Configurazione del peering di rete VPC

Puoi configurare Vertex AI per il peering con Virtual Private Cloud (VPC) per la connessione diretta con determinate risorse in Vertex AI, tra cui:

Questa guida mostra come configurare il peering di rete VPC per eseguire il peering della rete con le risorse Vertex AI. Questa guida è consigliata per gli amministratori di networking che hanno già familiarità con i concetti di networking di Google Cloud.

Panoramica

Questa guida illustra le seguenti attività:

  • Configura l'accesso privato ai servizi per il VPC. Questa operazione stabilisce una connessione in peering tra il tuo VPC e la rete VPC condivisa di Google.
  • Considera l'intervallo IP che devi prenotare per Vertex AI.
  • Se applicabile, esporta le route personalizzate in modo che Vertex AI possa importarle.

Prima di iniziare

Ruoli obbligatori

Se non sei un proprietario o un editor del progetto, assicurati di disporre del ruolo Amministratore rete Compute (roles/compute.networkAdmin), che include i ruoli richiesti necessari per gestire le risorse di networking.

Peering con una rete on-premise

Per il peering di rete VPC con una rete on-premise, sono previsti passaggi aggiuntivi:

  1. Connetti la tua rete on-premise al VPC. Puoi utilizzare un tunnel VPN o l'interconnessione.
  2. Configura route personalizzate dal VPC alla rete on-premise.
  3. Esporta le tue route personalizzate in modo che Vertex AI possa importarle.

Configura l'accesso privato ai servizi per il tuo VPC

Quando configuri l'accesso privato ai servizi, stabilisci una connessione privata tra la tua rete e una rete di proprietà di Google o di un servizio di terze parti (producer di servizi). In questo caso, Vertex AI è un producer di servizi. Per configurare l'accesso privato ai servizi, devi prenotare un intervallo IP per i producer di servizi, quindi creare una connessione in peering con Vertex AI.

Se hai già configurato un VPC con l'accesso privato ai servizi, passa all'esportazione delle route personalizzate.

  1. Imposta le variabili di ambiente per l'ID progetto, il nome dell'intervallo riservato e il nome della rete. Se utilizzi un VPC condiviso, utilizza l'ID progetto del tuo progetto host VPC. Altrimenti, usa l'ID del progetto Google Cloud che usi per Vertex AI.
  2. Abilita le API richieste. Se utilizzi un VPC condiviso, consulta Utilizzare un VPC condiviso con Vertex AI.
  3. Imposta un intervallo riservato utilizzando gcloud compute addresses create.

  4. Stabilisci una connessione in peering tra il progetto host VPC e il networking di servizi di Google utilizzando gcloud services vpc-peerings connect.

    Per gli endpoint privati di previsione, consigliamo di prenotare almeno un blocco /21 per la subnet per l'hosting del modello. La prenotazione di un blocco di dimensioni inferiori può causare errori di deployment dovuti a indirizzi IP insufficienti. Puoi scegliere di utilizzare indirizzi non RFC 1918 per il deployment.

    PROJECT_ID=YOUR_PROJECT_ID
gcloud config set project $PROJECT_ID

# This is for display only; you can name the range anything.
PEERING_RANGE_NAME=google-reserved-range

NETWORK=YOUR_NETWORK_NAME

# NOTE: `prefix-length=16` means a CIDR block with mask /16 will be
# reserved for use by Google services, such as Vertex AI.
gcloud compute addresses create $PEERING_RANGE_NAME \
  --global \
  --prefix-length=16 \
  --description="peering range for Google service" \
  --network=$NETWORK \
  --purpose=VPC_PEERING

# Create the VPC connection.
gcloud services vpc-peerings connect \
  --service=servicenetworking.googleapis.com \
  --network=$NETWORK \
  --ranges=$PEERING_RANGE_NAME \
  --project=$PROJECT_ID

Scopri di più sull'accesso privato ai servizi.

Utilizza un VPC condiviso con Vertex AI

Se utilizzi un VPC condiviso nel tuo progetto, scopri come eseguire il provisioning di un VPC condiviso e assicurati di completare i seguenti passaggi:

  1. Abilitare le API Compute Engine e Service Networking nel progetto host e di servizio. L'API Vertex AI deve essere abilitata per il progetto di servizio.

  2. Crea la connessione in peering di rete VPC tra il tuo VPC e i servizi Google all'interno del progetto host.

  3. Durante la creazione di Vertex AI, devi specificare il nome della rete a cui Vertex AI deve avere accesso al VPC condiviso.

  4. Verifica che l'account di servizio o utente utilizzato abbia il ruolo Ruolo Utente di rete Compute (roles/compute.networkUser).

Prenota intervalli IP per Vertex AI

Quando prenoti un intervallo IP per i producer di servizi, l'intervallo può essere utilizzato da Vertex AI e altri servizi. Se ti connetti con più producer di servizi utilizzando lo stesso intervallo, alloca un intervallo più ampio per ospitarli, in modo da evitare l'esaurimento degli IP.

Ulteriori informazioni sugli intervalli IP stimati da prenotare per l'utilizzo dell'IP privato con diversi tipi di job di addestramento personalizzato.

