En esta guía, se muestra cómo configurar una interfaz de Private Service Connect para los recursos de Vertex AI.
Puedes configurar conexiones de interfaz de Private Service Connect para ciertos recursos en Vertex AI, incluidos los siguientes:
A diferencia de las conexiones de intercambio de tráfico entre VPCs, las conexiones de interfaz de Private Service Connect son transitivas. Esto requiere menos direcciones IP en la red de VPC del consumidor. Esto permite una mayor flexibilidad para conectarse a otras redes de VPC en tu proyecto Google Cloud y de forma local.
Esta guía está dirigida a los administradores de redes que conocen los conceptos de Google Cloud redes.
Objetivos
En esta guía, se abarcan las siguientes tareas:
- Configura una red, una subred y un adjunto de red de VPC del productor .
- Agrega reglas de firewall a tu proyecto host de red Google Cloud .
- Crea un recurso de Vertex AI que especifique el adjunto de red para usar una interfaz de Private Service Connect.
Antes de comenzar
Usa las siguientes instrucciones para crear o seleccionar un proyecto de Google Cloud y configurarlo para usarlo con Vertex AI y Private Service Connect.
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
-
Enable the Vertex AI, Compute Engine, and Cloud Storage APIs.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (
roles/serviceusage.serviceUsageAdmin), which contains theserviceusage.services.enablepermission. Learn how to grant roles. -
Install the Google Cloud CLI.
-
Si usas un proveedor de identidad externo (IdP), primero debes acceder a gcloud CLI con tu identidad federada.
-
Para inicializar gcloud CLI, ejecuta el siguiente comando:
gcloud init -
Después de inicializar gcloud CLI, actualízala y, luego, instala los componentes necesarios:
gcloud components update gcloud components install beta
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
-
Enable the Vertex AI, Compute Engine, and Cloud Storage APIs.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (
roles/serviceusage.serviceUsageAdmin), which contains theserviceusage.services.enablepermission. Learn how to grant roles. -
Install the Google Cloud CLI.
-
Si usas un proveedor de identidad externo (IdP), primero debes acceder a gcloud CLI con tu identidad federada.
-
Para inicializar gcloud CLI, ejecuta el siguiente comando:
gcloud init -
Después de inicializar gcloud CLI, actualízala y, luego, instala los componentes necesarios:
gcloud components update gcloud components install beta
- Si no eres el propietario del proyecto y no tienes el rol de administrador de IAM del proyecto (
roles/resourcemanager.projectIamAdmin), pídele al propietario que te otorgue un rol de IAM que incluya el permisocompute.networkAttachments.update, por ejemplo, el rol de administrador de red de Compute (roles/compute.networkAdmin), para administrar los recursos de redes. - Asigna el rol de administrador de red de Compute del proyecto host Google Cloud a la cuenta del agente de servicio de AI Platform del proyecto en el que usas los servicios de Vertex AI Training o Vertex AI Agent Engine.
-
gcloud compute networks create NETWORK \ --subnet-mode=customReemplaza NETWORK por un nombre para la red de VPC.
-
gcloud compute networks subnets create SUBNET_NAME \ --network=NETWORK \ --range=PRIMARY_RANGE \ --region=REGIONReemplaza lo siguiente:
- SUBNET_NAME: Es un nombre de la subred.
PRIMARY_RANGE: Es el rango IPv4 principal para la subred nueva, en notación CIDR.
A continuación, se indican los requisitos y las limitaciones de IP para Vertex AI:
- Vertex AI recomienda una subred
/28. - La subred de la conexión de red admite direcciones RFC 1918 y no RFC 1918, con la excepción de las subredes 100.64.0.0/10 y 240.0.0.0/4.
- Vertex AI solo puede conectarse a rangos de direcciones IP de RFC 1918 que se puedan enrutar desde la red especificada.
Vertex AI no puede acceder a una dirección IP pública de uso privado ni a estos rangos que no son RFC 1918:
100.64.0.0/10192.0.0.0/24192.0.2.0/24198.18.0.0/15198.51.100.0/24203.0.113.0/24240.0.0.0/4
Para obtener más información, consulta Rangos de subredes IPv4.
- Vertex AI recomienda una subred
REGION: Es la Google Cloud región en la que creas la subred nueva.
