Configurazione del peering di rete VPC

Puoi configurare Vertex AI per il peering con Virtual Private Cloud (VPC) per la connessione diretta alcune risorse di Vertex AI, tra cui:

Questa guida mostra come configurare il peering di rete VPC verso il peer la tua rete con le risorse Vertex AI. Questa guida è consigliata per gli amministratori di rete che hanno già familiarità con Google Cloud concetti di networking.

Panoramica

Questa guida tratta le seguenti attività:

  • Configura l'accesso privato ai servizi per il VPC. Questo stabilisce una connessione in peering tra il tuo VPC e rete VPC condivisa.
  • Considera l'intervallo IP che devi prenotare per Vertex AI.
  • Se applicabile, esporta le route personalizzate in modo che Vertex AI possa importarli.

Prima di iniziare

Ruoli obbligatori

Se non sei un proprietario o un editor del progetto, assicurati di avere Ruolo Amministratore rete Compute (roles/compute.networkAdmin), che include i ruoli necessari per gestire le risorse di networking.

Peering con una rete on-premise

Per il peering di rete VPC con una rete on-premise, sono previsti passaggi aggiuntivi:

  1. Connetti la tua rete on-premise al VPC. Puoi utilizzare uno dei seguenti Tunnel VPN o Interconnessione.
  2. Configura le route personalizzate VPC alla rete on-premise.
  3. Esporta le route personalizzate in modo che Vertex AI possa importarle.

Configura l'accesso privato ai servizi per il tuo VPC

Quando imposti l'accesso privato ai servizi, stabilisci una connessione privata tra la tua rete e una rete di proprietà di Google o di un servizio di terze parti (producer di servizi). In questo caso, Vertex AI è un producer di servizi. Per configurare accesso privato ai servizi, riservare un intervallo IP per i producer di servizi; e e poi creerai una connessione in peering con Vertex AI.

Se hai già un VPC con accesso privato ai servizi configurate, passa all'esportazione di route personalizzate.

  1. Imposta le variabili di ambiente per l'ID progetto, il nome del tuo intervallo riservato e il nome della rete. Se utilizzi un VPC condiviso, usa l'ID progetto del tuo VPC progetto host. In caso contrario, usa l'ID del progetto Google Cloud che usi per Vertex AI.
  2. Abilita le API richieste. Se utilizzi VPC condiviso, consulta Utilizzare il VPC condiviso con Vertex AI.
  3. Imposta un intervallo riservato utilizzando gcloud compute addresses create.

  4. Stabilisci una connessione in peering tra il progetto host VPC e le reti di servizi di Google, utilizzando gcloud services vpc-peerings connect.

    Per gli endpoint di previsione privati, è consigliabile prenotare almeno un blocco /21 per la subnet per il modello hosting. La prenotazione di un blocco più piccolo può causare errori di deployment a causa di indirizzi IP insufficienti. Puoi scegliere di utilizzare indirizzi non RFC 1918 per il deployment.

    PROJECT_ID=YOUR_PROJECT_ID
gcloud config set project $PROJECT_ID

# This is for display only; you can name the range anything.
PEERING_RANGE_NAME=google-reserved-range

NETWORK=YOUR_NETWORK_NAME

# NOTE: `prefix-length=16` means a CIDR block with mask /16 will be
# reserved for use by Google services, such as Vertex AI.
gcloud compute addresses create $PEERING_RANGE_NAME \
  --global \
  --prefix-length=16 \
  --description="peering range for Google service" \
  --network=$NETWORK \
  --purpose=VPC_PEERING

# Create the VPC connection.
gcloud services vpc-peerings connect \
  --service=servicenetworking.googleapis.com \
  --network=$NETWORK \
  --ranges=$PEERING_RANGE_NAME \
  --project=$PROJECT_ID

Scopri di più su accesso privato ai servizi.

Utilizza un VPC condiviso con Vertex AI

Se utilizzi il VPC condiviso nel progetto, scopri come Esegui il provisioning di un VPC condiviso e di completare questi passaggi:

  1. Abilita l'API Compute Engine e le API Service Networking in il progetto host e di servizio. L'API Vertex AI deve essere abilitata per progetto di servizio.

  2. Crea la connessione in peering di rete VPC tra VPC e dai servizi Google all'interno del progetto host.

  3. Durante la creazione di Vertex AI, devi specificare il nome della rete che vuoi a Vertex AI per accedere al VPC condiviso.

  4. Verifica che il servizio o l'account utente utilizzato abbia ruolo Ruolo Utente di rete Compute (roles/compute.networkUser).

Prenota intervalli IP per Vertex AI

Quando prenoti un intervallo IP per i producer di servizi, l'intervallo può essere utilizzato Vertex AI e altri servizi. Se ti connetti a più servizi produttori che usano la stessa gamma, allocarne una più ampia per ospitarli, per evitare l'esaurimento degli indirizzi IP.

Scopri di più sugli intervalli IP stimati da prenotare per l'utilizzo di IP privato con indirizzi IP diversi di addestramento personalizzato.