Se viene avviato un job con il parametro seguente, verrà avviato in una rete gestita da Google in peering con il tuo VPC e altre reti collegate:

--network = "projects/${host_project}/global/networks/${network}"

Tutti i job che non devono accedere alle tue reti possono essere avviati senza questa dichiarazione, preservando così le allocazioni degli IP.

Esporta route personalizzate

Se utilizzi route personalizzate, devi esportarle in modo che Vertex AI possa importarle. Se non utilizzi route personalizzate, salta questa sezione.

Per esportare route personalizzate, devi aggiornare la connessione in peering nel VPC. L'esportazione di route personalizzate invia tutte le route statiche e dinamiche idonee che si trovano nella tua rete VPC, come le route alla tua rete on-premise, alle reti dei producer di servizi (in questo caso Vertex AI). Questo stabilisce le connessioni necessarie e consente ai job di addestramento di inviare il traffico alla rete on-premise.

Assicurati che la tua rete on-premise abbia route di ritorno agli intervalli di indirizzi IP allocati per Vertex AI, in modo che le risposte vengano instradate correttamente a Vertex AI. Ad esempio, usa gli annunci per le route personalizzate del router Cloud che includono gli intervalli di indirizzi IP di Vertex AI.

Scopri di più sulle connessioni private con reti on-premise.

Console

  1. Vai alla pagina Peering di rete VPC nella console Google Cloud.
    Vai alla pagina Peering di rete VPC
  2. Seleziona la connessione in peering da aggiornare.
  3. Fai clic su Modifica.
  4. Seleziona Esporta route personalizzate.

gcloud

  1. Trova il nome della connessione in peering da aggiornare. Se disponi di più connessioni di peering, ometti il flag --format.

    gcloud services vpc-peerings list \
  --network=$NETWORK \
  --service=servicenetworking.googleapis.com \
  --project=$PROJECT_ID \
  --format "value(peering)"

  2. Aggiorna la connessione in peering per esportare route personalizzate.

    gcloud compute networks peerings update PEERING-NAME \
    --network=$NETWORK \
    --export-custom-routes \
    --project=$PROJECT_ID

Controllare lo stato delle connessioni in peering

Per verificare che le connessioni in peering siano attive, puoi elencarle utilizzando

gcloud compute networks peerings list --network $NETWORK

Dovresti vedere che lo stato del peering appena creato è ACTIVE. Scopri di più sulle connessioni in peering attive.

Risoluzione dei problemi

Questa sezione elenca alcuni problemi comuni relativi alla configurazione del peering di rete VPC con Vertex AI.

  • Quando configuri Vertex AI per l'utilizzo di una rete VPC condiviso, specifica l'URI di rete nel seguente modo.

    "projects/YOUR_SHARED_VPC_HOST_PROJECT/global/networks/YOUR_SHARED_VPC_NETWORK"

  • Se specifichi una rete VPC condivisa per Vertex AI da utilizzare, assicurati che qualsiasi attore utente o account di servizio per Vertex AI nel progetto di servizio abbia il ruolo compute.networkUser concesso nel progetto host.

  • Assicurati di aver allocato un intervallo IP sufficiente per tutti i producer di servizi a cui si connette la tua rete, incluso Vertex AI.

  • Se viene visualizzato i messaggi di errore IP_SPACE_EXHAUSTED, RANGES_EXHAUSTED o PEERING_RANGE_EXHAUSTED, devi aumentare la quantità di indirizzi IP disponibili per la prenotazione servicenetworking nella tua rete. Puoi aggiungere un nuovo intervallo alla configurazione di peering di rete VPC esistente o eliminare alcune risorse Vertex AI per rilasciare gli indirizzi IP allocati.

  • Timeout connessione: dopo aver esportato le route personalizzate, le connessioni di Vertex AI verranno instradate attraverso la rete per raggiungere gli endpoint in altre reti. Tuttavia, questi endpoint potrebbero non essere instradati attraverso la rete per inviare risposte di nuovo a Vertex AI. Assicurati di aggiungere anche route statiche o dinamiche in queste reti per il percorso di ritorno all'intervallo IP allocato da Vertex AI.

  • Timeout connessione / errori relativi a host non raggiungibili: poiché il peering transitivo non è supportato, le connessioni da Vertex AI non saranno in grado di raggiungere endpoint in altre reti che sono connesse direttamente in peering alla tua rete, anche se l'opzione "Esporta route personalizzate" è abilitata. Collabora con l'amministratore di rete per assicurarti che non vengano effettuati tentativi di routing diretto della rete da una rete in peering diretto a un'altra. Se necessario, puoi sostituire uno di questi hop di peering con una soluzione che supporti route statiche o dinamiche.

  • Errori di hosting DNS non raggiungibili: se il job Vertex AI deve risolvere i nomi host nel VPC, assicurati di aver completato la configurazione per condividere zone DNS private con i producer di servizi.

Per ulteriori informazioni sulla risoluzione dei problemi, consulta la Guida alla risoluzione dei problemi relativi al peering di rete VPC.

Passaggi successivi