VPC Service Controls verwenden
Auf dieser Seite wird beschrieben, wie Sie mithilfe von VPC Service Controls ein Colab Enterprise-Notebook innerhalb eines Dienstperimeters einrichten.
Übersicht
VPC Service Controls ist ein Google Cloud Feature, mit dem Sie einen Perimeter einrichten können, der vor Daten-Exfiltration schützt.
VPC Service Controls bietet eine zusätzliche Verteidigungsebene fürGoogle Cloud -Dienste, die unabhängig vom Schutz durch die Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM) ist.
Wenn Sie Colab Enterprise innerhalb eines Dienstperimeters verwenden, unterliegen die Laufzeiten dem Dienstperimeter. Wenn Sie also Notebook-Code ausführen möchten, der mit anderen Google APIs und Diensten interagiert, müssen Sie diese Dienste dem Dienstperimeter hinzufügen.
Weitere Informationen finden Sie unter VPC Service Controls.
Bekannte Einschränkungen
In Colab Enterprise werden Notebooks in Dataform gespeichert.
Weitere Informationen zur Verwendung von VPC Service Controls mit Dataform finden Sie unter VPC Service Controls für Dataform konfigurieren.
Auf die Colab Enterprise-Benutzeroberfläche kann nur über die Google Cloud Console zugegriffen werden. Informationen zu den Einschränkungen von VPC Service Controls für die Google Cloud Console finden Sie unter Einschränkungen der Google Cloud Console.
Wenn Ihr Dienstperimeter Zugriff auf Vertex AI-Dienste benötigt, lesen Sie den Hilfeartikel Einschränkungen von VPC Service Controls mit Colab Enterprise.
Erforderliche Rollen
Damit Ihr Nutzerkonto die erforderlichen Berechtigungen zur Verwendung von VPC-Dienststeuerungen mit Colab Enterprise hat, bitten Sie Ihren Administrator, Ihrem Nutzerkonto die folgenden IAM-Rollen für das Projekt zuzuweisen:
-
Access Context Manager-Bearbeiter (
roles/accesscontextmanager.policyEditor
) -
Colab Enterprise-Nutzer (
roles/aiplatform.colabEnterpriseUser
)
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Ihr Administrator kann Ihrem Nutzerkonto möglicherweise auch die erforderlichen Berechtigungen über benutzerdefinierte Rollen oder andere vordefinierte Rollen erteilen.
Weitere Informationen zu Berechtigungen für VPC Service Controls finden Sie unter Zugriffssteuerung mit IAM.
Dienstperimeter erstellen
Erstellen Sie mit VPC Service Controls einen Dienstperimeter. Er schützt die von Google verwalteten Ressourcen der von Ihnen angegebenen Dienste. Gehen Sie beim Erstellen des Dienstperimeters so vor:
Wenn das Einfügen von Projekte in den Dienstperimeter ansteht, fügen Sie das Projekt ein, das Ihre Colab Enterprise-Notebooks enthält, oder erstellen Sie Notebooks in diesem Projekt.
Wenn Sie Dienste zum Dienstperimeter hinzufügen möchten, fügen Sie Folgendes hinzu:
- Vertex AI API (
aiplatform.googleapis.com
) - Dataform API (
dataform.googleapis.com
)
- Vertex AI API (
Wenn Sie Ihren Dienstperimeter erstellt haben, ohne die benötigten Projekte und Dienste hinzuzufügen, erfahren Sie unter Dienstperimeter verwalten, wie Sie Ihren Dienstperimeter aktualisieren.
Zugriff auf die Colab Enterprise-Benutzeroberfläche gewähren
Da auf die Colab Enterprise-Benutzeroberfläche (colab-embedded.cloud.google.com
) nur über das Internet zugegriffen werden kann, wird sie als außerhalb von Dienstperimetern angesehen. Wenn Sie einen Dienstperimeter anwenden, kann die Google Cloud Console-Oberfläche für die Dienste, die Sie schützen, teilweise oder vollständig unzugänglich werden. Wenn Sie beispielsweise Colab Enterprise mit dem Perimeter schützen, ist die Colab Enterprise-Oberfläche in der Google Cloud Console nicht mehr zugänglich.
