Este guia mostra como configurar uma interface do Private Service Connect para recursos do Vertex AI.
Pode configurar ligações de interface do Private Service Connect para determinados recursos na Vertex AI, incluindo:
Ao contrário das ligações de interligação de VPCs, as ligações de interface do Private Service Connect são transitivas. Isto requer menos endereços IP na rede de VPC do consumidor. Isto permite uma maior flexibilidade na ligação a outras redes VPC no seu Google Cloud projeto e nas instalações.
Este guia destina-se a administradores de rede familiarizados com os conceitos de Google Cloud rede.
Objetivos
Este guia aborda as seguintes tarefas:
- Configure uma rede de VPC de produtor , uma sub-rede e uma associação de rede.
- Adicione regras de firewall ao seu Google Cloud projeto de anfitrião de rede.
- Crie um recurso do Vertex AI que especifique a associação da rede para usar uma interface do Private Service Connect.
Antes de começar
Use as seguintes instruções para criar ou selecionar um Google Cloud projeto e configurá-lo para utilização com o Vertex AI e o Private Service Connect.
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
-
Enable the Vertex AI, Compute Engine, and Cloud Storage APIs.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (
roles/serviceusage.serviceUsageAdmin), which contains theserviceusage.services.enablepermission. Learn how to grant roles. -
Install the Google Cloud CLI.
-
Se estiver a usar um fornecedor de identidade (IdP) externo, tem primeiro de iniciar sessão na CLI gcloud com a sua identidade federada.
-
Para inicializar a CLI gcloud, execute o seguinte comando:
gcloud init -
Depois de inicializar a CLI gcloud, atualize-a e instale os componentes necessários:
gcloud components update gcloud components install beta
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
-
Enable the Vertex AI, Compute Engine, and Cloud Storage APIs.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (
roles/serviceusage.serviceUsageAdmin), which contains theserviceusage.services.enablepermission. Learn how to grant roles. -
Install the Google Cloud CLI.
-
Se estiver a usar um fornecedor de identidade (IdP) externo, tem primeiro de iniciar sessão na CLI gcloud com a sua identidade federada.
-
Para inicializar a CLI gcloud, execute o seguinte comando:
gcloud init -
Depois de inicializar a CLI gcloud, atualize-a e instale os componentes necessários:
gcloud components update gcloud components install beta
- Se não for o proprietário do projeto e não tiver a função
Project IAM Admin (
roles/resourcemanager.projectIamAdmin) , peça ao proprietário para lhe conceder uma função de IAM que inclua as autorizaçõescompute.networkAttachments.update,compute.networkAttachments.update, ecompute.regionOperations.get: por exemplo, a função Compute Network Admin (roles/compute.networkAdmin) para gerir recursos de rede. - Atribua a função de administrador de rede do Compute ao projeto anfitrião da rede à conta do agente de serviço da AI Platform do projeto onde está a usar os serviços do Vertex AI Training ou do Vertex AI Agent Engine. Google Cloud
-
gcloud compute networks create NETWORK \ --subnet-mode=customSubstitua NETWORK por um nome para a rede VPC.
-
gcloud compute networks subnets create SUBNET_NAME \ --network=NETWORK \ --range=PRIMARY_RANGE \ --region=REGIONSubstitua o seguinte:
- SUBNET_NAME: um nome para a sub-rede.
PRIMARY_RANGE: o intervalo IPv4 principal para a nova sub-rede, na notação CIDR.
Seguem-se os requisitos e as limitações de IP para a Vertex AI:
- A Vertex AI recomenda uma sub-rede
/28. - A sub-rede da associação de rede suporta endereços RFC 1918 e não RFC 1918, com exceção das sub-redes 100.64.0.0/10 e 240.0.0.0/4.
- O Vertex AI só se pode ligar a intervalos de endereços IP RFC 1918 encaminháveis a partir da rede especificada.
O Vertex AI não consegue alcançar um endereço IP público usado de forma privada ou estes intervalos não RFC 1918:
100.64.0.0/10192.0.0.0/24192.0.2.0/24198.18.0.0/15198.51.100.0/24203.0.113.0/24240.0.0.0/4
Para mais informações, consulte o artigo Intervalos de sub-redes IPv4.
- A Vertex AI recomenda uma sub-rede
REGION: a Google Cloud região onde cria a nova sub-rede.
