設定 Vertex AI 專案

本頁面將逐步說明如何設定專案，在 Google Distributed Cloud (GDC) 氣隙環境中執行 Vertex AI 服務。這份指南包含使用 gdcloud CLI、信任套件憑證授權單位 (CA) 和服務帳戶設定開發環境的步驟，方便您開始將機器學習整合至應用程式和工作流程。

本頁內容適用於應用程式運算子群組中的應用程式開發人員，負責運用 AI 功能，最佳化與外部網路隔離的應用程式和工作流程。詳情請參閱 GDC air-gapped 的目標對象說明文件。

請管理員為您設定專案

如要設定專案，大部分工作都需要平台管理員存取權。管理員必須決定有意義的專案名稱和專案 ID，以識別專案。如果您是機構成員或打算建立多個專案，請考慮 Distributed Cloud 認可的命名慣例和實體。詳情請參閱「資源階層」。

如果沒有必要權限，請管理員代您設定專案。

按照本文的指示設定專案。

事前準備

如要取得建立專案及設定服務帳戶所需的權限，請要求機構 IAM 管理員或專案 IAM 管理員在專案命名空間中授予下列角色：

• 如要建立專案，請取得專案建立者 (project-creator) 角色。
• 如要建立服務帳戶，請取得專案 IAM 管理員 (project-iam-admin) 角色。

如要瞭解這些角色，請參閱「準備 IAM 權限」。 如要瞭解如何授予主體權限，請參閱「授予及撤銷存取權」。

接著建立專案，將 Vertex AI 服務分組。確認 Distributed Cloud 專案已啟用計費功能。

安裝 gdcloud CLI

如要啟用 Distributed Cloud 服務，並存取工具和元件，請安裝 gdcloud CLI。

請按照下列步驟安裝 gdcloud CLI，並管理必要元件：

1. 下載 gdcloud CLI。

2. 初始化 gdcloud CLI：

   gdcloud init
   

   詳情請參閱「安裝 gdcloud CLI」。

3. 安裝必要元件：

   gdcloud components install COMPONENT_ID
   

   將 COMPONENT_ID 替換為要安裝的元件名稱。

   詳情請參閱「管理 gcloud CLI 元件」。

4. 使用 gdcloud CLI 進行驗證：

   gdcloud auth login
   

   如要進一步瞭解如何透過已設定的身分識別供應商進行驗證，並取得使用者身分和 Kubernetes 叢集的 kubeconfig 檔案，請參閱 gdcloud CLI 驗證。

設定服務帳戶

服務帳戶 (也稱為服務身分) 在管理 Vertex AI 服務方面扮演重要角色。工作負載會使用這些帳戶存取 Vertex AI 服務和 AI 模型，並以程式輔助方式發出授權的 API 呼叫。舉例來說，服務帳戶可以管理 Vertex AI Workbench 筆記本，使用 Speech-to-Text API 轉錄音訊檔案。與使用者帳戶類似，服務帳戶可以獲得權限和角色，提供安全且受控的環境，但無法像人類使用者一樣登入。

如要為 Vertex AI 服務設定服務帳戶，請指定服務帳戶名稱、專案 ID 和金鑰配對的 JSON 檔案名稱。

如要進一步瞭解如何建立服務帳戶、為服務帳戶指派角色繫結，以及建立及新增金鑰配對，請參閱「管理服務帳戶」。

請按照下列步驟，使用 gdcloud CLI 設定服務帳戶：

1. 建立服務帳戶：

   gdcloud iam service-accounts create SERVICE_ACCOUNT --project=PROJECT_ID
   

   更改下列內容：

   • SERVICE_ACCOUNT：服務帳戶的名稱。專案命名空間中的名稱不得重複。
   • PROJECT_ID：您要在其中建立服務帳戶的專案 ID。如果已設定 gdcloud init，則可以省略 --project 標記。

2. 建立應用程式預設憑證 JSON 檔案，以及公開和私密金鑰配對：

   gdcloud iam service-accounts keys create APPLICATION_DEFAULT_CREDENTIALS_FILENAME \
       --project=PROJECT_ID \
       --iam-account=SERVICE_ACCOUNT \
       --ca-cert-path=CA_CERTIFICATE_PATH
   

   更改下列內容：

   • APPLICATION_DEFAULT_CREDENTIALS_FILENAME：JSON 檔案的名稱，例如 my-service-key.json。
   • PROJECT_ID：要建立金鑰的專案。
   • SERVICE_ACCOUNT：要新增金鑰的服務帳戶名稱。
   • CA_CERTIFICATE_PATH：驗證驗證端點的憑證授權單位 (CA) 憑證路徑選用旗標。如未指定這個路徑，系統會使用系統 CA 憑證。您必須在系統 CA 憑證中安裝 CA。

   Distributed Cloud 會將公開金鑰新增至服務帳戶金鑰，您可以使用這些金鑰驗證私密金鑰簽署的 JSON Web Token (JWT)。私密金鑰會寫入應用程式預設憑證 JSON 檔案。

3. 指派角色繫結，授予服務帳戶專案資源的存取權。角色名稱取決於您要使用服務帳戶的 Vertex AI 服務。

   gdcloud iam service-accounts add-iam-policy-binding \
       --project=PROJECT_ID \
       --iam-account=SERVICE_ACCOUNT \
       --role=ROLE
   

   更改下列內容：

   • PROJECT_ID：要在其中建立角色綁定的專案。
   • SERVICE_ACCOUNT：要使用的服務帳戶名稱。

   • ROLE：要指派給服務帳戶的預先定義角色。以 Role/name 格式指定角色，其中 Role 是 Kubernetes 類型，例如 Role 或 ProjectRole，而 name 是預先定義角色的 Kubernetes 資源名稱。舉例來說，您可以將下列角色指派給服務帳戶，以便使用部分 Vertex AI 預先訓練的 API：

     • 如要指派 AI OCR 開發人員 (ai-ocr-developer) 角色，請將角色設為 Role/ai-ocr-developer。
     • 如要指派 AI Speech 開發人員 (ai-speech-developer) 角色，請將角色設為 Role/ai-speech-developer。
     • 如要指派 AI 翻譯開發人員 (ai-translation-developer) 角色，請將角色設為 Role/ai-translation-developer。