Configurare un'interfaccia Private Service Connect per le risorse Vertex AI

Questa guida mostra come configurare un'interfaccia Private Service Connect per le risorse Vertex AI.

Puoi configurare le connessioni dell'interfaccia Private Service Connect per determinate risorse in Vertex AI, tra cui:

A differenza delle connessioni di peering VPC, le connessioni di interfaccia Private Service Connect sono transitive. Ciò richiede un numero inferiore di indirizzi IP nella rete VPC consumer. Ciò consente una maggiore flessibilità nella connessione ad altre reti VPC nel tuo progetto Google Cloud e on-premise.

Questa guida è rivolta agli amministratori di rete che hanno familiarità con i concetti di Google Cloud networking.

Obiettivi

Questa guida illustra le seguenti attività:

  • Configura una rete, una subnet e un collegamento di rete VPC producer .
  • Aggiungi regole firewall al tuo progetto host di rete Google Cloud .
  • Crea una risorsa Vertex AI specificando l'allegato di rete per utilizzare un'interfaccia Private Service Connect.

Prima di iniziare

Utilizza le seguenti istruzioni per creare o selezionare un Google Cloud progetto e configurarlo per l'utilizzo con Vertex AI e Private Service Connect.

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Vertex AI, Compute Engine, and Cloud Storage APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  5. Install the Google Cloud CLI.

  6. Se utilizzi un provider di identità (IdP) esterno, devi prima accedere a gcloud CLI con la tua identità federata.

  7. Per inizializzare gcloud CLI, esegui questo comando: 

    gcloud init

  8. Dopo aver inizializzato gcloud CLI, aggiornala e installa i componenti richiesti: 

    gcloud components update
gcloud components install beta

  9. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  10. Verify that billing is enabled for your Google Cloud project.

  11. Enable the Vertex AI, Compute Engine, and Cloud Storage APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  12. Install the Google Cloud CLI.

  13. Se utilizzi un provider di identità (IdP) esterno, devi prima accedere a gcloud CLI con la tua identità federata.

  14. Per inizializzare gcloud CLI, esegui questo comando: 

    gcloud init

  15. Dopo aver inizializzato gcloud CLI, aggiornala e installa i componenti richiesti: 

    gcloud components update
gcloud components install beta
  16. Se non sei il proprietario del progetto e non disponi del ruolo Amministratore IAM progetto (roles/resourcemanager.projectIamAdmin), chiedi al proprietario di concederti un ruolo IAM che includa l'autorizzazione compute.networkAttachments.update, ad esempio il ruolo Amministratore rete Compute (roles/compute.networkAdmin), per gestire le risorse di rete.
  17. Assegna il ruolo Amministratore di rete Compute del progetto host Google Cloud di rete all'account agente di servizio AI Platform del progetto in cui utilizzi i servizi Vertex AI Training o Vertex AI Agent Engine.

    18. Configura una rete e una subnet VPC

    Segui i passaggi di configurazione per creare una nuova rete VPC se non ne hai una esistente.

    1. Crea una rete VPC:

      gcloud compute networks create NETWORK \
    --subnet-mode=custom

      Sostituisci NETWORK con un nome per la rete VPC.

    2. Crea una subnet:

      gcloud compute networks subnets create SUBNET_NAME \
    --network=NETWORK \
    --range=PRIMARY_RANGE \
    --region=REGION

      Sostituisci quanto segue:

      • SUBNET_NAME: un nome per la subnet.

      • PRIMARY_RANGE: l'intervallo IPv4 principale per la nuova subnet, in notazione CIDR.

        Di seguito sono riportati i requisiti e le limitazioni IP per Vertex AI:

        • Vertex AI consiglia una subnet /28.
        • La subnet dell'allegato di rete supporta indirizzi RFC 1918 e non RFC 1918, ad eccezione delle subnet 100.64.0.0/10 e 240.0.0.0/4.
        • Vertex AI può connettersi solo a intervalli di indirizzi IP RFC 1918 instradabili dalla rete specificata.

        • Vertex AI non può raggiungere un indirizzo IP pubblico utilizzato privatamente o questi intervalli non RFC 1918:

          • 100.64.0.0/10
          • 192.0.0.0/24
          • 192.0.2.0/24
          • 198.18.0.0/15
          • 198.51.100.0/24
          • 203.0.113.0/24
          • 240.0.0.0/4

        Per saperne di più, consulta Intervalli di subnet IPv4.

