Esta página se ha traducido con Cloud Translation API.

Usar Controles de Servicio de VPC

En esta página se describe cómo usar Controles de Servicio de VPC para configurar un cuaderno de Colab Enterprise dentro de un perímetro de servicio.

Información general

Controles de Servicio de VPC es una Google Cloud función que te permite configurar un perímetro que ayuda a protegerte frente a la filtración de datos.

Controles de Servicio de VPC proporciona una capa de defensa adicional para los servicios deGoogle Cloud , que es independiente de la protección que ofrece Gestión de Identidades y Accesos (IAM).

Cuando usas Colab Enterprise dentro de un perímetro de servicio, los tiempos de ejecución están sujetos al perímetro de servicio. Por lo tanto, para ejecutar código de cuaderno que interactúe con otras APIs y servicios de Google, debes añadir esos servicios al perímetro de servicio.

Para obtener más información sobre Controles de Servicio de VPC, consulta la descripción general de Controles de Servicio de VPC.

Limitaciones conocidas

Colab Enterprise usa Dataform para almacenar cuadernos.

Para obtener más información sobre cómo usar Controles de Servicio de VPC con Dataform, consulta Configurar Controles de Servicio de VPC para Dataform.
Solo se puede acceder a la interfaz de usuario de Colab Enterprise desde la consola de Google Cloud . Para obtener información sobre las limitaciones de Controles de Servicio de VPC en la consola deGoogle Cloud , consulte las limitaciones de la consola deGoogle Cloud .
Si tu perímetro de servicio necesita acceder a los servicios de Vertex AI, consulta las limitaciones de Controles de Servicio de VPC con Colab Enterprise.

Roles obligatorios

Para obtener los permisos que necesitas para usar Controles de Servicio de VPC con Colab Enterprise, pide a tu administrador que te conceda los siguientes roles de gestión de identidades y accesos en el proyecto:

Editor del Administrador de contextos de acceso (roles/accesscontextmanager.policyEditor)
Usuario de Colab Enterprise (roles/aiplatform.colabEnterpriseUser)

Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.

También puedes conseguir los permisos necesarios a través de roles personalizados u otros roles predefinidos.

Uno o varios de los roles obligatorios incluyen el permiso dataform.repositories.list. Los usuarios a los que se les haya concedido el permiso dataform.repositories.list o el rol Creador de código (roles/dataform.codeCreator) en un proyecto pueden enumerar los nombres de los recursos de código de ese proyecto mediante la API de Dataform o la interfaz de línea de comandos (CLI) de Dataform. Los usuarios que no sean administradores y usen BigQuery Studio solo podrán ver los recursos de código que hayan creado o que se hayan compartido con ellos.

Para obtener más información sobre los permisos de Controles de Servicio de VPC, consulta el artículo sobre el control de acceso con gestión de identidades y accesos.

Crear un perímetro de servicio

Crea un perímetro de servicio con Controles de Servicio de VPC. Este perímetro de servicio protege los recursos gestionados por Google de los servicios que especifiques. Mientras creas el perímetro de servicio, haz lo siguiente:
1. Cuando sea el momento de añadir proyectos a tu perímetro de servicio, añade el proyecto que contenga tus cuadernos de Colab Enterprise o crea cuadernos en este proyecto.
2. Cuando sea el momento de añadir servicios a tu perímetro de servicio, añade lo siguiente:
  - API Vertex AI (aiplatform.googleapis.com)
  - API Dataform (dataform.googleapis.com)
  Nota: Si utilizas otros servicios, añádelos. Por ejemplo, puede usar BigQuery (bigquery.googleapis.com), Cloud Storage (storage.googleapis.com), Dataproc (dataproc.googleapis.com) u otros servicios.
Si has creado tu perímetro de servicio sin añadir los proyectos y servicios que necesitas, consulta Gestionar perímetros de servicio para saber cómo actualizarlo.

Proporcionar acceso a la interfaz de usuario de Colab Enterprise

Como solo se puede acceder a la interfaz de usuario de Colab Enterprise (colab-embedded.cloud.google.com) a través de Internet, se considera que está fuera de los perímetros de servicio. Cuando aplicas un perímetro de servicio, es posible que la interfaz de la consola de los servicios que has protegido deje de estar accesible parcial o totalmente. Google Cloud Por ejemplo, si proteges Colab Enterprise con el perímetro, no se podrá acceder a la interfaz de Colab Enterprise en la consola Google Cloud .

Para permitir el acceso desde la consola Google Cloud a los recursos protegidos por un perímetro, debes crear un nivel de acceso para un intervalo de IPs públicas que incluya los equipos de los usuarios que quieran usar la consola Google Cloud con APIs protegidas. Por ejemplo, puedes añadir el intervalo de IPs públicas de la puerta de enlace NAT de tu red privada a un nivel de acceso y, a continuación, asignar ese nivel de acceso al perímetro de servicio.

Si quieres limitar el acceso a la consola al perímetro a un conjunto específico de usuarios, también puedes añadirlos a un nivel de acceso. Google Cloud En ese caso, solo los usuarios especificados podrían acceder a la consolaGoogle Cloud .

Configurar servicios accesibles de VPC (opcional)

Cuando habilitas los servicios accesibles de VPC en un perímetro, el acceso desde los endpoints de red que se encuentran dentro del perímetro se limita a un conjunto de servicios que especifiques.

