서비스 경계 내에서 사용자 관리형 노트북 인스턴스 사용

이 페이지에서는 VPC 서비스 제어를 사용하여 서비스 경계 내에서 사용자 관리형 노트북 인스턴스를 설정하는 방법을 설명합니다.

시작하기 전에

  1. VPC Service Controls 개요를 읽어보세요.

  2. 사용자 관리형 노트북 인스턴스 만들기 이 인스턴스는 아직 서비스 경계 내에 있지 않습니다.

  3. VPC Service Controls를 사용하여 서비스 경계를 만듭니다. 이 서비스 경계는 사용자가 지정한 서비스의 Google 관리 리소스를 보호합니다. 서비스 경계를 만드는 동안 다음을 수행합니다.

    1. 서비스 경계에 프로젝트를 추가할 때 사용자 관리형 노트북 인스턴스가 포함된 프로젝트를 추가합니다.

    2. 서비스를 서비스 경계에 추가할 때 Notebooks API를 추가합니다.

    필요한 프로젝트 및 서비스를 추가하지 않고 서비스 경계를 만들었을 때 서비스 경계를 업데이트하는 방법은 서비스 경계 관리를 참조하세요.

Cloud DNS를 사용하여 DNS 항목 구성

Vertex AI Workbench 사용자 관리형 노트북 인스턴스는 Virtual Private Cloud 네트워크가 기본적으로 처리하지 않는 도메인 여러 개를 사용합니다. VPC 네트워크에서 이러한 도메인으로 전송된 요청을 올바르게 처리하도록 하려면 Cloud DNS를 사용하여 DNS 레코드를 추가합니다. VPC 경로에 대한 자세한 내용은 경로 개요를 참조하세요.

도메인의 관리형 영역을 만들려면 요청을 라우팅할 DNS 항목을 추가하고 트랜잭션을 실행한 후 다음 단계를 완료합니다. 요청을 처리해야 하는 *.notebooks.googleapis.com으로 시작하는 여러 도메인 각각에 이러한 단계를 반복합니다.

Cloud Shell에서 또는 Google Cloud CLI가 설치된 환경에서 다음 Google Cloud CLI 명령어를 입력합니다.

  1. VPC 네트워크에서 처리해야 하는 도메인 중 하나의 비공개 관리 영역을 만들려면 다음을 실행합니다. 

        gcloud dns managed-zones create ZONE_NAME \
        --visibility=private \
        --networks=https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME \
        --dns-name=DNS_NAME \
        --description="Description of your managed zone"

    다음을 바꿉니다.

    • ZONE_NAME: 만들 영역의 이름. 도메인마다 별도의 영역을 사용해야 합니다. 이 영역 이름은 다음 각 단계에서 사용됩니다.
    • PROJECT_ID: VPC 네트워크를 호스팅하는 프로젝트의 ID
    • NETWORK_NAME: 이전에 만든 VPC 네트워크의 이름
    • DNS_NAME: *. 뒤에 오는 도메인 이름의 일부로서 끝에 마침표가 있음. 예를 들어 *.notebooks.googleapis.comnotebooks.googleapis.com.DNS_NAME입니다.

  2. 트랜잭션을 시작합니다. 

        gcloud dns record-sets transaction start --zone=ZONE_NAME

  3. 다음 DNS A 레코드를 추가합니다. 이렇게 하면 트래픽이 Google의 제한된 IP 주소로 다시 라우팅됩니다. 

        gcloud dns record-sets transaction add \
        --name=DNS_NAME. \
        --type=A 199.36.153.4 199.36.153.5 199.36.153.6 199.36.153.7 \
        --zone=ZONE_NAME \
        --ttl=300

  4. 방금 추가한 A 레코드를 가리키도록 다음 DNS CNAME 레코드를 추가합니다. 그러면 도메인과 일치하는 모든 트래픽이 이전 단계에서 나열한 IP 주소로 리디렉션됩니다. 

        gcloud dns record-sets transaction add \
        --name=\*.DNS_NAME. \
        --type=CNAME DNS_NAME. \
        --zone=ZONE_NAME \
        --ttl=300

  5. 트랜잭션을 실행합니다. 

        gcloud dns record-sets transaction execute --zone=ZONE_NAME

  6. 다음 도메인 각각에 이 단계를 반복합니다. 반복할 때마다 ZONE_NAMEDNS_NAME을 해당 도메인에 적절한 값으로 변경합니다. 매번 PROJECT_IDNETWORK_NAME을 동일하게 유지합니다. *.notebooks.googleapis.com에는 이미 이러한 단계를 완료했습니다.

    • *.notebooks.googleapis.com
    • *.notebooks.cloud.google.com
    • *.notebooks.googleusercontent.com
    • *.googleapis.com: 다른 Google API 및 서비스와 상호작용하는 코드 실행

서비스 경계 구성

DNS 레코드를 구성한 후에는 서비스 경계를 생성하거나 기존 경계를 업데이트하여 서비스 경계에 프로젝트를 추가합니다.

VPC 네트워크에서 다음 홉이 Default internet gateway199.36.153.4/30 범위의 경로를 추가합니다.

서비스 경계 내에서 Artifact Registry 사용

서비스 경계에서 Artifact Registry를 사용하려면 GKE 비공개 클러스터에 대한 제한된 액세스 구성을 참조하세요.

공유 VPC 사용

공유 VPC를 사용하는 경우 호스트와 서비스 프로젝트를 서비스 경계에 추가해야 합니다. 호스트 프로젝트에서도 컴퓨팅 네트워크 사용자 역할(roles/compute.networkUser)을 서비스 프로젝트의 Notebooks 서비스 에이전트에 부여해야 합니다. 자세한 내용은 서비스 경계 관리를 참조하세요.

사용자 관리형 노트북 인스턴스에 액세스

노트북 열기 단계를 따릅니다.

제한사항

인그레스 및 이그레스 정책의 ID 유형

서비스 경계에 대해 인그레스 또는 이그레스 정책을 지정할 때는 모든 Vertex AI Workbench 작업의 ID 유형으로 ANY_SERVICE_ACCOUNT 또는 ANY_USER_ACCOUNT를 사용할 수 없습니다.

대신 ANY_IDENTITY를 ID 유형으로 사용하세요.

인터넷 없이 워크스테이션에서 사용자 관리형 노트북 프록시에 액세스

인터넷 액세스가 제한된 워크스테이션에서 사용자 관리형 노트북 인스턴스에 액세스하려면 IT 관리자에게 다음 도메인에 액세스할 수 있는지 확인하세요.

  • *.accounts.google.com
  • *.accounts.youtube.com
  • *.googleusercontent.com
  • *.kernels.googleusercontent.com
  • *.gstatic.com
  • *.notebooks.cloud.google.com
  • *.notebooks.googleapis.com

Google Cloud 인증을 위해서는 이러한 도메인에 액세스할 수 있어야 합니다. 자세한 구성 정보는 이전 섹션인 Cloud DNS를 사용하여 DNS 항목 구성을 참조하세요.

다음 단계