Crea una regla de firewall que permita el acceso SSH en el puerto TCP 22:
gcloud compute firewall-rules create NETWORK-firewall1 \ --network NETWORK \ --allow tcp:22Crea una regla de firewall que permita el tráfico HTTPS en el puerto TCP 443:
gcloud compute firewall-rules create NETWORK-firewall2 \ --network NETWORK \ --allow tcp:443Crea una regla de firewall que permita el tráfico ICMP (como las solicitudes de ping):
gcloud compute firewall-rules create NETWORK-firewall3 \ --network NETWORK \ --allow icmpAsigna el rol de DNS
Peer(roles/dns.peer)a la cuenta del agente de servicio de AI Platform del proyecto en el que usas los servicios de Vertex AI Training o Vertex AI Agent Engine. Si especificas una red de VPC compartida para que la use Vertex AI y creas una vinculación de red en un proyecto de servicio, otorga al agente de servicio de AI Platform en el proyecto de servicio en el que usas Vertex AI el rol de DNSPeer(roles/dns.peer)en tu proyecto host de VPC.Crea una regla de firewall que permita todo el tráfico de ICMP, TCP y UDP (opcional):
gcloud compute firewall-rules create NETWORK-firewall4 \ --network NETWORK --allow tcp:0-65535,udp:0-65535,icmp --source-ranges IP_RANGESConfigura tu zona de DNS privada para la resolución de DNS y el enrutamiento del tráfico. Para agregar registros DNS a tu zona DNS privada, consulta Agrega un conjunto de registros de recursos.
- Obtén información para usar el tráfico de salida de la interfaz de Private Service Connect para Ray en Vertex AI.
- Obtén más información para usar la salida de la interfaz de Private Service Connect para el entrenamiento personalizado.
- Obtén información para usar la salida de la interfaz de Private Service Connect para Vertex AI Pipelines.
- Aprende a usar la salida de la interfaz de Private Service Connect para Vertex AI Agent Engine
Configura una red y una subred de VPC
Sigue los pasos de configuración para crear una red de VPC nueva si no tienes una red existente.
Crea un adjunto de red
En una implementación de VPC compartida, crea la subred que se usa para el adjunto de red en el proyecto host y, luego, crea el adjunto de red de Private Service Connect en el proyecto de servicio.
En el siguiente ejemplo, se muestra cómo crear un adjunto de red que acepte conexiones de forma manual.
gcloud compute network-attachments create NETWORK_ATTACHMENT_NAME \
--region=REGION \
--connection-preference=ACCEPT_MANUAL \
--subnets=SUBNET_NAME
Reemplaza NETWORK_ATTACHMENT_NAME por un nombre para el adjunto de red.
Rol requerido del agente de servicio de Vertex AI
En el proyecto en el que creas la vinculación de red, verifica que el rol compute.networkAdmin se haya otorgado al agente de servicio de Vertex AI del mismo proyecto. Habilita la API de Vertex AI en este proyecto con anticipación si difiere del proyecto de servicio en el que usas Vertex AI.
Si especificas una red de VPC compartida para que use Vertex AI y creas una vinculación de red en un proyecto de servicio, otorga al agente de servicio de Vertex AI en el proyecto de servicio en el que usas Vertex AI el rol compute.networkUser a tu proyecto host de VPC.
Configura reglas de firewall
El sistema aplica reglas de firewall de entrada en la VPC del consumidor para habilitar la comunicación con la subred de adjunto de red de la interfaz de Private Service Connect desde extremos de procesamiento y locales.
La configuración de reglas de firewall es opcional. Sin embargo, te recomendamos que establezcas reglas de firewall comunes, como se muestra en los siguientes ejemplos.
Configura un intercambio de tráfico de DNS privado
Para permitir que los trabajos de Vertex AI Training o los agentes de Vertex AI Agent Engine configurados con PSC-I resuelvan registros DNS privados en zonas de Cloud DNS administradas por el cliente, la API de Vertex AI ofrece un mecanismo configurable por el usuario para especificar con qué dominios de DNS se realizará la interconexión con los recursos internos de Google. Realiza los siguientes ajustes adicionales:
Soluciona problemas
En esta sección, se abordan algunos problemas comunes para configurar Private Service Connect con Vertex AI.
Cuando configures Vertex AI con una VPC compartida, crea la vinculación de red en el proyecto de servicio en el que usas Vertex AI. Este enfoque ayuda a evitar ciertos mensajes de error, como Asegúrate de que la API de Vertex AI esté habilitada para el proyecto, ya que garantiza que los permisos y las APIs necesarios estén habilitados en el proyecto correcto.