为 Vertex AI 设置项目

本页面介绍了您必须在 Google Distributed Cloud (GDC) 气隙设备上完成的任务,以便您的项目能够运行 Vertex AI 服务。该页面还提供了有关在开发环境中配置 gdcloud CLI 的说明。在您要为机器学习 (ML) 和人工智能 (AI) 应用实现 Vertex AI 的项目中完成以下步骤。

如果您缺少必要的权限,请让管理员代表您设置项目。

让管理员为您设置项目

设置项目的大多数任务都需要管理员访问权限。管理员必须执行以下步骤,才能为您设置项目,以便您在项目命名空间中运行 Vertex AI 服务:

  1. 使用域名系统 (DNS) 信息配置设备
  2. 确定有意义的项目名称和项目 ID,以便标识项目。
  3. 按照本文档中的说明设置项目。

准备工作

如需获得创建项目和配置服务账号所需的权限,请让组织 IAM 管理员或项目 IAM 管理员为您授予项目命名空间中的以下角色:

  • 如需创建项目,请获取 Project Creator (project-creator) 角色。
  • 如需创建服务账号,请获取 Project IAM Admin (project-iam-admin) 角色。

如需了解这些角色,请参阅准备 IAM 权限。 如需了解如何向正文授予权限,请参阅授予和撤消访问权限

然后,创建项目以将 Vertex AI 服务分组在一起。

安装 gdcloud CLI

如需激活 GDC 气隙设备服务并访问工具和组件,请安装 gdcloud CLI。

按照以下步骤安装 gdcloud CLI 并管理所需组件:

  1. 下载 gdcloud CLI

  2. 初始化 gdcloud CLI:

    gdcloud init

    如需了解详情,请参阅安装 gdcloud CLI

  3. 安装所需组件:

    gdcloud components install COMPONENT_ID

    COMPONENT_ID 替换为您要安装的组件的名称。

    如需了解详情,请参阅管理 gdcloud CLI 组件

  4. 使用 gdcloud CLI 进行身份验证:

    gdcloud auth login

    如需详细了解如何使用配置的身份提供方进行身份验证,以及如何获取用户身份和 Kubernetes 集群的 kubeconfig 文件,请参阅 gdcloud CLI 身份验证

设置服务账号

服务账号(也称为服务身份)在管理 Vertex AI 服务方面发挥着至关重要的作用。这些账号是工作负载用于访问 Vertex AI 服务并以编程方式执行已获授权的 API 调用的账号。与用户账号类似,服务账号也可以被授予权限和角色,从而提供安全可控的环境,但服务账号无法像真人用户一样登录。

您可以指定服务账号的名称、项目 ID 和密钥对的 JSON 文件名称,为 Vertex AI 服务设置服务账号。

如需详细了解如何创建服务账号、为其分配角色绑定,以及创建和添加密钥对,请参阅在项目中通过服务账号进行身份验证

按照以下步骤使用 gdcloud CLI 设置服务账号:

  1. 创建服务账号:

    gdcloud iam service-accounts create SERVICE_ACCOUNT --project=PROJECT_ID

    替换以下内容:

    • SERVICE_ACCOUNT:服务账号的名称。该名称在项目命名空间中必须是唯一的。
    • PROJECT_ID:您要在其中创建服务账号的项目 ID。如果已设置 gdcloud init,则可以省略 --project 标志。

  2. 创建应用默认凭据 JSON 文件以及公钥和私钥对:

    gdcloud iam service-accounts keys create APPLICATION_DEFAULT_CREDENTIALS_FILENAME \
    --project=PROJECT_ID \
    --iam-account=SERVICE_ACCOUNT \
    --ca-cert-path=CA_CERTIFICATE_PATH

    替换以下内容:

    • APPLICATION_DEFAULT_CREDENTIALS_FILENAME:JSON 文件的名称,例如 my-service-key.json
    • PROJECT_ID:要为其创建密钥的项目。
    • SERVICE_ACCOUNT:要为其添加密钥的服务账号的名称。
    • CA_CERTIFICATE_PATH:可选标志,用于指定验证身份验证端点的证书授权机构 (CA) 证书的路径。如果您未指定此路径,系统会使用系统 CA 证书。您必须将 CA 安装在系统 CA 证书中。

    GDC 气隙设备会将公钥添加到您用于验证私钥签名的 JSON Web 令牌 (JWT) 的服务账号密钥中。私钥会写入应用默认凭据 JSON 文件。

  3. 通过分配角色绑定向服务账号授予项目资源的访问权限。角色的名称取决于您要将服务账号用于哪个 Vertex AI 服务。

    gdcloud iam service-accounts add-iam-policy-binding \
    --project=PROJECT_ID \
    --iam-account=SERVICE_ACCOUNT \
    --role=ROLE

    替换以下内容:

    • PROJECT_ID:要在其中创建角色绑定的项目。
    • SERVICE_ACCOUNT:要使用的服务账号的名称。

    • ROLE:要分配给服务账号的预定义角色。以 Role/name 格式指定角色,其中角色是 Kubernetes 类型,例如 RoleProjectRole名称是预定义角色的名称。例如,您可以向服务账号分配以下角色,以使用 Vertex AI 预训练 API

      • 如需分配 AI OCR Developer (ai-ocr-developer) 角色,请将该角色设置为 Role/ai-ocr-developer
      • 如需分配 AI Speech Developer (ai-speech-developer) 角色,请将该角色设置为 Role/ai-speech-developer
      • 如需分配 AI Translation Developer (ai-translation-developer) 角色,请将该角色设置为 Role/ai-translation-developer