Configura un progetto per Vertex AI

Questa pagina contiene le attività che devi completare sull'appliance air-gap di Google Distributed Cloud (GDC) per preparare il progetto all'esecuzione dei servizi Vertex AI. La pagina fornisce anche istruzioni sulla configurazione di gcloud CLI nel tuo ambiente di sviluppo. Completa i seguenti passaggi nel progetto in cui vuoi implementare Vertex AI per le tue applicazioni di machine learning (ML) e intelligenza artificiale (AI).

Se non disponi delle autorizzazioni necessarie, chiedi all'amministratore di configurare il progetto per tuo conto.

Chiedere a un amministratore di configurare un progetto per te

La maggior parte delle attività di configurazione di un progetto richiede l'accesso amministrativo. Un amministratore deve eseguire i seguenti passaggi per configurare un progetto in modo che tu possa eseguire i servizi Vertex AI nello spazio dei nomi del progetto:

  1. Configura l'appliance con le informazioni del Domain Name System (DNS).
  2. Determina un nome e un ID progetto significativi per identificare il progetto.
  3. Configura un progetto seguendo le istruzioni riportate in questo documento.

Prima di iniziare

Per ottenere le autorizzazioni necessarie per creare un progetto e configurare gli account di servizio, chiedi all'amministratore IAM dell'organizzazione o all'amministratore IAM del progetto di concederti i seguenti ruoli nello spazio dei nomi del progetto:

  • Per creare un progetto, ottieni il ruolo Autore progetto (project-creator).
  • Per creare service account, ottieni il ruolo Amministratore IAM progetto (project-iam-admin).

Per informazioni su questi ruoli, vedi Preparare le autorizzazioni IAM. Per scoprire come concedere le autorizzazioni a un soggetto, consulta Concedere e revocare l'accesso.

Poi, crea un progetto per raggruppare i tuoi servizi Vertex AI.

Installa gcloud CLI

Per attivare i servizi dell'appliance GDC air-gapped e accedere a strumenti e componenti, installa gcloud CLI.

Segui questi passaggi per installare gcloud CLI e gestire i componenti richiesti:

  1. Scarica gcloud CLI.

  2. Inizializza gcloud CLI:

    gdcloud init

    Per maggiori informazioni, consulta Installare gcloud CLI.

  3. Installa i componenti richiesti:

    gdcloud components install COMPONENT_ID

    Sostituisci COMPONENT_ID con il nome del componente che vuoi installare.

    Per ulteriori informazioni, vedi Gestire i componenti dell'interfaccia a riga di comando gcloud.

  4. Esegui l'autenticazione con gcloud CLI:

    gdcloud auth login

    Per ulteriori informazioni su come eseguire l'autenticazione con il provider di identità configurato e ottenere un file kubeconfig per l'identità utente e il cluster Kubernetes, consulta l'autenticazione della CLI gdcloud.

Configura service account

I service account, chiamati anche identità di servizio, svolgono un ruolo fondamentale nella gestione dei tuoi servizi Vertex AI. Sono gli account che i tuoi carichi di lavoro utilizzano per accedere ai servizi Vertex AI ed effettuare chiamate API autorizzate in modo programmatico. Analogamente a un account utente, ai service account possono essere concessi autorizzazioni e ruoli, fornendo un ambiente sicuro e controllato, ma non possono accedere come un utente umano.

Puoi configurare gli account di servizio per i servizi Vertex AI specificando il nome dell'account di servizio, l'ID progetto e il nome di un file JSON per le coppie di chiavi.

Per scoprire di più su come creare un account di servizio, assegnargli associazioni di ruoli e creare e aggiungere coppie di chiavi, consulta Autenticarsi con i service account nei progetti.

Segui questi passaggi per configurare i service account utilizzando l'interfaccia a riga di comando gcloud:

  1. Crea un account di servizio:

    gdcloud iam service-accounts create SERVICE_ACCOUNT --project=PROJECT_ID

    Sostituisci quanto segue:

    • SERVICE_ACCOUNT: il nome del account di servizio. Il nome deve essere univoco all'interno dello spazio dei nomi del progetto.
    • PROJECT_ID: l'ID del progetto in cui vuoi creare il account di servizio. Se gdcloud init è già impostato, puoi omettere il flag --project.

  2. Crea il file JSON delle credenziali predefinite dell'applicazione e le coppie di chiavi pubblica e privata:

    gdcloud iam service-accounts keys create APPLICATION_DEFAULT_CREDENTIALS_FILENAME \
    --project=PROJECT_ID \
    --iam-account=SERVICE_ACCOUNT \
    --ca-cert-path=CA_CERTIFICATE_PATH

    Sostituisci quanto segue:

    • APPLICATION_DEFAULT_CREDENTIALS_FILENAME: il nome del file JSON, ad esempio my-service-key.json.
    • PROJECT_ID: il progetto per cui creare la chiave.
    • SERVICE_ACCOUNT: il nome del account di servizio a cui aggiungere la chiave.
    • CA_CERTIFICATE_PATH: un flag facoltativo per il percorso del certificato dell'autorità di certificazione (CA) che verifica l'endpoint di autenticazione. Se non specifichi questo percorso, vengono utilizzati i certificati CA di sistema. Devi installare la CA nei certificati CA di sistema.

    L'appliance air-gapped GDC aggiunge la chiave pubblica alle chiavi dell'account di servizio che utilizzi per verificare i token web JSON (JWT) firmati dalla chiave privata. La chiave privata viene scritta nel file JSON delle credenziali predefinite dell'applicazione.

  3. Concedi al account di servizio l'accesso alle risorse del progetto assegnando un binding del ruolo. Il nome del ruolo dipende dal servizio Vertex AI per cui vuoi utilizzare ilaccount di serviziot.

    gdcloud iam service-accounts add-iam-policy-binding \
    --project=PROJECT_ID \
    --iam-account=SERVICE_ACCOUNT \
    --role=ROLE

    Sostituisci quanto segue:

    • PROJECT_ID: il progetto in cui creare l'associazione del ruolo.
    • SERVICE_ACCOUNT: il nome del account di servizio da utilizzare.

    • ROLE: il ruolo predefinito da assegnare al account di servizio. Specifica i ruoli nel formato Role/name, dove Role è il tipo di Kubernetes, ad esempio Role o ProjectRole, e name è il nome del ruolo predefinito. Ad esempio, i seguenti sono ruoli che puoi assegnare ai service account per utilizzare le API preaddestrate di Vertex AI:

      • Per assegnare il ruolo Sviluppatore OCR AI (ai-ocr-developer), imposta il ruolo su Role/ai-ocr-developer.
      • Per assegnare il ruolo Sviluppatore AI Speech (ai-speech-developer), imposta il ruolo su Role/ai-speech-developer.
      • Per assegnare il ruolo Sviluppatore di AI Translation (ai-translation-developer), imposta il ruolo su Role/ai-translation-developer.