Vertex AI용 프로젝트 설정

이 페이지에는 Vertex AI 서비스를 실행할 수 있도록 프로젝트를 준비하기 위해 Google Distributed Cloud (GDC) 오프라인 어플라이언스에서 완료해야 하는 작업이 포함되어 있습니다. 이 페이지에서는 개발 환경에서 gdcloud CLI를 구성하는 방법도 설명합니다. 머신러닝 (ML) 및 인공지능 (AI) 애플리케이션에 Vertex AI를 구현하려는 프로젝트에서 다음 단계를 완료하세요.

필요한 권한이 없는 경우 관리자에게 대신 프로젝트를 설정해 달라고 요청하세요.

관리자에게 프로젝트 설정 요청

프로젝트를 설정하는 대부분의 작업에는 관리자 액세스 권한이 필요합니다. 관리자는 프로젝트 네임스페이스에서 Vertex AI 서비스를 실행할 수 있도록 프로젝트를 설정하기 위해 다음 단계를 따라야 합니다.

  1. DNS (도메인 이름 시스템) 정보로 어플라이언스를 구성합니다.
  2. 프로젝트를 식별할 수 있는 의미 있는 프로젝트 이름과 프로젝트 ID를 결정합니다.
  3. 이 문서의 안내에 따라 프로젝트를 설정합니다.

시작하기 전에

프로젝트를 만들고 서비스 계정을 구성하는 데 필요한 권한을 얻으려면 조직 IAM 관리자 또는 프로젝트 IAM 관리자에게 프로젝트 네임스페이스에서 다음 역할을 부여해 달라고 요청하세요.

  • 프로젝트를 만들려면 프로젝트 생성자 (project-creator) 역할을 획득하세요.
  • 서비스 계정을 만들려면 프로젝트 IAM 관리자 (project-iam-admin) 역할을 획득하세요.

이러한 역할에 대한 자세한 내용은 IAM 권한 준비를 참고하세요. 주체에 권한을 부여하는 방법을 알아보려면 액세스 권한 부여 및 취소를 참고하세요.

그런 다음 Vertex AI 서비스를 그룹화할 프로젝트를 만듭니다.

gdcloud CLI 설치

GDC 오프라인 어플라이언스 서비스를 활성화하고 도구 및 구성요소에 액세스하려면 gdcloud CLI를 설치하세요.

gdcloud CLI를 설치하고 필요한 구성요소를 관리하려면 다음 단계를 따르세요.

  1. gdcloud CLI를 다운로드합니다.

  2. gdcloud CLI를 초기화합니다.

    gdcloud init

    자세한 내용은 gdcloud CLI 설치를 참고하세요.

  3. 필수 구성요소를 설치합니다.

    gdcloud components install COMPONENT_ID

    COMPONENT_ID을 설치하려는 구성요소의 이름으로 바꿉니다.

    자세한 내용은 gdcloud CLI 구성요소 관리를 참고하세요.

  4. gdcloud CLI로 인증합니다.

    gdcloud auth login

    구성된 ID 공급자로 인증하고 사용자 ID 및 Kubernetes 클러스터의 kubeconfig 파일을 가져오는 방법에 대한 자세한 내용은 gdcloud CLI 인증을 참고하세요.

서비스 계정 설정

서비스 계정(서비스 ID라고도 함)은 Vertex AI 서비스를 관리하는 데 중요한 역할을 합니다. 워크로드가 Vertex AI 서비스에 액세스하고 승인된 API 호출을 프로그래매틱 방식으로 만드는 데 사용하는 계정입니다. 사용자 계정과 마찬가지로 서비스 계정에는 권한과 역할을 부여하여 안전하고 관리된 환경을 제공할 수 있지만, 실제 사용자와 같이 로그인할 수는 없습니다.

서비스 계정 이름, 프로젝트 ID, 키 쌍의 JSON 파일 이름을 지정하여 Vertex AI 서비스의 서비스 계정을 설정할 수 있습니다.

서비스 계정을 만들고, 역할 바인딩을 할당하고, 키 쌍을 만들고 추가하는 방법을 자세히 알아보려면 프로젝트에서 서비스 계정으로 인증을 참고하세요.

gdcloud CLI를 사용하여 서비스 계정을 설정하려면 다음 단계를 따르세요.

  1. 서비스 계정을 만듭니다.

    gdcloud iam service-accounts create SERVICE_ACCOUNT --project=PROJECT_ID

    다음을 바꿉니다.

    • SERVICE_ACCOUNT: 서비스 계정의 이름입니다. 이름은 프로젝트 네임스페이스 내에서 고유해야 합니다.
    • PROJECT_ID: 서비스 계정을 만들려는 프로젝트 ID입니다. gdcloud init이 이미 설정되어 있으면 --project 플래그를 생략할 수 있습니다.

  2. 애플리케이션 기본 사용자 인증 정보 JSON 파일과 공개 키/비공개 키 쌍을 만듭니다.

    gdcloud iam service-accounts keys create APPLICATION_DEFAULT_CREDENTIALS_FILENAME \
    --project=PROJECT_ID \
    --iam-account=SERVICE_ACCOUNT \
    --ca-cert-path=CA_CERTIFICATE_PATH

    다음을 바꿉니다.

    • APPLICATION_DEFAULT_CREDENTIALS_FILENAME: JSON 파일의 이름입니다(예: my-service-key.json).
    • PROJECT_ID: 키를 만들 프로젝트입니다.
    • SERVICE_ACCOUNT: 키를 추가할 서비스 계정의 이름입니다.
    • CA_CERTIFICATE_PATH: 인증 엔드포인트를 확인하는 인증 기관 (CA) 인증서의 경로를 나타내는 선택적 플래그입니다. 이 경로를 지정하지 않으면 시스템 CA 인증서가 사용됩니다. 시스템 CA 인증서에 CA를 설치해야 합니다.

    GDC 오프라인 어플라이언스는 비공개 키가 서명하는 JSON 웹 토큰 (JWT)을 확인하는 데 사용하는 서비스 계정 키에 공개 키를 추가합니다. 비공개 키가 애플리케이션 기본 사용자 인증 정보 JSON 파일에 작성됩니다.

  3. 역할 바인딩을 할당하여 서비스 계정에 프로젝트 리소스에 대한 액세스 권한을 부여합니다. 역할 이름은 서비스 계정을 사용할 Vertex AI 서비스에 따라 다릅니다.

    gdcloud iam service-accounts add-iam-policy-binding \
    --project=PROJECT_ID \
    --iam-account=SERVICE_ACCOUNT \
    --role=ROLE

    다음을 바꿉니다.

    • PROJECT_ID: 역할 바인딩을 만들 프로젝트입니다.
    • SERVICE_ACCOUNT: 사용할 서비스 계정의 이름입니다.

    • ROLE: 서비스 계정에 할당할 사전 정의된 역할입니다. Role/name 형식으로 역할을 지정합니다. 여기서 Role은 Kubernetes 유형(예: Role 또는 ProjectRole)이고 name은 사전 정의된 역할의 이름입니다. 예를 들어 Vertex AI 사전 학습된 API를 사용하기 위해 서비스 계정에 할당할 수 있는 역할은 다음과 같습니다.

      • AI OCR 개발자 (ai-ocr-developer) 역할을 할당하려면 역할을 Role/ai-ocr-developer로 설정합니다.
      • AI 음성 개발자 (ai-speech-developer) 역할을 할당하려면 역할을 Role/ai-speech-developer로 설정합니다.
      • AI Translation Developer (ai-translation-developer) 역할을 할당하려면 역할을 Role/ai-translation-developer로 설정합니다.