Pode configurar o Vertex AI para estabelecer intercâmbio com a nuvem virtual privada (VPC) para se ligar diretamente a determinados recursos no Vertex AI, incluindo:
- Formação personalizada
- Partilhas NFS para preparação personalizada
- Pontos finais de inferência privados
- Ray no Vertex AI
- Correspondência vetorial de consultas online
- Pipelines
Este guia mostra como configurar o intercâmbio da rede da VPC para fazer o intercâmbio da sua rede com recursos do Vertex AI. Este guia é recomendado para administradores de rede que já estejam familiarizados com os Google Cloud conceitos de rede.
Vista geral
Este guia aborda as seguintes tarefas:
- Configure o acesso a serviços privados para a VPC. Isto estabelece uma ligação de intercâmbio entre a sua VPC e a rede da VPC partilhada da Google.
- Considere o intervalo de IPs que tem de reservar para o Vertex AI.
- Se aplicável, exporte os encaminhamentos personalizados para que o Vertex AI os possa importar.
Antes de começar
- Selecione uma VPC com a qual quer estabelecer peering com os recursos do Vertex AI. O Vertex AI só pode ser interligado com uma rede por região de cada vez.
- Selecione ou crie um Google Cloud projeto para usar no Vertex AI.
-
Verify that billing is enabled for your Google Cloud project.
-
Enable the Compute Engine API, Vertex AI API, and Service Networking APIs.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (
roles/serviceusage.serviceUsageAdmin), which contains theserviceusage.services.enablepermission. Learn how to grant roles. - Opcionalmente, pode usar a VPC partilhada. Se usar a VPC partilhada, normalmente, usa o Vertex AI num projeto separado do projeto anfitrião da VPC.Google CloudAtive a API Compute Engine e as APIs Service Networking em ambos os projetos. Saiba como aprovisionar a VPC partilhada.
- Instale a CLI gcloud se quiser executar os
gcloudexemplos neste guia.
Funções necessárias
Se não for proprietário nem editor do projeto, certifique-se de que tem a
função de administrador da rede de computação
(roles/compute.networkAdmin), que
inclui as funções necessárias para gerir recursos de rede.
Intercâmbio com uma rede no local
Para o intercâmbio da rede da VPC com uma rede no local, existem passos adicionais:
- Ligue a sua rede no local à VPC. Pode usar um túnel de VPN ou um interligação.
- Configure rotas personalizadas da VPC para a sua rede no local.
- Exporte os seus encaminhamentos personalizados para que o Vertex AI os possa importar.
Configure o acesso a serviços privados para a sua VPC
Quando configura o acesso a serviços privados, estabelece uma ligação privada entre a sua rede e uma rede pertencente à Google ou a um serviço de terceiros (produtores de serviços). Neste caso, o Vertex AI é um produtor de serviços. Para configurar o acesso privado aos serviços, tem de reservar um intervalo de IPs para os produtores de serviços e, em seguida, criar uma ligação de peering com a Vertex AI.
Se já tiver uma VPC com o acesso a serviços privados configurado, avance para a exportação de rotas personalizadas.
- Defina as variáveis de ambiente para o ID do projeto, o nome do intervalo reservado e o nome da rede. Se usar a VPC partilhada, use o ID do projeto do projeto anfitrião da VPC. Caso contrário, use o ID do projeto que usa para a Vertex AI. Google Cloud
- Ative as APIs necessárias. Se usar a VPC partilhada, consulte o artigo Use a VPC partilhada com a Vertex AI.