Wenn Sie den Zugriff von der Google Cloud Console auf durch einen Perimeter geschützte Ressourcen ermöglichen möchten, müssen Sie eine Zugriffsebene für einen öffentlichen IP-Bereich erstellen, der die Maschinen von Nutzern umfasst, die die Google Cloud Console mit geschützten APIs verwenden möchten. Sie können beispielsweise den öffentlichen IP-Bereich des NAT-Gateways Ihres privaten Netzwerks einer Zugriffsebene hinzufügen und diese Zugriffsebene dann dem Dienstperimeter zuweisen.
Wenn Sie den Google Cloud Console-Zugriff auf den Perimeter auf nur eine bestimmte Nutzergruppe beschränken möchten, können Sie diese Nutzer auch einer Zugriffsebene hinzufügen. In diesem Fall hätten nur die angegebenen Nutzer Zugriff auf die Google Cloud Console.
Über VPC zugängliche Dienste einrichten (optional)
Wenn Sie über VPC zugängliche Dienste für einen Perimeter aktivieren, ist der Zugriff von Netzwerkendpunkten innerhalb des Perimeters auf eine Reihe von Diensten beschränkt, die Sie festlegen.
Weitere Informationen dazu, wie Sie den Zugriff innerhalb des Perimeters auf eine bestimmte Gruppe von Diensten beschränken, finden Sie unter Über VPC zugängliche Dienste.
Privaten Google-Zugriff mit Ihrem VPC-Netzwerk verwenden (optional)
Der private Google-Zugriff ermöglicht private Verbindungen zu Hosts, entweder in einem VPC-Netzwerk oder in einem lokalen Netzwerk, das private IP-Adressen für den Zugriff auf Google Cloud APIs und Dienste verwendet. Sie können einen Dienstperimeter von VPC Service Controls auf Hosts in diesen Netzwerken erweitern, um den Zugriff auf geschützte Ressourcen zu steuern. Hosts in einem VPC-Netzwerk dürfen lediglich eine private IP-Adresse (keine öffentliche IP-Adresse) haben und müssen sich in einem Subnetz befinden, in dem privater Google-Zugriff aktiviert ist. Weitere Informationen finden Sie unter Privater Google-Zugriff mit VPC Service Controls.
Damit Sie den privaten Google-Zugriff mit Ihrem VPC-Netzwerk verwenden können, müssen Sie einige DNS-Einträge konfigurieren.
DNS-Einträge mit Cloud DNS konfigurieren
Colab Enterprise-Laufzeiten verwenden mehrere Domains, die ein VPC-Netzwerk standardmäßig nicht verarbeitet. Verwenden Sie Cloud DNS, um DNS-Einträge hinzuzufügen, damit Ihr VPC-Netzwerk Anfragen korrekt verarbeitet, die an diese Domains gesendet werden. Weitere Informationen zu VPC-Routen finden Sie unter Routen.
In diesem Abschnitt erfahren Sie, wie Sie eine verwaltete Zone für eine Domain erstellen, einen DNS-Eintrag hinzufügen, der die Anfrage weiterleitet, und die Transaktion ausführen. Wiederholen Sie diese Schritte für jede einzelne Domain, für die Sie Anfragen bearbeiten müssen. Beginnen Sie mit *.aiplatform.googleapis.com
.
Geben Sie in Cloud Shell oder in einer Umgebung, in der die Google Cloud CLI installiert ist, die folgenden gcloud CLI-Befehle ein.
