本文档介绍了在 Google Cloud上运行生成式 AI 工作负载时使用 Pub/Sub 的最佳实践和指南。将 Pub/Sub 与 Vertex AI 搭配使用,可在机器学习工作流中实现高效的通信和自动化。
以下是 Pub/Sub 与 Vertex AI 搭配使用的应用场景:
- 异步事件驱动型架构:Pub/Sub 支持事件驱动型通信,因此您可以根据发布到 Pub/Sub 主题的事件触发 Vertex AI 流水线。这些事件可能包括新数据和模型更新。
- 可扩缩性和可靠性:Pub/Sub 具有高度可扩缩性,可让您处理大量事件,而不会影响性能。可伸缩性对于处理大型数据集或同时运行多个机器学习作业至关重要。Pub/Sub 还提供可靠的消息传送和主题内排序功能,即使在繁重的工作负载下也能确保处理一致性。
- 灵活性:您可以使用 Pub/Sub 将 Vertex AI 与 Cloud Run 函数或 Dataflow 等其他服务集成,从而创建灵活且动态的机器学习流水线。
- 实时监控和提醒:借助 Pub/Sub,您可以订阅特定主题,以接收有关 Vertex AI 流水线中事件的实时通知。借助实时监控,您可以监控模型训练进度、数据预处理结果和预测输出。您可以根据特定事件(例如作业失败或预测期间检测到的异常情况)配置提醒。借助提醒,您可以主动干预并及时排查问题。
例如,您可以使用 Pub/Sub 执行以下活动:
- 当新数据到达 Cloud Storage 存储桶时,触发模型训练。
- 将已部署模型的实时预测结果发送到下游系统以进行进一步处理。
- 监控模型性能指标的变化并做出相应反应。
- 针对预测失败或数据质量问题等严重事件触发提醒。
建议的 Pub/Sub 控制措施
根据您在生成式 AI 方面的应用场景,我们建议您采取额外的控制措施。这些控制措施包括数据保留控制措施,以及基于企业政策的其他政策驱动型控制措施。
为 Pub/Sub 消息使用 CMEK
| Google 控制 ID | PS-CO-6.1 |
|---|---|
| 类别 | 推荐 |
| 说明 | 为 Pub/Sub 启用客户管理的加密密钥 (CMEK) 后,您可以更好地控制 Pub/Sub 用于保护消息的加密密钥。在应用层,Pub/Sub 会在收到传入消息时对每条消息进行单独加密。Pub/Sub 向订阅发布消息之前,会使用系统为相应主题生成的最新数据加密密钥 (DEK) 对消息进行加密。在消息即将传送给订阅者之前,Pub/Sub 会对消息进行解密。
Pub/Sub 使用 Google Cloud 服务账号访问 Cloud Key Management Service。Pub/Sub 会在内部为每个项目保存该服务账号,该服务账号不会显示在您的服务账号列表中。 |
| 适用的产品 |
|
| 相关 NIST-800-53 控制措施 |
|
| 相关 CRI 配置文件控制措施 |
|
| 相关信息 |
可选的 Pub/Sub 控制措施
这些控制措施是可选的。如果这些控制措施适用于您的特定应用场景,请考虑强制执行。
配置消息存储政策
| Google 控制 ID | PS-CO-4.1 |
|---|---|
| 类别 | 可选 |
| 说明 | 如果您将消息发布到全局 Pub/Sub 端点,则 Pub/Sub 会自动将消息存储在最近的 Google Cloud 区域中。如需控制将消息存储在哪些区域,请针对主题配置消息存储政策。
您可以使用以下任一方式为主题配置消息存储政策:
|
| 适用的产品 |
|
| 相关 NIST-800-53 控制措施 |
|
| 相关 CRI 配置文件控制措施 |
|
| 相关信息 |