生成式 AI 用途的 Dataflow 控制項

本文提供 Dataflow 最佳做法和指南，適用於在 Google Cloud上執行生成式 AI 工作負載的情況。您可以搭配 Vertex AI 使用 Dataflow，建構可從各種來源擷取資料的複雜管道，並視需要彙整資料。

選用的 Dataflow 控制項

建議您根據資料來源導入下列安全控制措施。

關閉 Dataflow 工作的外部 IP 位址

Google 控制項 ID	DF-CO-6.1
類別	選用
說明	關閉外部 IP 位址，以執行與 Dataflow 工作相關的管理和監控任務。請改用 SSH 設定 Dataflow worker VM 的存取權。 啟用 Private Google Access，並在 Dataflow 工作中指定下列其中一個選項： --usePublicIps=false 和 --network=NETWORK-NAME --subnetwork=SUBNETWORK-NAME 其中： NETWORK-NAME：Compute Engine 網路的名稱。 SUBNETWORK-NAME：Compute Engine 子網路的名稱。
適用產品	Compute Engine Dataflow
相關的 NIST-800-53 控制項	SC-7 SC-8
相關的 CRI 設定檔控制項	PR.AC-5.1 PR.AC-5.2 PR.DS-2.1 PR.DS-2.2 PR.DS-5.1 PR.PT-4.1 DE.CM-1.1 DE.CM-1.2 DE.CM-1.3 DE.CM-1.4
相關資訊	選擇存取方法 設定 Private Google Access

使用防火牆規則的網路標記

Google 控制項 ID	DF-CO-6.2
類別	選用
說明	網路標記是附加至 Compute Engine VM (例如 Dataflow worker VM) 的文字屬性，可讓您建立適用於特定 VM 執行個體的虛擬私有雲網路防火牆規則和部分自訂靜態路徑。Dataflow 支援將網路標記新增至執行特定 Dataflow 工作的所有 worker VM。
適用產品	Compute Engine Dataflow
相關的 NIST-800-53 控制項	SC-7 SC-8
相關的 CRI 設定檔控制項	PR.AC-5.1 PR.AC-5.2 PR.DS-2.1 PR.DS-2.2 PR.DS-5.1 PR.PT-4.1 DE.CM-1.1 DE.CM-1.2 DE.CM-1.3 DE.CM-1.4
相關資訊	Dataflow 的網路標記

後續步驟

• 查看 Identity and Access Management (IAM) 控制項。

• 參閱這篇文章，瞭解更多生成式 AI 工作負載適用的Google Cloud 安全性最佳做法和指南。