-
So erstellen Sie eine private verwaltete Zone für eine der Domains, die Ihr VPC-Netzwerk verwalten muss:
gcloud dns managed-zones create
ZONE_NAME \ --visibility=private \ --networks=https://www.googleapis.com/compute/v1/projects/PROJECT_ID /global/networks/NETWORK_NAME \ --dns-name=DNS_NAME . \ --description="Description of your managed zone"Ersetzen Sie Folgendes:
-
ZONE_NAME
: Ein Name für die zu erstellende Zone. Sie müssen für jede Domain eine separate Zone verwenden. Dieser Zonenname wird in den folgenden Schritten verwendet. -
PROJECT_ID
: Die ID des Projekts, in dem Ihr VPC-Netzwerk gehostet wird. -
NETWORK_NAME
: Der Name des VPC-Netzwerks, das Sie zuvor erstellt haben. -
DNS_NAME
: Der Teil des Domainnamens, der nach*.
steht. Beispiel:*.aiplatform.googleapis.com
hat den DNS-Namenaiplatform.googleapis.com
.
-
-
Starten Sie eine Transaktion.
gcloud dns record-sets transaction start --zone=
ZONE_NAME -
Fügen Sie den folgenden DNS-A-Eintrag hinzu. Dadurch wird der Traffic an die eingeschränkten IP-Adressen von Google umgeleitet.
gcloud dns record-sets transaction add \ --name=
DNS_NAME . \ --type=A 199.36.153.4 199.36.153.5 199.36.153.6 199.36.153.7 \ --zone=ZONE_NAME \ --ttl=300 -
Geben Sie den folgenden DNS-CNAME-Eintrag an, um auf den gerade hinzugefügten A-Eintrag zu verweisen. Dadurch wird der gesamte Traffic, der mit der Domain übereinstimmt, an die im vorherigen Schritt aufgeführten IP-Adressen umgeleitet.
gcloud dns record-sets transaction add \ --name=\*.
DNS_NAME . \ --type=CNAMEDNS_NAME . \ --zone=ZONE_NAME \ --ttl=300 -
Führen Sie die Transaktion aus.
gcloud dns record-sets transaction execute --zone=
ZONE_NAME -
Wiederholen Sie diese Schritte für jede der folgenden Domains. Ersetzen Sie für jede Wiederholung ZONE_NAME und DNS_NAME durch die entsprechenden Werte für diese Domain. Behalten Sie PROJECT_ID und NETWORK_NAME immer unverändert bei. Sie haben diese Schritte für
*.aiplatform.googleapis.com
bereits ausgeführt.*.aiplatform.googleapis.com
*.aiplatform-notebook.googleusercontent.com
*.aiplatform-notebook.cloud.google.com
Weitere Informationen zum Konfigurieren privater Verbindungen finden Sie unter Private Verbindung zu Google APIs und Google-Diensten einrichten.
Kontextsensitiven Zugriff von außerhalb eines Dienstperimeters durch Regeln für eingehenden Traffic zulassen
Sie können kontextsensitiven Zugriff auf Ressourcen zulassen, die durch einen Perimeter anhand von Clientattributen eingeschränkt sind. Sie können Clientattribute wie Identitätstyp (Dienstkonto oder Nutzer), Identität, Gerätedaten und Netzwerkherkunft (IP-Adresse oder VPC-Netzwerk) angeben.
Sie können beispielsweise Regeln für eingehenden Traffic einrichten, um den Zugriff auf Ressourcen innerhalb eines Perimeters basierend auf dem Bereich der IPv4- und IPv6-Adressen zuzulassen. Weitere Informationen zur Verwendung von Regeln für eingehenden Traffic zum Einrichten des kontextsensitiven Zugriffs finden Sie unter Kontextsensitiver Zugriff.
Sicherer Datenaustausch durch Regeln für eingehenden und ausgehenden Traffic konfigurieren
Sie können Ihr Projekt nur in einen Dienstperimeter einfügen. Wenn Sie die Kommunikation über die Perimetergrenze hinweg zulassen möchten, richten Sie Regeln für eingehenden und ausgehenden Traffic ein. Sie können beispielsweise Regeln für eingehenden und ausgehenden Traffic festlegen, damit Projekte aus mehreren Perimetern Logs in einem separaten Perimeter freigeben. Weitere Informationen zu sicheren Anwendungsfällen für den Datenaustausch finden Sie unter Sicherer Datenaustausch.