Configurar o peering de rede VPC

É possível configurar o Vertex AI para fazer peering com a nuvem privada virtual (VPC) para se conectar diretamente a determinados recursos no Vertex AI, incluindo:

Este guia mostra como configurar o Peering de rede VPC para fazer peering com sua rede usando recursos do Vertex AI. Este guia é recomendado para administradores de rede que já estão familiarizados com os conceitos de rede do Google Cloud.

Visão geral

Este guia abrange as seguintes tarefas:

  • Configurar o acesso a serviços privados para a VPC. Isso estabelece uma conexão de peering entre sua VPC e a rede VPC compartilhada do Google.
  • Considere o intervalo de IP que você precisa reservar para a Vertex AI.
  • Se aplicável, exporte rotas personalizadas para que a Vertex AI possa importá-las.

Antes de começar

  • Selecione a VPC que você quer fazer peering com jobs da Vertex AI. A Vertex AI só pode fazer peering com uma rede por região de cada vez.
  • Selecione ou crie um projeto do Google Cloud para usar na Vertex AI.
  • Make sure that billing is enabled for your Google Cloud project.

  • Enable the Compute Engine API, Vertex AI API, and Service Networking APIs.

    Enable the APIs

  • Se quiser, use a VPC compartilhada. Se você usar a VPC compartilhada, geralmente usará a Vertex AI em um projeto separado do Google Cloud em vez do projeto host da VPC. Ative a API Compute Engine e as APIs Service Networking nos dois projetos. Saiba como provisionar VPC compartilhada.
  • Instale a CLI gcloud se você quiser executar os exemplos gcloud deste guia.

Funções exigidas

Se você não for proprietário ou editor de um projeto, verifique se tem o papel de administrador de rede de computação (roles/compute.networkAdmin), que inclui as permissões necessárias para gerenciar recursos de rede.

Peering com uma rede local

Para fazer peering da rede VPC com uma rede local, há etapas adicionais:

  1. Conecte sua rede local à VPC. Você pode usar um túnel VPN ou uma interconexão.
  2. Configure rotas personalizadas da VPC para sua rede local.
  3. Exporte rotas personalizadas para que a Vertex AI possa importá-las.

Configurar o acesso a serviços particulares para sua VPC

Ao configurar o acesso a serviços particulares, você estabelece uma conexão particular entre sua rede e uma rede de propriedade do Google ou de um serviço de terceiros (produtores de serviços). Nesse caso, a Vertex AI é um produtor de serviço. Para configurar o acesso a serviços particulares, reserve um intervalo de IP para os produtores de serviços e crie uma conexão de peering com a Vertex AI.

Se você já tiver uma VPC com acesso a serviços particulares configurada, prossiga para a exportação de rotas personalizadas.

  1. Defina variáveis de ambiente para o ID do projeto, o nome da região, do intervalo reservado e da rede. Se você usar a VPC compartilhada, use o ID do projeto host da VPC. Caso contrário, use o ID do projeto do Google Cloud que você usa para a Vertex AI.
  2. Ative as APIs necessárias. Se você usa a VPC compartilhada, consulte Usar a VPC compartilhada com a Vertex AI.
  3. Defina um intervalo reservado usando gcloud compute addresses create.
  4. Estabeleça uma conexão de peering entre o projeto host da VPC e a rede de serviços do Google usando gcloud services vpc-peerings connect.

    Para endpoints de previsão particulares, recomendamos reservar pelo menos um bloco /21 para a sub-rede para hospedagem do modelo. Reservar um bloco menor pode resultar em erros de implantação devido a endereços IP insuficientes. Você tem a opção de usar endereços não RFC 1918 para implantação.

    PROJECT_ID=YOUR_PROJECT_ID
    gcloud config set project $PROJECT_ID
    
    # This is for display only; you can name the range anything.
    PEERING_RANGE_NAME=google-reserved-range
    
    NETWORK=YOUR_NETWORK_NAME
    
    # NOTE: `prefix-length=16` means a CIDR block with mask /16 will be
    # reserved for use by Google services, such as Vertex AI.
    gcloud compute addresses create $PEERING_RANGE_NAME \
      --global \
      --prefix-length=16 \
      --description="peering range for Google service" \
      --network=$NETWORK \
      --purpose=VPC_PEERING
    
    # Create the VPC connection.
    gcloud services vpc-peerings connect \
      --service=servicenetworking.googleapis.com \
      --network=$NETWORK \
      --ranges=$PEERING_RANGE_NAME \
      --project=$PROJECT_ID
    

Saiba mais sobre o acesso privado a serviços.

Usar a VPC compartilhada com a Vertex AI

Se você usa a VPC compartilhada no projeto, consulte como Provisionar a VPC compartilhada e conclua as etapas a seguir:

  1. Ative as APIs Compute Engine e Service Networking nos projetos host e de serviço. A API Vertex AI precisa estar ativada para o projeto de serviço.

  2. Crie a conexão de peering de rede VPC entre a VPC e os serviços do Google no projeto host.

  3. Durante a criação da Vertex AI, é preciso especificar o nome da rede que você quer que a Vertex AI tenha acesso à VPC compartilhada.

  4. Verifique se a conta de serviço ou de usuário usada tem o papel Usuário da rede do Compute (roles/compute.networkUser).

