'autorizzazione dataform.repositories.list o il ruolo Creator di codice (roles/dataform.codeCreator) in un progetto possono elencare i nomi degli asset di codice nel progetto utilizzando l'API Dataform o l'interfaccia a riga di comando (CLI) Dataform. Gli utenti non amministratori che utilizzano BigQuery Studio possono vedere solo le risorse di codice che hanno creato o che sono state condivise con loro.

Per ulteriori informazioni sulle autorizzazioni dei Controlli di servizio VPC, consulta Controllo dell'accesso con IAM.

Crea un perimetro di servizio

Crea un perimetro di servizio utilizzando i Controlli di servizio VPC. Questo perimetro di servizio protegge le risorse gestite da Google dei servizi che specifichi. Durante la creazione del perimetro di servizio:
1. Quando è il momento di aggiungere progetti al perimetro di servizio, aggiungi il progetto che contiene i tuoi notebook Colab Enterprise o crea notebook in questo progetto.
2. Quando è il momento di aggiungere servizi al perimetro di servizio, aggiungi quanto segue:
  - API Vertex AI (aiplatform.googleapis.com)
  - API Dataform (dataform.googleapis.com)
  Nota: se utilizzi altri servizi, aggiungili. Ad esempio, potresti utilizzare BigQuery (bigquery.googleapis.com), Cloud Storage (storage.googleapis.com), Dataproc (dataproc.googleapis.com) o altri servizi.
Se hai creato il perimetro di servizio senza aggiungere i progetti e i servizi di cui hai bisogno, consulta Gestire i perimetri di servizio per scoprire come aggiornarlo.

Fornire l'accesso all'interfaccia utente di Colab Enterprise

Poiché l'interfaccia utente di Colab Enterprise (colab-embedded.cloud.google.com) è accessibile solo tramite internet, viene considerata al di fuori dei perimetri di servizio. Quando applichi un perimetro di servizio, l'interfaccia della console Google Cloud per i servizi protetti potrebbe divenire parzialmente o completamente inaccessibile. Ad esempio, se proteggi Colab Enterprise con il perimetro, l'interfaccia di Colab Enterprise nella console Google Cloud diventa inaccessibile.

Per consentire l'accesso dalla console Google Cloud alle risorse protette da un perimetro, devi creare un livello di accesso per un intervallo di IP pubblici che includa le macchine degli utenti che vogliono utilizzare la console Google Cloud con le API protette. Ad esempio, puoi aggiungere l'intervallo IP pubblico del gateway NAT della tua rete privata a un livello di accesso e poi assegnare questo livello di accesso al perimetro di servizio.

Se vuoi limitare l'accesso alla console Google Cloud al perimetro solo a un insieme specifico di utenti, puoi anche aggiungerli a un livello di accesso. In questo caso, solo gli utenti specificati potranno accedere alla console Google Cloud.

Configura i servizi accessibili da VPC (facoltativo)

Quando attivi i servizi accessibili tramite VPC per un perimetro, l'accesso dagli endpoint di rete all'interno del perimetro è limitato a un insieme di servizi specificati.

Per scoprire di più su come limitare l'accesso all'interno del perimetro solo a un insieme specifico di servizi, consulta la sezione relativa ai servizi accessibili tramite VPC.

Utilizzare l'accesso privato Google con la rete VPC (facoltativo)

L'accesso privato Google offre connettività privata agli host di una rete VPC o di una rete on-premise che utilizza indirizzi IP privati per accedere ad API e servizi Google Cloud . Puoi estendere un perimetro di servizio VPC Service Controls agli host di queste reti per controllare l'accesso alle risorse protette. Gli host in una rete VPC devono avere solo un indirizzo IP privato (nessun indirizzo IP pubblico) e trovarsi in una subnet con l'accesso privato Google abilitato. Per ulteriori informazioni, consulta la connettività privata dalle reti on-premise.

Per assicurarti di poter utilizzare Private Google Access con la tua rete VPC, devi configurare alcuni record DNS.

Configurare le voci DNS utilizzando Cloud DNS

I runtime di Colab Enterprise utilizzano diversi domini che una rete VPC non gestisce per impostazione predefinita. Per assicurarti che la rete VPC gestisca correttamente le richieste inviate a questi domini, utilizza Cloud DNS per aggiungere record DNS. Per maggiori informazioni sulle route VPC, consulta Route.

