Configura un proyecto para Vertex AI

En esta página, se incluyen las tareas que debes completar en el dispositivo aislado de Google Distributed Cloud (GDC) para que tu proyecto esté listo para ejecutar los servicios de Vertex AI. En la página, también se proporcionan instrucciones para configurar la CLI de gdcloud en tu entorno de desarrollo. Completa los siguientes pasos en el proyecto en el que deseas implementar Vertex AI para tus aplicaciones de aprendizaje automático (AA) y de inteligencia artificial (IA).

Si no tienes los permisos necesarios, pídele a tu administrador que configure el proyecto en tu nombre.

Pídele a un administrador que configure un proyecto para ti

La mayoría de las tareas para configurar un proyecto requieren acceso de administrador. Un administrador debe seguir estos pasos para configurar un proyecto en el que puedas ejecutar servicios de Vertex AI en el espacio de nombres del proyecto:

  1. Configura el dispositivo con la información del sistema de nombres de dominio (DNS).
  2. Determina el nombre del proyecto y el ID del proyecto para identificarlo.
  3. Configura un proyecto siguiendo las instrucciones de este documento.

Antes de comenzar

Para obtener los permisos que necesitas para crear un proyecto y configurar cuentas de servicio, pídele a tu administrador de IAM de la organización o administrador de IAM del proyecto que te otorgue los siguientes roles en el espacio de nombres de tu proyecto:

  • Para crear un proyecto, obtén el rol de Creador de proyectos (project-creator).
  • Para crear cuentas de servicio, obtén el rol de administrador de IAM del proyecto (project-iam-admin).

Para obtener información sobre estos roles, consulta Cómo preparar permisos de IAM. Para obtener información sobre cómo otorgar permisos a un sujeto, consulta Otorga y revoca el acceso.

Luego, crea un proyecto para agrupar tus servicios de Vertex AI.

Instala la CLI de gcloud

Para activar los servicios del dispositivo aislado de GDC y obtener acceso a herramientas y componentes, instala la CLI de gdcloud.

Sigue estos pasos para instalar la CLI de gdcloud y administrar los componentes necesarios:

  1. Descarga la CLI de gcloud.

  2. Inicializa la CLI de gcloud:

    gdcloud init

    Para obtener más información, consulta Instala la CLI de gdcloud.

  3. Instala los componentes necesarios:

    gdcloud components install COMPONENT_ID

    Reemplaza COMPONENT_ID por el nombre del componente que deseas instalar.

    Para obtener más información, consulta Administra los componentes de la CLI de gcloud.

  4. Autentica con la CLI de gdcloud:

    gdcloud auth login

    Para obtener más información sobre cómo autenticarte con tu proveedor de identidad configurado y obtener un archivo kubeconfig para tu identidad de usuario y clúster de Kubernetes, consulta la autenticación de gdcloud CLI.

Configura cuentas de servicio

Las cuentas de servicio, también conocidas como identidades de servicio, desempeñan un papel fundamental en la administración de tus servicios de Vertex AI. Son las cuentas que tus cargas de trabajo usan para acceder a los servicios de Vertex AI y realizar llamadas autorizadas a la API de forma programática. Al igual que las cuentas de usuario, a las cuentas de servicio se les pueden otorgar permisos y roles, lo que proporciona un entorno seguro y controlado, pero no pueden acceder como un usuario humano.

Puedes configurar cuentas de servicio para los servicios de Vertex AI. Para ello, especifica el nombre de tu cuenta de servicio, el ID de tu proyecto y el nombre de un archivo JSON para los pares de claves.

Para obtener más información sobre cómo crear una cuenta de servicio, asignarle vinculaciones de roles y crear y agregar pares de claves, consulta Realiza la autenticación con cuentas de servicio en proyectos.

Sigue estos pasos para configurar cuentas de servicio con la CLI de gdcloud:

  1. Crear una cuenta de servicio:

    gdcloud iam service-accounts create SERVICE_ACCOUNT --project=PROJECT_ID

    Reemplaza lo siguiente:

    • SERVICE_ACCOUNT: Es el nombre de la cuenta de servicio. El nombre debe ser único dentro del espacio de nombres del proyecto.
    • PROJECT_ID: Es el ID del proyecto en el que deseas crear la cuenta de servicio. Si gdcloud init ya está configurado, puedes omitir la marca --project.

  2. Crea el archivo JSON de credenciales predeterminadas de la aplicación y los pares de claves públicas y privadas:

    gdcloud iam service-accounts keys create APPLICATION_DEFAULT_CREDENTIALS_FILENAME \
    --project=PROJECT_ID \
    --iam-account=SERVICE_ACCOUNT \
    --ca-cert-path=CA_CERTIFICATE_PATH

    Reemplaza lo siguiente:

    • APPLICATION_DEFAULT_CREDENTIALS_FILENAME: El nombre del archivo JSON, como my-service-key.json.
    • PROJECT_ID: Es el proyecto para el que se creará la clave.
    • SERVICE_ACCOUNT: Es el nombre de la cuenta de servicio para la que se agregará la clave.
    • CA_CERTIFICATE_PATH: Es una marca opcional para la ruta de acceso al certificado de la autoridad certificada (CA) que verifica el extremo de autenticación. Si no especificas esta ruta, se usarán los certificados de CA del sistema. Debes instalar la CA en los certificados de CA del sistema.

    El dispositivo aislado de GDC agrega la clave pública a las claves de la cuenta de servicio que usas para verificar los tokens web JSON (JWT) que firma la clave privada. La clave privada se escribe en el archivo JSON de las credenciales predeterminadas de la aplicación.

  3. Otorga a la cuenta de servicio acceso a los recursos del proyecto asignando una vinculación de rol. El nombre del rol depende del servicio de Vertex AI para el que deseas usar la cuenta de servicio.

    gdcloud iam service-accounts add-iam-policy-binding \
    --project=PROJECT_ID \
    --iam-account=SERVICE_ACCOUNT \
    --role=ROLE

    Reemplaza lo siguiente:

    • PROJECT_ID: Es el proyecto en el que se creará la vinculación del rol.
    • SERVICE_ACCOUNT: Es el nombre de la cuenta de servicio que se usará.

    • ROLE: Es el rol predefinido que se asignará a la cuenta de servicio. Especifica los roles en el formato Role/name, en el que Role es el tipo de Kubernetes, como Role o ProjectRole, y name es el nombre del rol predefinido. Por ejemplo, los siguientes son roles que puedes asignar a las cuentas de servicio para usar las APIs de Vertex AI previamente entrenadas:

      • Para asignar el rol de desarrollador de OCR con IA (ai-ocr-developer), establece el rol en Role/ai-ocr-developer.
      • Para asignar el rol de desarrollador de AI Speech (ai-speech-developer), establece el rol en Role/ai-speech-developer.
      • Para asignar el rol de desarrollador de AI Translation (ai-translation-developer), configúralo como Role/ai-translation-developer.