      • REGION: la regione Google Cloud in cui crei la nuova subnet.

    Crea un collegamento di rete

    In un deployment del VPC condiviso, crea la subnet utilizzata per il collegamento di rete nel progetto host, quindi crea il collegamento di rete Private Service Connect nel progetto di servizio.

    L'esempio riportato di seguito mostra come creare un collegamento di rete che accetta manualmente le connessioni.

       gcloud compute network-attachments create NETWORK_ATTACHMENT_NAME \
       --region=REGION \
       --connection-preference=ACCEPT_MANUAL \
       --subnets=SUBNET_NAME

    Sostituisci NETWORK_ATTACHMENT_NAME con un nome per l'allegato di rete.

    Ruolo obbligatorio per l'agente di servizio Vertex AI

    Nel progetto in cui crei l'allegato di rete, verifica che il ruolo compute.networkAdmin sia concesso all'agente di servizio Vertex AI dello stesso progetto. Abilita l'API Vertex AI in questo progetto in anticipo se è diverso dal progetto di servizio in cui utilizzi Vertex AI.

    Se specifichi una rete VPC condiviso da utilizzare per Vertex AI e crei un collegamento di rete in un progetto di servizio, concedi al agente di servizio Vertex AI nel progetto di servizio in cui utilizzi Vertex AI il ruolo compute.networkUser al progetto host VPC.

    Configurazione delle regole del firewall

    Il sistema applica le regole firewall in entrata nella VPC consumer per abilitare la comunicazione con la subnet del collegamento di rete dell'interfaccia Private Service Connect dagli endpoint di calcolo e on-premise.

    La configurazione delle regole firewall è facoltativa. Tuttavia, ti consigliamo di impostare regole firewall comuni come mostrato negli esempi seguenti.

    1. Crea una regola firewall che consenta l'accesso SSH sulla porta TCP 22:

      gcloud compute firewall-rules create NETWORK-firewall1 \
    --network NETWORK \
    --allow tcp:22

    2. Crea una regola firewall che consenta il traffico HTTPS sulla porta TCP 443:

      gcloud compute firewall-rules create NETWORK-firewall2 \
    --network NETWORK \
    --allow tcp:443

    3. Crea una regola firewall che consenta il traffico ICMP (ad esempio le richieste ping):

      gcloud compute firewall-rules create NETWORK-firewall3 \
    --network NETWORK \
    --allow icmp

    Configura un peering DNS privato

    Per consentire ai job di Vertex AI Training o agli agenti di Vertex AI Agent Engine configurati con PSC-I di risolvere i record DNS privati nelle zone Cloud DNS gestite dal cliente, l'API Vertex AI offre un meccanismo configurabile dall'utente per specificare i domini DNS da eseguire il peering con le risorse interne di Google. Apporta le seguenti configurazioni aggiuntive:

    1. Assegna il ruolo DNS Peer(roles/dns.peer) all'account agente di servizio AI Platform del progetto in cui utilizzi i servizi Vertex AI Training o Vertex AI Agent Engine. Se specifichi una rete VPC condivisa da utilizzare per Vertex AI e crei un collegamento di rete in un progetto di servizio, concedi il ruolo DNS Peer(roles/dns.peer) all'agente di servizio AI Platform nel progetto di servizio in cui utilizzi Vertex AI nel progetto host VPC.

    2. (Facoltativo) Crea una regola firewall che consenta tutto il traffico ICMP, TCP e UDP:

      gcloud compute firewall-rules create NETWORK-firewall4 \
    --network NETWORK
    --allow tcp:0-65535,udp:0-65535,icmp
    --source-ranges IP_RANGES

    3. Configura la zona DNS privata per la risoluzione DNS e il routing del traffico. Per aggiungere record DNS alla tua zona DNS privata, consulta Aggiungere un insieme di record di risorse.

    Risoluzione dei problemi

    Questa sezione tratta alcuni problemi comuni per la configurazione di Private Service Connect con Vertex AI.

    Quando configuri Vertex AI con un VPC condiviso, crea l'allegato di rete nel progetto di servizio in cui utilizzi Vertex AI. Questo approccio consente di evitare determinati messaggi di errore, ad esempio Assicurati che l'API Vertex AI sia abilitata per il progetto, garantendo che le autorizzazioni e le API necessarie siano abilitate nel progetto corretto.

    Passaggi successivi