Vertex AI용 프로젝트 설정

이 페이지에서는 Google Distributed Cloud (GDC) 에어 갭에서 Vertex AI 서비스를 실행하도록 프로젝트를 설정하는 방법을 안내합니다. 여기에는 gdcloud CLI, 신뢰 번들 인증 기관 (CA), 서비스 계정으로 개발 환경을 구성하는 단계가 포함되어 있으므로 애플리케이션과 워크플로에 머신러닝을 통합할 수 있습니다.

이 페이지는 오프라인 애플리케이션과 워크플로를 AI 기능으로 최적화하는 역할을 담당하는 애플리케이션 운영자 그룹 내 애플리케이션 개발자를 위한 페이지입니다. 자세한 내용은 GDC 오프라인 문서 대상을 참고하세요.

관리자에게 프로젝트 설정 요청

프로젝트를 설정하는 대부분의 작업에는 플랫폼 관리자 액세스 권한이 필요합니다. 관리자는 프로젝트를 식별할 수 있는 의미 있는 프로젝트 이름과 프로젝트 ID를 결정해야 합니다. 조직에 속해 있거나 여러 프로젝트를 만들려는 경우 Distributed Cloud에서 인식되는 이름 지정 규칙과 엔티티를 고려하세요. 자세한 내용은 리소스 계층 구조를 참조하세요.

필요한 권한이 없는 경우 관리자에게 대신 프로젝트를 설정해 달라고 요청하세요.

이 문서의 안내에 따라 프로젝트를 설정합니다.

시작하기 전에

프로젝트를 만들고 서비스 계정을 구성하는 데 필요한 권한을 얻으려면 조직 IAM 관리자 또는 프로젝트 IAM 관리자에게 프로젝트 네임스페이스에서 다음 역할을 부여해 달라고 요청하세요.

  • 프로젝트를 만들려면 프로젝트 생성자 (project-creator) 역할을 획득하세요.
  • 서비스 계정을 만들려면 프로젝트 IAM 관리자 (project-iam-admin) 역할을 획득하세요.

이러한 역할에 대한 자세한 내용은 IAM 권한 준비를 참고하세요. 주체에 권한을 부여하는 방법을 알아보려면 액세스 권한 부여 및 취소를 참고하세요.

그런 다음 Vertex AI 서비스를 그룹화할 프로젝트를 만듭니다. Distributed Cloud 프로젝트에 결제가 사용 설정되어 있는지 확인합니다.

gdcloud CLI 설치

Distributed Cloud 서비스를 활성화하고 도구 및 구성요소에 액세스하려면 gdcloud CLI를 설치하세요.

gdcloud CLI를 설치하고 필요한 구성요소를 관리하려면 다음 단계를 따르세요.

  1. gdcloud CLI를 다운로드합니다.
  2. gdcloud CLI를 초기화합니다.

    gdcloud init
    

    자세한 내용은 gdcloud CLI 설치를 참고하세요.

  3. 필수 구성요소를 설치합니다.

    gdcloud components install COMPONENT_ID
    

    COMPONENT_ID을 설치하려는 구성요소의 이름으로 바꿉니다.

    자세한 내용은 gdcloud CLI 구성요소 관리를 참고하세요.

  4. gdcloud CLI로 인증합니다.

    gdcloud auth login
    

    구성된 ID 공급자로 인증하고 사용자 ID 및 Kubernetes 클러스터의 kubeconfig 파일을 가져오는 방법에 대한 자세한 내용은 gdcloud CLI 인증을 참고하세요.

서비스 계정 설정

서비스 계정(서비스 ID라고도 함)은 Vertex AI 서비스를 관리하는 데 중요한 역할을 합니다. 워크로드가 Vertex AI 서비스 및 AI 모델에 액세스하고 승인된 API 호출을 프로그래매틱 방식으로 실행하는 데 사용하는 계정입니다. 예를 들어 서비스 계정은 Vertex AI Workbench 노트북을 관리하여 Speech-to-Text API를 사용하여 오디오 파일을 텍스트로 변환할 수 있습니다. 사용자 계정과 마찬가지로 서비스 계정에는 권한과 역할을 부여하여 안전하고 관리된 환경을 제공할 수 있지만, 실제 사용자와 같이 로그인할 수는 없습니다.

