Configurer un projet pour Vertex AI

Cette page contient les tâches que vous devez effectuer sur l'appliance Google Distributed Cloud (GDC) isolée pour que votre projet soit prêt à exécuter les services Vertex AI. Elle explique également comment configurer la gcloud CLI dans votre environnement de développement. Suivez les étapes ci-dessous dans le projet dans lequel vous souhaitez implémenter Vertex AI pour vos applications de machine learning (ML) et d'intelligence artificielle (IA).

Si vous ne disposez pas des autorisations nécessaires, demandez à votre administrateur de configurer le projet à votre place.

Demander à un administrateur de configurer un projet pour vous

La plupart des tâches de configuration d'un projet nécessitent un accès administrateur. Un administrateur doit suivre les étapes ci-dessous pour configurer un projet qui vous permettra d'exécuter des services Vertex AI dans l'espace de noms du projet :

  1. Configurez l'appliance avec les informations du système de noms de domaine (DNS).
  2. Déterminez un nom et un ID de projet explicites pour identifier le projet.
  3. Configurez un projet en suivant les instructions de ce document.

Avant de commencer

Pour obtenir les autorisations nécessaires pour créer un projet et configurer des comptes de service, demandez à votre administrateur IAM de l'organisation ou administrateur IAM du projet de vous accorder les rôles suivants dans l'espace de noms de votre projet :

  • Pour créer un projet, obtenez le rôle Créateur de projet (project-creator).
  • Pour créer des comptes de service, obtenez le rôle Administrateur IAM du projet (project-iam-admin).

Pour en savoir plus sur ces rôles, consultez Préparer les autorisations IAM. Pour savoir comment accorder des autorisations à un sujet, consultez Accorder et révoquer des accès.

Ensuite, créez un projet pour regrouper vos services Vertex AI.

Installer la CLI gdcloud

Pour activer les services de l'appliance GDC air-gapped et accéder aux outils et composants, installez la CLI gdcloud.

Procédez comme suit pour installer la CLI gdcloud et gérer les composants requis :

  1. Téléchargez la gcloud CLI.

  2. Initialisez la gdcloud CLI :

    gdcloud init

    Pour en savoir plus, consultez Installer la gdcloud CLI.

  3. Installez les composants requis :

    gdcloud components install COMPONENT_ID

    Remplacez COMPONENT_ID par le nom du composant que vous souhaitez installer.

    Pour en savoir plus, consultez Gérer les composants de gdcloud CLI.

  4. Authentifiez-vous avec la gcloud CLI :

    gdcloud auth login

    Pour savoir comment vous authentifier auprès de votre fournisseur d'identité configuré et obtenir un fichier kubeconfig pour votre identité utilisateur et votre cluster Kubernetes, consultez l'authentification gdcloud CLI.

Configurer des comptes de service

Les comptes de service, également appelés identités de service, jouent un rôle essentiel dans la gestion de vos services Vertex AI. Il s'agit des comptes que vos charges de travail utilisent pour accéder aux services Vertex AI et effectuer des appels d'API autorisés de manière programmatique. Comme un compte utilisateur, les comptes de service peuvent se voir accorder des autorisations et des rôles, ce qui permet de créer un environnement sécurisé et contrôlé. Toutefois, ils ne peuvent pas se connecter comme un utilisateur humain.

Vous pouvez configurer des comptes de service pour les services Vertex AI en spécifiant le nom de votre compte de service, l'ID de votre projet et le nom d'un fichier JSON pour les paires de clés.

Pour savoir comment créer un compte de service, lui attribuer des liaisons de rôle, et créer et ajouter des paires de clés, consultez S'authentifier avec des comptes de service dans des projets.

Pour configurer des comptes de service à l'aide de gcloud CLI, procédez comme suit :

  1. Créez un compte de service :

    gdcloud iam service-accounts create SERVICE_ACCOUNT --project=PROJECT_ID

    Remplacez les éléments suivants :

    • SERVICE_ACCOUNT : nom du compte de service. Le nom doit être unique dans l'espace de noms du projet.
    • PROJECT_ID : ID du projet dans lequel vous souhaitez créer le compte de service. Si gdcloud init est déjà défini, vous pouvez omettre l'option --project.

  2. Créez le fichier JSON des identifiants par défaut de l'application, ainsi que les paires de clés publique et privée :

    gdcloud iam service-accounts keys create APPLICATION_DEFAULT_CREDENTIALS_FILENAME \
    --project=PROJECT_ID \
    --iam-account=SERVICE_ACCOUNT \
    --ca-cert-path=CA_CERTIFICATE_PATH

    Remplacez les éléments suivants :

    • APPLICATION_DEFAULT_CREDENTIALS_FILENAME : nom du fichier JSON, tel que my-service-key.json.
    • PROJECT_ID : projet pour lequel créer la clé.
    • SERVICE_ACCOUNT : nom du compte de service pour lequel ajouter la clé.
    • CA_CERTIFICATE_PATH : indicateur facultatif pour le chemin d'accès au certificat de l'autorité de certification qui valide le point de terminaison d'authentification. Si vous ne spécifiez pas ce chemin, les certificats de l'autorité de certification du système sont utilisés. Vous devez installer l'autorité de certification dans les certificats d'autorité de certification du système.

    L'appliance GDC isolée ajoute la clé publique aux clés de compte de service que vous utilisez pour valider les jetons Web JSON (JWT) signés par la clé privée. La clé privée est écrite dans le fichier JSON des identifiants par défaut de l'application.

  3. Accordez au compte de service l'accès aux ressources du projet en attribuant une liaison de rôle. Le nom du rôle dépend du service Vertex AI pour lequel vous souhaitez utiliser le compte de service.

    gdcloud iam service-accounts add-iam-policy-binding \
    --project=PROJECT_ID \
    --iam-account=SERVICE_ACCOUNT \
    --role=ROLE

    Remplacez les éléments suivants :

    • PROJECT_ID : projet dans lequel créer l'association de rôle.
    • SERVICE_ACCOUNT : nom du compte de service à utiliser.

    • ROLE : rôle prédéfini à attribuer au compte de service. Spécifiez les rôles au format Role/name, où Role est le type Kubernetes, tel que Role ou ProjectRole, et name est le nom du rôle prédéfini. Par exemple, voici les rôles que vous pouvez attribuer aux comptes de service pour utiliser les API Vertex AI pré-entraînées :

      • Pour attribuer le rôle Développeur AI OCR (ai-ocr-developer), définissez le rôle sur Role/ai-ocr-developer.
      • Pour attribuer le rôle Développeur Speech AI (ai-speech-developer), définissez le rôle sur Role/ai-speech-developer.
      • Pour attribuer le rôle Développeur de la traduction par IA (ai-translation-developer), définissez-le sur Role/ai-translation-developer.