Questa pagina è stata tradotta dall'API Cloud Translation.

Utilizzare i Controlli di servizio VPC

Questa pagina descrive come utilizzare i Controlli di servizio VPC per configurare un notebook Colab Enterprise all'interno di un perimetro di servizio.

Panoramica

I Controlli di servizio VPC sono una Google Cloud funzionalità che ti consente di configurare un perimetro che aiuta a proteggerti dall'esfiltrazione di dati.

I Controlli di servizio VPC forniscono un livello di difesa aggiuntivo per i serviziGoogle Cloud indipendente dalla protezione fornita da Identity and Access Management (IAM).

Quando utilizzi Colab Enterprise all'interno di un perimetro di servizio, i runtime sono soggetti al perimetro di servizio. Pertanto, per eseguire il codice del blocco note che interagisce con altri servizi e API Google, devi aggiungere questi servizi al perimetro di servizio.

Per ulteriori informazioni sui Controlli di servizio VPC, consulta la sezione Panoramica dei Controlli di servizio VPC.

Limitazioni note

Colab Enterprise utilizza Dataform per archiviare i notebook.

Per scoprire di più sull'utilizzo dei Controlli di servizio VPC con Dataform, consulta Configurare i Controlli di servizio VPC per Dataform.
L'interfaccia utente di Colab Enterprise è accessibile solo dalla console Google Cloud . Per informazioni sulle limitazioni dei Controlli di servizio VPC per la consoleGoogle Cloud , consulta la sezione Limitazioni della console Google Cloud .
Se il tuo perimetro di servizio deve accedere ai servizi Vertex AI, consulta Limitazioni di Controlli di servizio VPC con Colab Enterprise.

Ruoli obbligatori

Per ottenere le autorizzazioni necessarie per utilizzare i controlli di servizio VPC con Colab Enterprise, chiedi all'amministratore di concederti i seguenti ruoli IAM sul progetto:

Editor Gestore contesto accesso (roles/accesscontextmanager.policyEditor)
Utente Colab Enterprise (roles/aiplatform.colabEnterpriseUser)

Per ulteriori informazioni sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

Uno o più dei ruoli richiesti includono l'autorizzazione dataform.repositories.list. Gli utenti a cui è stata concessa l'autorizzazione dataform.repositories.list o il ruolo Creatore di codice (roles/dataform.codeCreator) in un progetto possono elencare i nomi degli asset di codice in quel progetto utilizzando l'API Dataform o l'interfaccia a riga di comando (CLI) Dataform. Gli utenti non amministratori che utilizzano BigQuery Studio possono visualizzare solo gli asset di codice che hanno creato o che sono stati condivisi con loro.

Per maggiori informazioni sulle autorizzazioni dei Controlli di servizio VPC, consulta Controllo dell'accesso con IAM.

Crea un perimetro di servizio

Crea un perimetro di servizio utilizzando i Controlli di servizio VPC. Questo perimetro di servizio protegge le risorse gestite da Google dei servizi che specifichi. Durante la creazione del perimetro di servizio:
1. Quando è il momento di aggiungere progetti al perimetro di servizio, aggiungi il progetto che contiene i notebook Colab Enterprise o crea notebook in questo progetto.
2. Quando è il momento di aggiungere servizi al perimetro di servizio, aggiungi quanto segue:
  - API Vertex AI (aiplatform.googleapis.com)
  - API Dataform (dataform.googleapis.com)
  Nota: se utilizzi altri servizi, aggiungili. Ad esempio, potresti voler utilizzare BigQuery (bigquery.googleapis.com), Cloud Storage (storage.googleapis.com), Dataproc (dataproc.googleapis.com) o altri servizi.
Se hai creato il perimetro di servizio senza aggiungere i progetti e i servizi di cui hai bisogno, consulta l'articolo Gestire i perimetri di servizio per scoprire come aggiornarlo.

Fornire l'accesso alla UI di Colab Enterprise

Poiché l'interfaccia utente di Colab Enterprise (colab-embedded.cloud.google.com) è accessibile solo tramite internet, l'interfaccia utente di Colab Enterprise viene trattata come al di fuori dei perimetri di servizio. Quando applichi un perimetro di servizio, l'interfaccia della console Google Cloud per i servizi che hai protetto potrebbe diventare parzialmente o completamente inaccessibile. Ad esempio, se proteggi Colab Enterprise con il perimetro, l'interfaccia Colab Enterprise nella console Google Cloud diventa inaccessibile.

Per consentire l'accesso dalla console Google Cloud alle risorse protette da un perimetro, devi creare un livello di accesso per un intervallo IP pubblico che includa i computer degli utenti che vogliono utilizzare la console Google Cloud con le API protette. Ad esempio, puoi aggiungere l'intervallo IP pubblico del gateway NAT della tua rete privata a un livello di accesso e poi assegnare questo livello di accesso al perimetro di servizio.

Se vuoi limitare l'accesso alla console Google Cloud al perimetro solo a un insieme specifico di utenti, puoi anche aggiungerli a un livello di accesso. In questo caso, solo gli utenti specificati potranno accedere alla console Google Cloud .

Configura i servizi accessibili da VPC (facoltativo)

Quando abiliti i servizi accessibili al VPC per un perimetro, l'accesso dagli endpoint di rete all'interno del perimetro è limitato a un insieme di servizi che specifichi.

Per scoprire di più su come limitare l'accesso all'interno del perimetro a un solo insieme specifico di servizi, leggi l'articolo Servizi accessibili da VPC.