Para obtener más información sobre cómo limitar el acceso dentro de tu perímetro a un conjunto específico de servicios, consulta el artículo sobre servicios accesibles de VPC.

Usar Acceso privado de Google con tu red de VPC (opcional)

El acceso privado de Google ofrece conectividad privada a los hosts de una red de VPC o de una red on-premise que utiliza direcciones IP privadas para acceder a las APIs y los servicios de Google Cloud . Puedes ampliar un perímetro de servicio de Controles de Servicio de VPC a los hosts de esas redes para controlar el acceso a los recursos protegidos. Los hosts de una red de VPC deben tener solo una dirección IP privada (no una dirección IP pública) y estar en una subred con la función Acceso privado de Google habilitada. Para obtener más información, consulta Conectividad privada desde redes locales.

Para asegurarte de que puedes usar el acceso privado a Google con tu red de VPC, debes configurar algunos registros DNS.

Configurar las entradas DNS con Cloud DNS

Los tiempos de ejecución de Colab Enterprise usan varios dominios que una red VPC no gestiona de forma predeterminada. Para asegurarte de que tu red VPC gestiona correctamente las solicitudes enviadas a esos dominios, usa Cloud DNS para añadir registros DNS. Para obtener más información sobre las rutas de VPC, consulta Rutas.

En esta sección se muestra cómo crear una zona gestionada para un dominio, añadir una entrada DNS que enrute la solicitud y ejecutar la transacción. Repite estos pasos con cada uno de los varios dominios para los que tengas que gestionar solicitudes, empezando por *.aiplatform.googleapis.com.

En Cloud Shell o en cualquier entorno en el que esté instalada Google Cloud CLI, introduce los siguientes comandos de gcloud CLI.

Para crear una zona gestionada privada para uno de los dominios que debe gestionar tu red de VPC, sigue estos pasos:
```
    gcloud dns managed-zones create ZONE_NAME \
        --visibility=private \
        --networks=https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME \
        --dns-name=DNS_NAME. \
        --description="Description of your managed zone"
    
```
Haz los cambios siguientes:
- ZONE_NAME: nombre de la zona que se va a crear. Debe usar una zona independiente para cada dominio. Este nombre de zona se usa en cada uno de los pasos siguientes.
- PROJECT_ID: ID del proyecto que aloja tu red de VPC.
- NETWORK_NAME: el nombre de la red VPC que has creado anteriormente.
- DNS_NAME: la parte del nombre de dominio que va después del *.. Por ejemplo, el nombre de DNS de *.aiplatform.googleapis.com es aiplatform.googleapis.com.

Inicia una transacción.

    gcloud dns record-sets transaction start --zone=ZONE_NAME

Añade el siguiente registro A de DNS. De esta forma, se redirige el tráfico a las direcciones IP restringidas de Google.

    gcloud dns record-sets transaction add \
        --name=DNS_NAME. \
        --type=A 199.36.153.4 199.36.153.5 199.36.153.6 199.36.153.7 \
        --zone=ZONE_NAME \
        --ttl=300

Añade el siguiente registro CNAME de DNS para que apunte al registro A que acabas de añadir. De esta forma, se redirige todo el tráfico que coincida con el dominio a las direcciones IP que se indican en el paso anterior.
```
    gcloud dns record-sets transaction add \
        --name=\*.DNS_NAME. \
        --type=CNAME DNS_NAME. \
        --zone=ZONE_NAME \
        --ttl=300
    
```

Ejecuta la transacción.

    gcloud dns record-sets transaction execute --zone=ZONE_NAME

Repite estos pasos con cada uno de los siguientes dominios. En cada repetición, cambia ZONE_NAME y DNS_NAME por los valores correspondientes a ese dominio. Mantén PROJECT_ID y NETWORK_NAME iguales cada vez. Ya has completado estos pasos para *.aiplatform.googleapis.com.
- *.aiplatform.googleapis.com
- *.aiplatform-notebook.googleusercontent.com
- *.aiplatform-notebook.cloud.google.com

Para obtener más información sobre cómo configurar la conectividad privada, consulta el artículo Configurar la conectividad privada en servicios y APIs de Google.

Permitir el acceso contextual desde fuera de un perímetro de servicio mediante reglas de entrada

Puedes permitir el acceso contextual a los recursos restringidos por un perímetro en función de los atributos del cliente. Puedes especificar atributos de cliente, como el tipo de identidad (cuenta de servicio o usuario), la identidad, los datos del dispositivo y el origen de la red (dirección IP o red VPC).

Por ejemplo, puede configurar reglas de entrada para permitir el acceso a Internet a los recursos de un perímetro en función del intervalo de direcciones IPv4 e IPv6. Para obtener más información sobre cómo usar reglas de entrada para configurar el acceso contextual, consulta el artículo Acceso contextual.

Configurar el intercambio de datos seguro con reglas de entrada y salida

Solo puedes incluir tu proyecto en un perímetro de servicio. Si quieres permitir la comunicación a través del límite del perímetro, configura reglas de entrada y de salida. Por ejemplo, puede especificar reglas de entrada y salida para permitir que los proyectos de varios perímetros compartan registros en un perímetro independiente. Para obtener más información sobre los casos prácticos del intercambio de datos seguro, consulta el artículo sobre el intercambio de datos seguro.

Siguientes pasos

Consulta más información sobre Controles de Servicio de VPC.
Consulta más información sobre los entornos de ejecución de Colab Enterprise.