設定 Vertex AI 專案

本頁面列出您必須在 Google Distributed Cloud (GDC) 氣隙設備上完成的工作，才能讓專案準備好執行 Vertex AI 服務。這個頁面也提供在開發環境中設定 gdcloud CLI 的操作說明。在要為機器學習 (ML) 和人工智慧 (AI) 應用程式導入 Vertex AI 的專案中，完成下列步驟。

如果沒有必要權限，請要求管理員代您設定專案。

請管理員為您設定專案

設定專案時，大部分工作都需要管理員存取權。管理員必須執行下列步驟，為您設定專案，才能在專案命名空間中執行 Vertex AI 服務：

1. 使用網域名稱系統 (DNS) 資訊設定設備。
2. 決定有意義的專案名稱和專案 ID，以便識別專案。
3. 按照本文的指示設定專案。

事前準備

如要取得建立專案及設定服務帳戶所需的權限，請要求機構 IAM 管理員或專案 IAM 管理員在專案命名空間中授予下列角色：

• 如要建立專案，請取得專案建立者 (project-creator) 角色。
• 如要建立服務帳戶，請取得專案 IAM 管理員 (project-iam-admin) 角色。

如要瞭解這些角色，請參閱「準備 IAM 權限」。 如要瞭解如何授予主體權限，請參閱「授予及撤銷存取權」。

接著建立專案，將 Vertex AI 服務分組。

安裝 gdcloud CLI

如要啟用 GDC 氣隙裝置服務，並存取工具和元件，請安裝 gdcloud CLI。

請按照下列步驟安裝 gdcloud CLI，並管理必要元件：

1. 下載 gdcloud CLI。

2. 初始化 gdcloud CLI：

   gdcloud init
   

   詳情請參閱「安裝 gdcloud CLI」。

3. 安裝必要元件：

   gdcloud components install COMPONENT_ID
   

   將 COMPONENT_ID 替換為要安裝的元件名稱。

   詳情請參閱「管理 gcloud CLI 元件」。

4. 使用 gdcloud CLI 進行驗證：

   gdcloud auth login
   

   如要進一步瞭解如何透過已設定的身分識別供應商進行驗證，並取得使用者身分和 Kubernetes 叢集的 kubeconfig 檔案，請參閱 gdcloud CLI 驗證。

設定服務帳戶

服務帳戶 (也稱為服務身分) 在管理 Vertex AI 服務方面扮演重要角色。工作負載會使用這些帳戶存取 Vertex AI 服務，並以程式輔助方式發出已授權的 API 呼叫。與使用者帳戶類似，服務帳戶可以獲得權限和角色，提供安全且受控的環境，但無法像人類使用者一樣登入。

如要為 Vertex AI 服務設定服務帳戶，請指定服務帳戶名稱、專案 ID 和金鑰配對的 JSON 檔案名稱。

如要進一步瞭解如何建立服務帳戶、為服務帳戶指派角色繫結，以及建立及新增金鑰配對，請參閱「在專案中透過服務帳戶進行驗證」。

請按照下列步驟，使用 gdcloud CLI 設定服務帳戶：

1. 建立服務帳戶：

   gdcloud iam service-accounts create SERVICE_ACCOUNT --project=PROJECT_ID
   

   更改下列內容：

   • SERVICE_ACCOUNT：服務帳戶的名稱。專案命名空間中的名稱不得重複。
   • PROJECT_ID：您要在其中建立服務帳戶的專案 ID。如果已設定 gdcloud init，則可以省略 --project 標記。

2. 建立應用程式預設憑證 JSON 檔案，以及公開和私密金鑰配對：

   gdcloud iam service-accounts keys create APPLICATION_DEFAULT_CREDENTIALS_FILENAME \
       --project=PROJECT_ID \
       --iam-account=SERVICE_ACCOUNT \
       --ca-cert-path=CA_CERTIFICATE_PATH
   

   更改下列內容：

   • APPLICATION_DEFAULT_CREDENTIALS_FILENAME：JSON 檔案的名稱，例如 my-service-key.json。
   • PROJECT_ID：要建立金鑰的專案。
   • SERVICE_ACCOUNT：要新增金鑰的服務帳戶名稱。
   • CA_CERTIFICATE_PATH：驗證驗證端點的憑證授權單位 (CA) 憑證路徑選用旗標。如未指定這個路徑，系統會使用系統 CA 憑證。您必須在系統 CA 憑證中安裝 CA。

   GDC 離線裝置會將公開金鑰新增至服務帳戶金鑰，您可以使用這些金鑰驗證私密金鑰簽署的 JSON Web Token (JWT)。私密金鑰會寫入應用程式預設憑證 JSON 檔案。

3. 指派角色繫結，授予服務帳戶專案資源的存取權。角色名稱取決於您要使用服務帳戶的 Vertex AI 服務。

   gdcloud iam service-accounts add-iam-policy-binding \
       --project=PROJECT_ID \
       --iam-account=SERVICE_ACCOUNT \
       --role=ROLE
   

   更改下列內容：

   • PROJECT_ID：要在其中建立角色綁定的專案。
   • SERVICE_ACCOUNT：要使用的服務帳戶名稱。

   • ROLE：要指派給服務帳戶的預先定義角色。請以 Role/name 格式指定角色，其中 Role 是 Kubernetes 類型，例如 Role 或 ProjectRole，而 name 是預先定義的角色名稱。舉例來說，您可以將下列角色指派給服務帳戶，以便使用 Vertex AI 預先訓練的 API：

     • 如要指派 AI OCR 開發人員 (ai-ocr-developer) 角色，請將角色設為 Role/ai-ocr-developer。
     • 如要指派 AI Speech 開發人員 (ai-speech-developer) 角色，請將角色設為 Role/ai-speech-developer。
     • 如要指派 AI 翻譯開發人員 (ai-translation-developer) 角色，請將角色設為 Role/ai-translation-developer。