- Defina um intervalo reservado através de
gcloud compute addresses create. Estabeleça uma ligação de peering entre o seu projeto anfitrião da VPC e a rede de serviços da Google, através da
gcloud services vpc-peerings connect.Para endpoints de inferência privados, recomendamos que reserve, pelo menos, um bloco
/21para a sub-rede para alojamento de modelos. A reserva de um bloco mais pequeno pode resultar em erros de implementação devido a um número insuficiente de endereços IP.PROJECT_ID=YOUR_PROJECT_ID gcloud config set project $PROJECT_ID # This is for display only; you can name the range anything. PEERING_RANGE_NAME=google-reserved-range NETWORK=YOUR_NETWORK_NAME # NOTE: `prefix-length=16` means a CIDR block with mask /16 will be # reserved for use by Google services, such as Vertex AI. gcloud compute addresses create $PEERING_RANGE_NAME \ --global \ --prefix-length=16 \ --description="peering range for Google service" \ --network=$NETWORK \ --purpose=VPC_PEERING # Create the VPC connection. gcloud services vpc-peerings connect \ --service=servicenetworking.googleapis.com \ --network=$NETWORK \ --ranges=$PEERING_RANGE_NAME \ --project=$PROJECT_ID
Saiba mais acerca do acesso a serviços privados.
Use a VPC partilhada com o Vertex AI
Se usar a VPC partilhada no seu projeto, veja como aprovisionar a VPC partilhada e certifique-se de que conclui os seguintes passos:
Ative a API Compute Engine e as APIs Service Networking no projeto de serviço e no projeto anfitrião. A API Vertex AI tem de estar ativada para o projeto de serviço.
Crie a ligação de intercâmbio de rede VPC entre a sua VPC e os serviços Google no projeto anfitrião.
Durante a criação do Vertex AI, tem de especificar o nome da rede à qual quer que o Vertex AI tenha acesso à VPC partilhada.
Confirme que a conta de serviço ou de utilizador usada tem a função Utilizador da rede de computação (
roles/compute.networkUser).
Reserve intervalos de IP para o Vertex AI
Quando reserva um intervalo de IPs para produtores de serviços, o intervalo pode ser usado pelo Vertex AI e outros serviços. Se estabelecer ligação a vários produtores de serviços com o mesmo intervalo, atribua um intervalo maior para os acomodar, de modo a evitar o esgotamento de IPs.
Leia acerca dos intervalos de IP estimados a reservar para usar o IP privado com diferentes tipos de tarefas de preparação personalizadas.
Se uma tarefa for iniciada com o seguinte parâmetro, é iniciada numa rede gerida pela Google que está em intercâmbio com a sua VPC e outras redes anexadas à mesma:
--network = "projects/${host_project}/global/networks/${network}"
Todas as tarefas que não precisam de aceder às suas redes podem ser iniciadas sem esta declaração, preservando assim as suas atribuições de IP.
Exportar encaminhamentos personalizados
Se usar rotas personalizadas, tem de as exportar para que a Vertex AI as possa importar. Se não usar trajetos personalizados, ignore esta secção.
Para exportar encaminhamentos personalizados, atualize a ligação de peering na sua VPC. A exportação de rotas personalizadas envia todas as rotas estáticas e dinâmicas elegíveis que se encontram na sua rede VPC, como rotas para a sua rede no local, para as redes dos produtores de serviços (neste caso, a Vertex AI). Isto estabelece as ligações necessárias e permite que as tarefas de preparação enviem tráfego de volta para a sua rede no local.
Certifique-se de que a sua rede no local tem rotas de volta para os intervalos de endereços IP atribuídos ao Vertex AI, para que as respostas sejam corretamente encaminhadas de volta para o Vertex AI. Por exemplo, use anúncios de rotas personalizadas do Cloud Router que incluam os intervalos de endereços IP da Vertex AI.
Saiba mais sobre as ligações privadas com redes no local.
Consola
- Aceda à página Intercâmbio da rede da VPC na Google Cloud consola.
Aceda à página Intercâmbio da rede da VPC - Selecione a ligação de peering a atualizar.
- Clique em Edit.
- Selecione Exportar encaminhamentos personalizados.
gcloud
Encontre o nome da associação de peering a atualizar. Se tiver várias associações de troca de tráfego, omita a flag
--format.gcloud services vpc-peerings list \ --network=$NETWORK \ --service=servicenetworking.googleapis.com \ --project=$PROJECT_ID \ --format "value(peering)"
Atualize a ligação de intercâmbio para exportar encaminhamentos personalizados.
gcloud compute networks peerings update PEERING-NAME \ --network=$NETWORK \ --export-custom-routes \ --project=$PROJECT_ID
Verifique o estado das suas associações de peering
Para ver se as associações de peering estão ativas, pode listá-las através do seguinte comando:
gcloud compute networks peerings list --network $NETWORK
Deve ver que o estado da interligação que acabou de criar é ACTIVE.
