Configurer une interface Private Service Connect pour les ressources Vertex AI

Ce guide explique comment configurer une interface Private Service Connect pour les ressources Vertex AI.

Vous pouvez configurer des connexions d'interface Private Service Connect pour certaines ressources de Vertex AI, y compris:

• Ray sur Vertex AI
• Entraînement personnalisé
• Vertex AI Pipelines

Contrairement aux connexions de mise en paire de VPC, les connexions d'interface Private Service Connect peuvent être transitives, ce qui nécessite moins d'adresses IP dans le réseau VPC consommateur. Cela vous permet de vous connecter plus facilement à d'autres réseaux VPC dans votre Google Cloud projet et sur site.

Il est recommandé aux administrateurs réseau qui connaissent déjà les concepts de mise en réseau de Google Cloud .

Objectifs

Ce guide couvre les tâches suivantes :

• Configurez un réseau VPC, un sous-réseau et une association réseau de producteur.
• Ajoutez des règles de pare-feu à votre projet hôte de réseau Google Cloud .
• Créez une ressource Vertex AI spécifiant le rattachement de réseau pour utiliser une interface Private Service Connect.

Avant de commencer

Suivez les instructions ci-dessous pour créer ou sélectionner un projet Google Cloud et le configurer pour l'utiliser avec Vertex AI et Private Service Connect.

1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

   Go to project selector

3. Make sure that billing is enabled for your Google Cloud project.

4. Enable the Vertex AI, Compute Engine, and Cloud Storage APIs.

   Enable the APIs

5. Install the Google Cloud CLI.

6. To initialize the gcloud CLI, run the following command:

   gcloud init

7. Update and install gcloud components:

   gcloud components update
   gcloud components install beta

8. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

   Go to project selector

9. Make sure that billing is enabled for your Google Cloud project.

10. Enable the Vertex AI, Compute Engine, and Cloud Storage APIs.

    Enable the APIs

11. Install the Google Cloud CLI.

12. To initialize the gcloud CLI, run the following command:

    gcloud init

13. Update and install gcloud components:

    gcloud components update
    gcloud components install beta

14. Si vous n'êtes pas le propriétaire du projet et que vous ne disposez pas du rôle Administrateur de projet IAM (roles/resourcemanager.projectIamAdmin), demandez au propriétaire de vous accorder le rôle Administrateur de réseaux Compute (roles/compute.networkAdmin), qui inclut les rôles nécessaires pour gérer les ressources réseau.
15. Attribuez le rôle "Administrateur de réseau Compute" du projet Google Cloud hôte réseau au compte Agent de service AI Platform du projet dans lequel vous utilisez les services de formation Vertex AI.

Configurer un réseau et un sous-réseau VPC

Dans cette section, vous pouvez utiliser un réseau VPC existant ou suivre la procédure de configuration pour créer un réseau VPC si vous n'en avez pas.

1. Créez un réseau VPC:

   gcloud compute networks create NETWORK \
       --subnet-mode=custom
   

   Remplacez NETWORK par le nom que vous souhaitez donner au réseau VPC.

2. Créez un sous-réseau:

   gcloud compute networks subnets create SUBNET_NAME \
       --network=NETWORK \
       --range=PRIMARY_RANGE \
       --region=REGION
   

   Remplacez les éléments suivants :

   • SUBNET_NAME: nom du sous-réseau

   • PRIMARY_RANGE : plage d'adresses IPv4 principales pour le nouveau sous-réseau, au format CIDR. Pour en savoir plus, consultez la section sur les plages de sous-réseaux IPv4.

     Vertex AI nécessite un sous-réseau /28.

     Vertex AI ne peut atteindre que les plages RFC 1918 spécifiées dans l'PRIMARY_RANGE requise. Consultez la section Plages IPv4 valides pour obtenir la liste des plages RFC 1918 valides. Vertex AI ne peut pas atteindre les plages non RFC 1918 suivantes:

     • 100.64.0.0/10
     • 192.0.0.0/24
     • 192.0.2.0/24
     • 198.18.0.0/15
     • 198.51.100.0/24
     • 203.0.113.0/24
     • 240.0.0.0/4

   • REGION: région Google Cloud dans laquelle le nouveau sous-réseau est créé.

Créer un rattachement de réseau

Dans un déploiement VPC partagé, créez le sous-réseau utilisé pour le rattachement réseau dans le projet hôte, puis créez le rattachement réseau Private Service Connect dans le projet de service.

L'exemple suivant montre comment créer un rattachement réseau qui accepte les connexions manuellement.

   gcloud compute network-attachments create NETWORK_ATTACHMENT_NAME \
       --region=REGION \
       --connection-preference=ACCEPT_MANUAL \
       --subnets=SUBNET_NAME

Remplacez NETWORK_ATTACHMENT_NAME par le nom du rattachement de réseau.

Configurer des règles de pare-feu

Des règles de pare-feu d'entrée sont appliquées dans le VPC client pour permettre la communication avec le sous-réseau d'attachement réseau de l'interface Private Service Connect à partir des points de terminaison de calcul et sur site.

La configuration des règles de pare-feu est facultative. Toutefois, nous vous recommandons de définir des règles de pare-feu courantes, comme indiqué dans les exemples suivants.

1. Créez une règle de pare-feu qui autorise l'accès SSH sur le port TCP 22:

   gcloud compute firewall-rules create NETWORK-firewall1 \
       --network NETWORK \
       --allow tcp:22
   

2. Créez une règle de pare-feu qui autorise le trafic HTTPS sur le port TCP 443:

   gcloud compute firewall-rules create NETWORK-firewall2 \
       --network NETWORK \
       --allow tcp:443
   

3. Créez une règle de pare-feu qui autorise le trafic ICMP (par exemple, les requêtes ping) :

   gcloud compute firewall-rules create NETWORK-firewall3 \
       --network NETWORK \
       --allow tcp:icmp
   

Dépannage

Cette section répertorie certains problèmes courants lors de la configuration de l'interface Private Service Connect avec Vertex AI.

• Dans le projet dans lequel vous créez l'association réseau, assurez-vous que le rôle compute.networkAdmin est attribué à l'agent de service AI Platform du même projet. Vous devez activer l'API Vertex AI dans ce projet à l'avance s'il est différent du projet de service dans lequel vous utilisez Vertex AI.
• Lorsque vous configurez Vertex AI pour utiliser un réseau VPC partagé, spécifiez l'association réseau dans la ressource Vertex AI. Par exemple, dans une requête de création CustomJob, utilisez le format suivant : "projects/YOUR_SHARED_VPC_HOST_PROJECT_NUMBER/regions/REGION/networkAttachments/NETWORK_ATTACHMENT_NAME"
• Si vous spécifiez un réseau VPC partagé à utiliser pour Vertex AI, assurez-vous que l'agent de service AI Platform dans le projet de service dispose d'un rôle compute.networkUser dans votre projet hôte VPC.
• Les rattachements de réseau ne peuvent pas être supprimés, sauf si le producteur (Vertex AI) supprime les ressources allouées. Pour lancer la procédure de suppression, vous devez contacter l'assistance Vertex AI.

Étape suivante

• Découvrez comment utiliser la sortie de l'interface Private Service Connect pour Ray sur Vertex AI.
• Découvrez comment utiliser la sortie de l'interface Private Service Connect pour l'entraînement personnalisé.
• Découvrez comment utiliser la sortie de l'interface Private Service Connect pour les pipelines Vertex AI.