서비스 계정 이름, 프로젝트 ID, 키 쌍의 JSON 파일 이름을 지정하여 Vertex AI 서비스의 서비스 계정을 설정할 수 있습니다.

서비스 계정을 만들고, 역할 바인딩을 할당하고, 키 쌍을 만들고 추가하는 방법을 자세히 알아보려면 서비스 계정 관리를 참고하세요.

gdcloud CLI를 사용하여 서비스 계정을 설정하려면 다음 단계를 따르세요.

  1. 서비스 계정을 만듭니다.

    gdcloud iam service-accounts create SERVICE_ACCOUNT --project=PROJECT_ID
    

    다음을 바꿉니다.

    • SERVICE_ACCOUNT: 서비스 계정의 이름입니다. 이름은 프로젝트 네임스페이스 내에서 고유해야 합니다.
    • PROJECT_ID: 서비스 계정을 만들려는 프로젝트 ID입니다. gdcloud init이 이미 설정되어 있으면 --project 플래그를 생략할 수 있습니다.
  2. 애플리케이션 기본 사용자 인증 정보 JSON 파일과 공개 키/비공개 키 쌍을 만듭니다.

    gdcloud iam service-accounts keys create APPLICATION_DEFAULT_CREDENTIALS_FILENAME \
        --project=PROJECT_ID \
        --iam-account=SERVICE_ACCOUNT \
        --ca-cert-path=CA_CERTIFICATE_PATH
    

    다음을 바꿉니다.

    • APPLICATION_DEFAULT_CREDENTIALS_FILENAME: JSON 파일의 이름입니다(예: my-service-key.json).
    • PROJECT_ID: 키를 만들 프로젝트입니다.
    • SERVICE_ACCOUNT: 키를 추가할 서비스 계정의 이름입니다.
    • CA_CERTIFICATE_PATH: 인증 엔드포인트를 확인하는 인증 기관 (CA) 인증서의 경로를 나타내는 선택적 플래그입니다. 이 경로를 지정하지 않으면 시스템 CA 인증서가 사용됩니다. 시스템 CA 인증서에 CA를 설치해야 합니다.

    Distributed Cloud는 비공개 키가 서명하는 JSON 웹 토큰 (JWT)을 확인하는 데 사용하는 서비스 계정 키에 공개 키를 추가합니다. 비공개 키가 애플리케이션 기본 사용자 인증 정보 JSON 파일에 작성됩니다.

  3. 역할 바인딩을 할당하여 서비스 계정에 프로젝트 리소스에 대한 액세스 권한을 부여합니다. 역할 이름은 서비스 계정을 사용할 Vertex AI 서비스에 따라 다릅니다.

    gdcloud iam service-accounts add-iam-policy-binding \
        --project=PROJECT_ID \
        --iam-account=SERVICE_ACCOUNT \
        --role=ROLE
    

    다음을 바꿉니다.

    • PROJECT_ID: 역할 바인딩을 만들 프로젝트입니다.
    • SERVICE_ACCOUNT: 사용할 서비스 계정의 이름입니다.
    • ROLE: 서비스 계정에 할당할 사전 정의된 역할입니다. Role/name 형식으로 역할을 지정합니다. 여기서 Role은 Kubernetes 유형(예: Role 또는 ProjectRole)이고 name은 사전 정의된 역할의 Kubernetes 리소스 이름입니다. 예를 들어 Vertex AI 사전 학습된 API 중 일부를 사용하기 위해 서비스 계정에 할당할 수 있는 역할은 다음과 같습니다.

      • AI OCR 개발자 (ai-ocr-developer) 역할을 할당하려면 역할을 Role/ai-ocr-developer로 설정합니다.
      • AI 음성 개발자 (ai-speech-developer) 역할을 할당하려면 역할을 Role/ai-speech-developer로 설정합니다.
      • AI Translation Developer (ai-translation-developer) 역할을 할당하려면 역할을 Role/ai-translation-developer로 설정합니다.