Se un job viene avviato con il parametro seguente, verrà avviato in un ambiente gestito da Google rete connessa in peering con il tuo VPC e con altre reti collegate:

--network = "projects/${host_project}/global/networks/${network}"

Tutti i job che non hanno bisogno di accedere alle tue reti possono essere avviati senza questa di Google, preservando così le allocazioni della tua proprietà intellettuale.

Esporta route personalizzate

Se utilizzi route personalizzate, devi esportarle in modo che Vertex AI possono importarli. Se non utilizzi route personalizzate, salta questa sezione.

Per esportare le route personalizzate, aggiornare la connessione in peering nel tuo VPC. L'esportazione delle route personalizzate route statiche e dinamiche idonee si trovano nella tua rete VPC, ad esempio route dalla rete dei producer di servizi (Vertex AI) in questo caso). Questo consente di stabilire le connessioni necessarie e di addestrare per inviare il traffico alla rete on-premise.

Assicurati che la rete on-premise abbia le route ritornate agli intervalli di indirizzi IP allocati per Vertex AI affinché le risposte vengano correttamente indirizzate a Vertex AI. Ad esempio, utilizza la route personalizzata del router Cloud che includono gli intervalli di indirizzi IP di Vertex AI.

Scopri di più su connessioni private con reti on-premise.

Console

  1. Vai alla pagina Peering di rete VPC nella console Google Cloud.
    Vai alla pagina Peering di rete VPC
  2. Seleziona la connessione in peering da aggiornare.
  3. Fai clic su Modifica.
  4. Seleziona Esporta route personalizzate.

gcloud

  1. Trova il nome della connessione in peering da aggiornare. Se disponi di più connessioni in peering, ometti il flag --format.

    gcloud services vpc-peerings list \
  --network=$NETWORK \
  --service=servicenetworking.googleapis.com \
  --project=$PROJECT_ID \
  --format "value(peering)"

  2. Aggiorna la connessione in peering per esportare le route personalizzate.

    gcloud compute networks peerings update PEERING-NAME \
    --network=$NETWORK \
    --export-custom-routes \
    --project=$PROJECT_ID

Controllare lo stato delle connessioni in peering

Per vedere che le connessioni in peering sono attive, puoi elencarle utilizzando

gcloud compute networks peerings list --network $NETWORK

Dovresti vedere che lo stato del peering appena creato è ACTIVE. Scopri di più sulle connessioni in peering attive.

Risoluzione dei problemi

Questa sezione elenca alcuni problemi comuni per la configurazione del peering di rete VPC con Vertex AI.

  • Quando configuri Vertex AI per utilizzare una rete VPC condiviso, specifica l'URI di rete nel seguente modo.

    "projects/YOUR_SHARED_VPC_HOST_PROJECT/global/networks/YOUR_SHARED_VPC_NETWORK"

  • Se specifichi una rete VPC condivisa per Vertex AI, quindi assicurati che tutti gli utenti o attori account di servizio per Vertex AI nel progetto di servizio ti è stato concesso il ruolo compute.networkUser nel progetto host.

  • Assicurati di aver allocato un intervallo IP sufficiente per tutti i servizi dei produttori a cui si connette la tua rete, tra cui Vertex AI.

  • Se viene visualizzato il messaggio di errore IP_SPACE_EXHAUSTED, RANGES_EXHAUSTED o PEERING_RANGE_EXHAUSTED devi aumenta la quantità di IP disponibili indirizzi per la prenotazione servicenetworking nella tua rete. Puoi aggiungere un nuovo gamma alla configurazione di peering di rete VPC esistente o elimina un po' di Vertex AI per rilasciare indirizzi IP allocati.

  • Timeout connessione: dopo aver esportato le route personalizzate, le connessioni da Vertex AI verranno vengono instradate attraverso la rete per raggiungere gli endpoint in altre reti. Tuttavia, gli endpoint potrebbero non instradare le risposte attraverso la rete per riinviare le risposte a Vertex AI. Assicurati di aggiungere anche route statiche o dinamiche in quelle reti per di ritorno all'intervallo IP allocato a Vertex AI.

  • Timeout connessione / errori Host non raggiungibile: poiché il peering transitivo non è supportato, le connessioni da Vertex AI non potrà raggiungere gli endpoint in altre reti che sono direttamente connesse in peering verso la rete, anche con l'opzione "Esporta route personalizzate" in un bucket con il controllo delle versioni attivo. Collaborare con l'amministratore di rete per assicurarti che non ci siano tentativi di instradare direttamente la tua rete da una rete in peering diretto a un'altra. Se necessario, puoi sostituire uno di questi hop di peering con una soluzione che supporti route statiche o dinamiche.

  • Errori DNS non raggiungibili dell'host: se il tuo job Vertex AI deve risolvere i nomi host in del tuo VPC, assicurati di aver completato la configurazione Condividi zone DNS private con i producer di servizi.

Per ulteriori informazioni sulla risoluzione dei problemi, consulta la Guida alla risoluzione dei problemi del peering di rete VPC.

Passaggi successivi