Esta página contém as tarefas que você precisa concluir no appliance isolado do Google Distributed Cloud (GDC) para que seu projeto esteja pronto para executar os serviços da Vertex AI. A página também fornece instruções sobre como configurar a CLI gdcloud no seu ambiente de desenvolvimento. Conclua as etapas a seguir no projeto em que você quer implementar a Vertex AI para seus aplicativos de machine learning (ML) e inteligência artificial (IA).
Se você não tiver as permissões necessárias, peça ao administrador para configurar o projeto em seu nome.
Pedir a um administrador para configurar um projeto para você
A maioria das tarefas para configurar um projeto exige acesso de administrador. Um administrador precisa seguir estas etapas para configurar um projeto em que você possa executar serviços da Vertex AI no namespace do projeto:
- Configure o dispositivo com as informações do Sistema de Nomes de Domínio (DNS).
- Determine um nome e ID de projeto significativos para facilitar a identificação.
- Configure um projeto seguindo as instruções neste documento.
Antes de começar
Para receber as permissões necessárias para criar um projeto e configurar contas de serviço, peça ao administrador do IAM da organização ou do projeto para conceder a você os seguintes papéis no namespace do projeto:
- Para criar um projeto, receba o papel de Criador de projetos (
project-creator). - Para criar contas de serviço, receba o papel de administrador do IAM do projeto (
project-iam-admin).
Para informações sobre esses papéis, consulte Preparar permissões do IAM. Para saber como conceder permissões a um assunto, consulte Conceder e revogar acesso.
Em seguida, crie um projeto para agrupar seus serviços da Vertex AI.
Instalar a CLI gdcloud
Para ativar os serviços do appliance isolado do GDC e ter acesso a ferramentas e componentes, instale a CLI gdcloud.
Siga estas etapas para instalar a CLI gdcloud e gerenciar os componentes necessários:
- Faça o download da CLI gdcloud.
Inicialize a CLI gdcloud:
gdcloud initPara mais informações, consulte Instalar a CLI gdcloud.
Instale os componentes necessários:
gdcloud components install COMPONENT_IDSubstitua
COMPONENT_IDpelo nome do componente que você quer instalar.Para mais informações, consulte Gerenciar componentes da CLI gdcloud.
Faça a autenticação com a CLI gdcloud:
gdcloud auth loginPara mais informações sobre como se autenticar com seu provedor de identidade configurado e receber um arquivo kubeconfig para sua identidade de usuário e cluster do Kubernetes, consulte a autenticação da CLI gdcloud.
Configurar contas de serviço
As contas de serviço, também chamadas de identidades de serviço, desempenham um papel fundamental no gerenciamento dos serviços da Vertex AI. São as contas que suas cargas de trabalho usam para acessar os serviços da Vertex AI e fazer chamadas de API autorizadas de maneira programática. Assim como uma conta de usuário, as contas de serviço podem receber permissões e papéis, oferecendo um ambiente seguro e controlado, mas não podem fazer login como um usuário humano.
É possível configurar contas de serviço para os serviços da Vertex AI especificando o nome da sua conta de serviço, o ID do projeto e o nome de um arquivo JSON para pares de chaves.
Para saber como criar uma conta de serviço, atribuir vinculações de função a ela e criar e adicionar pares de chaves, consulte Autenticar com contas de serviço em projetos.
Siga estas etapas para configurar contas de serviço usando a CLI gdcloud:
Crie uma conta de serviço:
gdcloud iam service-accounts create SERVICE_ACCOUNT --project=PROJECT_IDSubstitua:
SERVICE_ACCOUNT: o nome da conta de serviço. O nome precisa ser exclusivo no namespace do projeto.PROJECT_ID: o ID do projeto em que você quer criar a conta de serviço. Segdcloud initjá estiver definido, omita a flag--project.
Crie o arquivo JSON de credenciais padrão do aplicativo e os pares de chaves pública e privada:
gdcloud iam service-accounts keys create APPLICATION_DEFAULT_CREDENTIALS_FILENAME \ --project=PROJECT_ID \ --iam-account=SERVICE_ACCOUNT \ --ca-cert-path=CA_CERTIFICATE_PATHSubstitua:
APPLICATION_DEFAULT_CREDENTIALS_FILENAME: o nome do arquivo JSON, comomy-service-key.json.PROJECT_ID: o projeto para criar a chave.SERVICE_ACCOUNT: o nome da conta de serviço para adicionar a chave.CA_CERTIFICATE_PATH: uma flag opcional para o caminho do certificado da autoridade de certificação (CA) que verifica o endpoint de autenticação. Se você não especificar esse caminho, os certificados da CA do sistema serão usados. É necessário instalar a CA nos certificados de CA do sistema.
O dispositivo isolado do GDC adiciona a chave pública às chaves da conta de serviço que você usa para verificar os JSON Web Tokens (JWTs) assinados pela chave privada. A chave privada é gravada no arquivo JSON de credenciais padrão do aplicativo.
Conceda à conta de serviço acesso aos recursos do projeto atribuindo uma vinculação de papel. O nome da função depende do serviço da Vertex AI em que você quer usar a conta de serviço.
gdcloud iam service-accounts add-iam-policy-binding \ --project=PROJECT_ID \ --iam-account=SERVICE_ACCOUNT \ --role=ROLESubstitua:
PROJECT_ID: o projeto em que a vinculação de função será criada.SERVICE_ACCOUNT: o nome da conta de serviço a ser usada.ROLE: o papel predefinido a ser atribuído à conta de serviço. Especifique os papéis no formatoRole/name, em que Role é o tipo do Kubernetes, comoRoleouProjectRole, e name é o nome do papel predefinido. Por exemplo, estes são papéis que você pode atribuir a contas de serviço para usar APIs pré-treinadas da Vertex AI:- Para atribuir o papel de desenvolvedor de OCR de IA (
ai-ocr-developer), defina o papel comoRole/ai-ocr-developer. - Para atribuir o papel de desenvolvedor do AI Speech (
ai-speech-developer), defina o papel comoRole/ai-speech-developer. - Para atribuir o papel de desenvolvedor de tradução de IA (
ai-translation-developer), defina o papel comoRole/ai-translation-developer.
- Para atribuir o papel de desenvolvedor de OCR de IA (