Saiba mais acerca das associações de peering ativas.
Resolução de problemas
Esta secção lista alguns problemas comuns para configurar o intercâmbio da rede da VPC com a Vertex AI.
Quando configura o Vertex AI para usar uma rede VPC partilhada, especifique o URI da rede da seguinte forma.
"projects/YOUR_SHARED_VPC_HOST_PROJECT/global/networks/YOUR_SHARED_VPC_NETWORK"
Se especificar uma rede de VPC partilhada para o Vertex AI usar, certifique-se de que todos os utilizadores ou atores de contas de serviço do Vertex AI no projeto de serviço têm a função
compute.networkUserconcedida no seu projeto anfitrião.Certifique-se de que atribuiu um intervalo de IP suficiente a todos os produtores de serviços aos quais a sua rede se liga, incluindo o Vertex AI.
Se encontrar as mensagens de erro
IP_SPACE_EXHAUSTED,RANGES_EXHAUSTEDouPEERING_RANGE_EXHAUSTED, tem de aumentar a quantidade de endereços IP disponíveis para a reservaservicenetworkingna sua rede. Pode adicionar um novo intervalo à configuração de interligação de redes VPC existente ou eliminar alguns recursos do Vertex AI para libertar endereços IP atribuídos.Tempos limite de ligação: após a exportação de rotas personalizadas, as ligações do Vertex AI são encaminhadas através da sua rede para alcançar pontos finais noutras redes. No entanto, esses pontos finais podem não ser encaminhados através da sua rede para enviar respostas de volta para o Vertex AI. Certifique-se de que também adiciona rotas estáticas ou dinâmicas nessas redes para o caminho de retorno ao intervalo de IP atribuído do Vertex AI.
Tempos limite de ligação / erros de anfitrião inacessível: uma vez que o peering transitivo não é suportado, as ligações do Vertex AI não vão conseguir alcançar os pontos finais noutras redes que estejam em peering direto com a sua rede, mesmo com a opção "Exportar rotas personalizadas" ativada. Colabore com o administrador de rede para se certificar de que não existem tentativas de encaminhar diretamente a sua rede de uma rede com peering direto para outra. Se necessário, pode substituir um destes saltos de peering por uma solução que suporte rotas estáticas ou dinâmicas.
Erros de DNS de anfitrião inacessível: se a tarefa do Vertex AI precisar de resolver nomes de anfitriões na sua VPC, certifique-se de que concluiu a configuração para partilhar zonas de DNS privadas com produtores de serviços.
Se encontrar o erro
Unable to create an instance within a Shared VPC network, consulte o artigo Resolução de problemas do Vertex AI Workbench.Se encontrar a mensagem de erro
For the peered network $network_name, couldn't find a free blocks in allocated IP ranges. This is needed to create the cluster., tem de aumentar a quantidade de intervalos atribuídos disponíveis para o serviço. Pode fazê-lo das seguintes formas:- Adicione um novo intervalo atribuído à sua rede e adicione-o à sua
servicenetworking-googleapis-comligação privada. Tenha em atenção que o tamanho mínimo do intervalo alocado necessário é/18. - Elimine recursos do Vertex AI não usados existentes para libertar endereços IP atribuídos.
Em alternativa, pode considerar substituir a interligação de redes VPC por uma ligação de acesso a serviços privados.
- Adicione um novo intervalo atribuído à sua rede e adicione-o à sua
Para mais informações sobre a resolução de problemas, consulte o guia de resolução de problemas da interligação de redes VPC.
O que se segue?
- Saiba como usar o IP privado para a preparação personalizada.
- Saiba como usar pontos finais privados para inferência.
- Saiba mais acerca do intercâmbio da rede da VPC.
- Consulte as arquiteturas de referência e as práticas recomendadas para o design de VPC.