Reserve intervalos de IP para a Vertex AI

Quando você reserva um intervalo de IP para produtores de serviços, ele pode ser usado pela Vertex AI e outros serviços. Se você se conectar com vários produtores de serviços usando o mesmo intervalo, aloque um intervalo maior para acomodá-los. Isso evita o esgotamento do IP.

Leia sobre intervalos de IP estimados para reservar para usar o IP particular com diferentes tipos de jobs de treinamento personalizados.

Se um job for iniciado com o parâmetro abaixo, ele será iniciado em uma rede gerenciada pelo Google que esteja em peering com sua VPC e outras redes anexadas a ele:

--network = "projects/${host_project}/global/networks/${network}"

Todos os jobs que não precisarem acessar suas redes podem ser iniciados sem essa declaração, preservando as alocações de IP.

Exportar rotas personalizadas

Se você usa rotas personalizadas, é necessário exportá-las para que a Vertex AI possa importá-las. Se você não usa rotas personalizadas, pule esta seção.

Para exportar rotas personalizadas, atualize a conexão de peering na sua VPC. A exportação de rotas personalizadas envia todas as rotas dinâmicas e estáticas qualificadas que estão na rede VPC, como rotas para a rede local, para redes de produtores de serviço (neste caso, a Vertex AI). Isso estabelece as conexões necessárias e permite que os jobs de treinamento enviem tráfego de volta para sua rede local.

Verifique se a rede local tem rotas de volta aos intervalos de endereços IP alocados para a Vertex AI. Assim, as respostas serão roteadas corretamente de volta para a Vertex AI. Por exemplo, use divulgações de rota personalizadas do Cloud Router que incluem os intervalos de endereços IP da Vertex AI.

Saiba mais sobre conexões particulares com redes locais.

Console

  1. Acesse a página "Peering de rede VPC" no Console do Google Cloud.
    Acessar a página "Peering de redes VPC"
  2. Selecione a conexão de peering a ser atualizada.
  3. Clique em Editar.
  4. Selecione Exportar rotas personalizadas.

gcloud

  1. Encontre o nome da conexão de peering a ser atualizada. Se você tiver várias conexões de peering, omita a sinalização --format.

    gcloud services vpc-peerings list \
      --network=$NETWORK \
      --service=servicenetworking.googleapis.com \
      --project=$PROJECT_ID \
      --format "value(peering)"
    
  2. Atualize a conexão de peering para exportar rotas personalizadas.

    gcloud compute networks peerings update PEERING-NAME \
        --network=$NETWORK \
        --export-custom-routes \
        --project=$PROJECT_ID
    

Verificar o status das suas conexões de peering

Para ver se as conexões de peering estão ativas, você pode listá-las usando

gcloud compute networks peerings list --network $NETWORK

Você verá que o estado do peering que acabou de criar é ACTIVE. Saiba mais sobre conexões de peering ativas.

Solução de problemas

Esta seção lista alguns problemas comuns na configuração do peering de rede VPC com a Vertex AI.

  • Ao configurar a Vertex AI para usar uma rede VPC compartilhada, especifique o URI da rede da maneira a seguir.

    "projects/YOUR_SHARED_VPC_HOST_PROJECT/global/networks/YOUR_SHARED_VPC_NETWORK"

  • Se você especificar uma rede VPC compartilhada para a Vertex AI usar, verifique se todos os usuários ou agentes da conta de serviço da Vertex AI no projeto de serviço têm o papel compute.networkUser concedido no projeto host.

  • Verifique se você alocou um intervalo de IP suficiente para todos os produtores de serviços aos quais sua rede se conecta, incluindo a Vertex AI.

  • Se você encontrar as mensagens de erro IP_SPACE_EXHAUSTED, RANGES_EXHAUSTED ou PEERING_RANGE_EXHAUSTED, aumente a quantidade de endereços IP disponíveis para a reserva servicenetworking na sua rede. É possível adicionar um novo intervalo à configuração atual de peering de rede VPC ou excluir alguns recursos da Vertex AI para liberar endereços IP alocados.

  • Tempos limite de conexão: depois de exportar rotas personalizadas, as conexões da Vertex AI serão roteadas pela sua rede para alcançar endpoints em outras redes. No entanto, esses endpoints podem não ser roteados pela sua rede para enviar respostas de volta à Vertex AI. Adicione também rotas estáticas ou dinâmicas nessas redes para o caminho de retorno para o intervalo de IP alocado da Vertex AI.

  • Tempos limite de conexão / erros de host inacessível: como o peering transitivo não é aceito, as conexões da Vertex AI não conseguem alcançar endpoints em outras redes que estejam com peering direto com sua rede, mesmo com a opção "Exportar rotas personalizadas" ativada. Trabalhe com seu administrador de rede para garantir que não haja tentativas de rotear sua rede diretamente de uma rede com peering direto para outra. Se necessário, substitua um desses saltos de peering por uma solução que ofereça suporte a rotas estáticas ou dinâmicas.

  • Erros de DNS inacessível de host: se o job da Vertex AI precisar resolver nomes de host na VPC, verifique se você concluiu a configuração para Compartilhar zonas de DNS particulares com produtores de serviços.

Para mais informações sobre solução de problemas, consulte o guia de solução de problemas de peering de rede VPC.

A seguir