Questa sezione mostra come creare una zona gestita per un dominio, aggiungere una voce DNS che indirizzi la richiesta ed eseguire la transazione. Ripeti questi passaggi per ciascuno dei diversi domini per i quali devi gestire le richieste, iniziando con *.aiplatform.googleapis.com.

In Cloud Shell o in qualsiasi ambiente in cui è installato Google Cloud CLI, inserisci i seguenti comandi gcloud CLI.

Per creare una zona gestita privata per uno dei domini che la tua rete VPC deve gestire:
```
    gcloud dns managed-zones create ZONE_NAME \
        --visibility=private \
        --networks=https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME \
        --dns-name=DNS_NAME. \
        --description="Description of your managed zone"
    
```
Sostituisci quanto segue:
- ZONE_NAME: un nome per la zona da creare. Devi utilizzare una zona separata per ogni dominio. Questo nome zona viene utilizzato in ciascuno dei passaggi che seguono.
- PROJECT_ID: l'ID del progetto che ospita la rete VPC.
- NETWORK_NAME: il nome della rete VPC creata in precedenza.
- DNS_NAME: la parte del nome di dominio che segue *.. Ad esempio, *.aiplatform.googleapis.com ha un nome DNS di aiplatform.googleapis.com.

Avvia una transazione.

    gcloud dns record-sets transaction start --zone=ZONE_NAME

Aggiungi il seguente record A DNS. Il traffico viene reindirizzato agli indirizzi IP soggetti a limitazioni di Google.

    gcloud dns record-sets transaction add \
        --name=DNS_NAME. \
        --type=A 199.36.153.4 199.36.153.5 199.36.153.6 199.36.153.7 \
        --zone=ZONE_NAME \
        --ttl=300

Aggiungi il seguente record CNAME DNS in modo che punti al record A che hai appena aggiunto. In questo modo, tutto il traffico corrispondente al dominio viene reindirizzato agli indirizzi IP elencati nel passaggio precedente.
```
    gcloud dns record-sets transaction add \
        --name=\*.DNS_NAME. \
        --type=CNAME DNS_NAME. \
        --zone=ZONE_NAME \
        --ttl=300
    
```

Esegui la transazione.

    gcloud dns record-sets transaction execute --zone=ZONE_NAME

Ripeti questi passaggi per ciascuno dei seguenti domini. Per ogni ripetizione, sostituisci ZONE_NAME e DNS_NAME con i valori appropriati per quel dominio. Mantieni PROJECT_ID e NETWORK_NAME sempre uguali. Hai già completato questi passaggi per *.aiplatform.googleapis.com.
- *.aiplatform.googleapis.com
- *.aiplatform-notebook.googleusercontent.com
- *.aiplatform-notebook.cloud.google.com

Per scoprire di più sulla configurazione della connettività privata, consulta Configurare la connettività privata alle API e ai servizi Google.

Consentire l'accesso sensibile al contesto dall'esterno di un perimetro di servizio utilizzando le regole per il traffico in entrata

Puoi consentire l'accesso sensibile al contesto alle risorse limitate da un perimetro in base agli attributi del client. Puoi specificare gli attributi del client, ad esempio il tipo di identità (account di servizio o utente), l'identità, i dati del dispositivo e l'origine della rete (indirizzo IP o rete VPC).

Ad esempio, puoi configurare regole di ingresso per consentire l'accesso a internet alle risorse all'interno di un perimetro in base all'intervallo di indirizzi IPv4 e IPv6. Per ulteriori informazioni sull'utilizzo delle regole per il traffico in entrata per configurare l'accesso sensibile al contesto, consulta Accesso sensibile al contesto.

Configurare lo scambio di dati protetto utilizzando le regole per il traffico in entrata e in uscita

Puoi includere il tuo progetto in un solo perimetro di servizio. Se vuoi consentire la comunicazione oltre il confine del perimetro, configura le regole per il traffico in entrata e in uscita. Ad esempio, puoi specificare regole di ingresso e uscita per consentire ai progetti di più perimetri di condividere i log in un perimetro separato. Per scoprire di più sui casi d'uso dell'scambio sicuro di dati, consulta la pagina dedicata.

Passaggi successivi

Scopri di più su VPC Service Controls.
Scopri di più sui runtime di Colab Enterprise.