Crie uma regra de firewall que permita o acesso SSH na porta TCP 22:
gcloud compute firewall-rules create NETWORK-firewall1 \ --network NETWORK \ --allow tcp:22Crie uma regra de firewall que permita o tráfego HTTPS na porta TCP 443:
gcloud compute firewall-rules create NETWORK-firewall2 \ --network NETWORK \ --allow tcp:443Crie uma regra de firewall que permita o tráfego ICMP (como pedidos de ping):
gcloud compute firewall-rules create NETWORK-firewall3 \ --network NETWORK \ --allow icmpAtribua a função DNS
Peer(roles/dns.peer)à conta do agente de serviço da AI Platform do projeto onde está a usar os serviços do Vertex AI Training ou do Vertex AI Agent Engine. Se especificar uma rede de VPC partilhada para o Vertex AI usar e criar uma associação de rede num projeto de serviço, conceda ao agente do serviço AI Platform no projeto de serviço onde usa o Vertex AI a função dePeer(roles/dns.peer)DNS no seu projeto anfitrião de VPC.Crie uma regra de firewall que permita todo o tráfego ICMP, TCP e UDP (opcional):
gcloud compute firewall-rules create NETWORK-firewall4 \ --network NETWORK --allow tcp:0-65535,udp:0-65535,icmp --source-ranges IP_RANGESConfigure a sua zona de DNS privado para a resolução de DNS e o encaminhamento de tráfego. Para adicionar registos de DNS à sua zona de DNS privada, consulte o artigo Adicione um conjunto de registos de recursos.
- Saiba como usar a saída da interface do Private Service Connect para o Ray no Vertex AI.
- Saiba como usar a saída da interface do Private Service Connect para a preparação personalizada.
- Saiba como usar a saída da interface do Private Service Connect para o Vertex AI Pipelines.
- Saiba como usar a saída da interface do Private Service Connect para o Vertex AI Agent Engine
Configure uma rede de VPC e uma sub-rede
Siga os passos de configuração para criar uma nova rede VPC se não tiver uma rede existente.
Crie uma associação de rede
Numa implementação de VPC partilhada, crie a sub-rede usada para a associação de rede no projeto anfitrião e, em seguida, crie a associação de rede do Private Service Connect no projeto de serviço.
O exemplo seguinte mostra como criar uma associação de rede que aceita automaticamente ligações.
gcloud compute network-attachments create NETWORK_ATTACHMENT_NAME \
--region=REGION \
--connection-preference=ACCEPT_AUTOMATIC \
--subnets=SUBNET_NAME
Substitua NETWORK_ATTACHMENT_NAME por um nome para o anexo de rede.
Função obrigatória do agente do serviço Vertex AI
No projeto onde cria a associação de rede, verifique se a função compute.networkAdmin é concedida ao agente de serviço do Vertex AI do mesmo projeto. Ative a API Vertex AI neste projeto
antecipadamente se for diferente do projeto de serviço onde usa
o Vertex AI.
Se especificar uma rede de VPC partilhada para o Vertex AI usar e criar uma associação de rede num projeto de serviço, conceda a função compute.networkUser ao agente de serviço do Vertex AI no projeto de serviço onde usa o Vertex AI no seu projeto anfitrião de VPC.
Configure regras de firewall
O sistema aplica regras de firewall de entrada na VPC do consumidor para permitir a comunicação com a sub-rede de anexos de rede da interface do Private Service Connect a partir de pontos finais de computação e no local.
A configuração de regras de firewall é opcional. No entanto, recomendamos que defina regras de firewall comuns, conforme mostrado nos exemplos seguintes.
Configure uma interligação de DNS privado
Para permitir que as tarefas do Vertex AI Training ou os agentes do Vertex AI Agent Engine configurados com o PSC-I resolvam registos DNS privados em zonas do Cloud DNS geridas pelo cliente, a API Vertex AI oferece um mecanismo configurável pelo utilizador para especificar com que domínios DNS estabelecer peering com recursos internos da Google. Faça as seguintes configurações adicionais:
Resolução de problemas
Esta secção aborda alguns problemas comuns na configuração do Private Service Connect com a Vertex AI.
Quando configurar o Vertex AI com uma VPC partilhada, crie a associação de rede no projeto de serviço onde usa o Vertex AI. Esta abordagem ajuda a evitar determinadas mensagens de erro, como Certifique-se de que a API Vertex AI está ativada para o projeto, garantindo que as autorizações e as APIs necessárias estão ativadas no projeto correto.