Utilizza l'accesso privato Google con la tua rete VPC (facoltativo)

L'accesso privato Google offre connettività privata agli host in una rete VPC o in una rete on-premise che utilizza indirizzi IP privati per accedere ad API e servizi. Google Cloud Puoi estendere un perimetro di servizio Controlli di servizio VPC agli host di queste reti per controllare l'accesso alle risorse protette. Gli host in una rete VPC devono avere solo un indirizzo IP privato (nessun indirizzo IP pubblico) e trovarsi in una subnet con l'accesso privato Google abilitato. Per maggiori informazioni, consulta Connettività privata dalle reti on-premise.

Per assicurarti di poter utilizzare l'accesso privato Google con la tua rete VPC, devi configurare alcuni record DNS.

Configurare le voci DNS utilizzando Cloud DNS

I runtime di Colab Enterprise utilizzano diversi domini che una rete VPC non gestisce per impostazione predefinita. Per assicurarti che la tua rete VPC gestisca correttamente le richieste inviate a questi domini, utilizza Cloud DNS per aggiungere record DNS. Per ulteriori informazioni sulle route VPC, consulta Route.

Questa sezione mostra come creare una zona gestita per un dominio, aggiungere una voce DNS che indirizzerà la richiesta ed eseguire la transazione. Ripeti questi passaggi per ciascuno dei diversi domini per cui devi gestire le richieste, a partire da *.aiplatform.googleapis.com.

In Cloud Shell o in qualsiasi ambiente in cui è installata Google Cloud CLI, inserisci i seguenti comandi gcloud CLI.

Per creare una zona gestita privata per uno dei domini che la tua rete VPC deve gestire:
```
    gcloud dns managed-zones create ZONE_NAME \
        --visibility=private \
        --networks=https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME \
        --dns-name=DNS_NAME. \
        --description="Description of your managed zone"
    
```
Sostituisci quanto segue:
- ZONE_NAME: un nome per la zona da creare. Devi utilizzare una zona separata per ogni dominio. Questo nome zona viene utilizzato in ognuno dei passaggi seguenti.
- PROJECT_ID: l'ID del progetto che ospita la tua rete VPC.
- NETWORK_NAME: il nome della rete VPC creata in precedenza.
- DNS_NAME: la parte del nome di dominio che segue *.. Ad esempio, *.aiplatform.googleapis.com ha un nome DNS aiplatform.googleapis.com.

Avvia una transazione.

    gcloud dns record-sets transaction start --zone=ZONE_NAME

Aggiungi il seguente record A DNS. In questo modo, il traffico viene reindirizzato agli indirizzi IP con limitazioni di Google.

    gcloud dns record-sets transaction add \
        --name=DNS_NAME. \
        --type=A 199.36.153.4 199.36.153.5 199.36.153.6 199.36.153.7 \
        --zone=ZONE_NAME \
        --ttl=300

Aggiungi il seguente record CNAME DNS in modo che punti al record A che hai appena aggiunto. In questo modo, tutto il traffico corrispondente al dominio viene reindirizzato agli indirizzi IP elencati nel passaggio precedente.
```
    gcloud dns record-sets transaction add \
        --name=\*.DNS_NAME. \
        --type=CNAME DNS_NAME. \
        --zone=ZONE_NAME \
        --ttl=300
    
```

Esegui la transazione.

    gcloud dns record-sets transaction execute --zone=ZONE_NAME

Ripeti questi passaggi per ciascuno dei seguenti domini. Per ogni ripetizione, modifica ZONE_NAME e DNS_NAME con i valori appropriati per quel dominio. Mantieni PROJECT_ID e NETWORK_NAME sempre uguali. Hai già completato questi passaggi per *.aiplatform.googleapis.com.
- *.aiplatform.googleapis.com
- *.aiplatform-notebook.googleusercontent.com
- *.aiplatform-notebook.cloud.google.com

Per saperne di più sulla configurazione della connettività privata, leggi Configurare la connettività privata alle API e ai servizi Google.

Consentire l'accesso sensibile al contesto dall'esterno di un perimetro di servizio utilizzando le regole di ingresso

Puoi consentire l'accesso sensibile al contesto alle risorse limitate da un perimetro in base agli attributi del client. Puoi specificare gli attributi del client, come il tipo di identità (account di servizio o utente), l'identità, i dati del dispositivo e l'origine della rete (indirizzo IP o rete VPC).

Ad esempio, puoi configurare regole di ingresso per consentire l'accesso a internet alle risorse all'interno di un perimetro in base all'intervallo di indirizzi IPv4 e IPv6. Per ulteriori informazioni sull'utilizzo delle regole di ingresso per configurare l'accesso sensibile al contesto, vedi Accesso sensibile al contesto.

Configurare lo scambio di dati sicuro utilizzando le regole per il traffico in entrata e in uscita

Puoi includere il tuo progetto in un solo perimetro di servizio. Se vuoi consentire la comunicazione oltre il confine del perimetro, configura le regole per il traffico in entrata e in uscita. Ad esempio, puoi specificare regole di ingresso e uscita per consentire ai progetti di più perimetri di condividere i log in un perimetro separato. Per scoprire di più sui casi d'uso dello scambio sicuro di dati, leggi Scambio sicuro di dati.

Passaggi successivi

Scopri di più sui Controlli di servizio VPC.
Scopri di più sui runtime di Colab Enterprise.