本文档包含在 Google Cloud上运行生成式 AI 工作负载时 Resource Manager 的最佳实践和准则。将 Resource Manager 与 Vertex AI 搭配使用,有助于对 Vertex AI 工作负载的逻辑组件进行分组和管理。
请考虑以下将 Resource Manager 与 Vertex AI 搭配使用的以下应用场景:
- 为了帮助确保资源和数据隔离以及精细的访问控制,请为不同的团队或部门创建单独的项目。
- 将保护性安全政策应用于 AI 工作负载。
- 为训练作业中的 GPU 用量定义配额,以防止费用超支。
- 自动为新项目创建所需的 Cloud Storage 存储桶和 Compute Engine 实例。
- 跟踪和分析特定项目的资源使用模式,以优化资源分配。
- 生成审核报告,以证明符合数据治理和安全政策。
必需的 Resource Manager 控制措施
使用 Resource Manager 时,强烈建议采用以下控制措施。
限制资源服务使用
| Google 控制 ID | RM-CO-4.1 |
|---|---|
| 类别 | 必需 |
| 说明 | gcp.restrictServiceUsage 限制可确保仅在适当的位置使用您已获批准的 Google Cloud 服务。例如,生产文件夹或高度敏感的文件夹具有一小部分获准存储数据的 Google Cloud 服务。沙盒文件夹可能包含更大的服务列表和相应的数据安全控制措施,有助于防止数据渗漏。该值特定于您的系统,并且与您针对特定文件夹和项目获批的服务和依赖项列表相匹配。 |
| 适用的产品 |
|
| 路径 | constraints/gcp.restrictServiceUsage |
| 运算符 | Is |
| 相关 NIST-800-53 控制 |
|
| 相关 CRI 配置文件控制 |
|
| 相关信息 |
限制资源位置
| Google 控制 ID | RM-CO-4.2 |
|---|---|
| 类别 | 必需 |
| 说明 | 资源位置限制 ( gcp.resourceLocations) 限制条件可确保仅使用您批准的 Google Cloud 区域来存储数据。该值特定于您的系统,并且与组织批准的数据驻留区域列表相匹配。 |
| 适用的产品 |
|
| 路径 | constraints/gcp.resourceLocations |
| 运算符 | Is |
| 相关 NIST-800-53 控制 |
|
| 相关 CRI 配置文件控制 |
|
| 相关信息 |