Private Service Connect-Schnittstelle für Vertex AI-Ressourcen einrichten

In diesem Leitfaden wird beschrieben, wie Sie eine Private Service Connect-Schnittstelle für Vertex AI-Ressourcen einrichten.

Sie können Private Service Connect-Schnittstellenverbindungen für bestimmte Ressourcen in Vertex AI konfigurieren, darunter:

• Ray in Vertex AI
• Benutzerdefiniertes Training
• Vertex AI Pipelines

Im Gegensatz zu VPC-Peering-Verbindungen können Private Service Connect-Schnittstellenverbindungen transitive sein, sodass weniger IP-Adressen im Nutzer-VPC-Netzwerk erforderlich sind. So können Sie flexibler eine Verbindung zu anderen VPC-Netzwerken in Ihrem Google Cloud Projekt und lokal herstellen.

Dieser Leitfaden wird für Netzwerkadministratoren empfohlen, die mit Google Cloud Netzwerkkonzepten vertraut sind.

Lernziele

In diesem Leitfaden werden folgende Aufgaben behandelt:

• Konfigurieren Sie ein VPC-Netzwerk, ein Subnetz und einen Netzwerkanhang für den Ersteller.
• Fügen Sie Ihrem Google Cloud Netzwerk-Hostprojekt Firewallregeln hinzu.
• Erstellen Sie eine Vertex AI-Ressource und geben Sie den Netzwerkanhang an, um eine Private Service Connect-Schnittstelle zu verwenden.

Hinweise

Führen Sie die folgenden Schritte aus, um ein Google Cloud-Projekt zu erstellen oder auszuwählen und für die Verwendung mit Vertex AI und Private Service Connect zu konfigurieren.

1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

   Go to project selector

3. Make sure that billing is enabled for your Google Cloud project.

4. Enable the Vertex AI, Compute Engine, and Cloud Storage APIs.

   Enable the APIs

5. Install the Google Cloud CLI.

6. To initialize the gcloud CLI, run the following command:

   gcloud init

7. Update and install gcloud components:

   gcloud components update
   gcloud components install beta

8. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

   Go to project selector

9. Make sure that billing is enabled for your Google Cloud project.

10. Enable the Vertex AI, Compute Engine, and Cloud Storage APIs.

    Enable the APIs

11. Install the Google Cloud CLI.

12. To initialize the gcloud CLI, run the following command:

    gcloud init

13. Update and install gcloud components:

    gcloud components update
    gcloud components install beta

14. Wenn Sie nicht der Projektinhaber sind und nicht die Rolle Projekt-IAM-Administrator (roles/resourcemanager.projectIamAdmin) haben, bitten Sie den Inhaber, Ihnen die Rolle Compute-Netzwerkadministrator (roles/compute.networkAdmin) zuzuweisen. Diese Rolle enthält die erforderlichen Rollen zum Verwalten von Netzwerkressourcen.
15. Weisen Sie dem Konto AI Platform Service Agent des Projekts, in dem Sie Vertex AI-Schulungsdienste verwenden, die Rolle „Compute Network Admin“ des Netzwerk-Host Google Cloud projekts zu.

VPC-Netzwerk und Subnetz einrichten

In diesem Abschnitt können Sie ein vorhandenes VPC-Netzwerk verwenden oder den Konfigurationsschritten folgen, um ein neues VPC-Netzwerk zu erstellen, falls Sie kein vorhandenes Netzwerk haben.

1. VPC-Netzwerk erstellen:

   gcloud compute networks create NETWORK \
       --subnet-mode=custom
   

   Ersetzen Sie NETWORK durch einen Namen für das VPC-Netzwerk.

2. Subnetz erstellen:

   gcloud compute networks subnets create SUBNET_NAME \
       --network=NETWORK \
       --range=PRIMARY_RANGE \
       --region=REGION
   

   Ersetzen Sie Folgendes:

   • SUBNET_NAME: Ein Name für das Subnetz.

   • PRIMARY_RANGE: der primäre IPv4-Bereich für das neue Subnetz in CIDR-Notation. Weitere Informationen finden Sie unter IPv4-Subnetzbereiche.

     Für Vertex AI ist ein /28-Subnetzwerk erforderlich.

     Vertex AI kann nur die in der erforderlichen PRIMARY_RANGE angegebenen RFC 1918-Bereiche erreichen. Eine Liste der gültigen RFC 1918-Bereiche finden Sie unter Gültige IPv4-Bereiche. Vertex AI kann die folgenden Bereiche außerhalb von RFC 1918 nicht erreichen:

     • 100.64.0.0/10
     • 192.0.0.0/24
     • 192.0.2.0/24
     • 198.18.0.0/15
     • 198.51.100.0/24
     • 203.0.113.0/24
     • 240.0.0.0/4

   • REGION: die Google Cloud Region, in der das neue Subnetz erstellt wird.

Netzwerkanhang erstellen

Erstellen Sie in einer Bereitstellung mit freigegebener VPC das Subnetz, das für den Netzwerkanhang im Hostprojekt verwendet wird, und anschließend den Private Service Connect-Netzwerkanhang im Dienstprojekt.

Im folgenden Beispiel wird gezeigt, wie Sie einen Netzwerkanhang erstellen, der Verbindungen manuell akzeptiert.

   gcloud compute network-attachments create NETWORK_ATTACHMENT_NAME \
       --region=REGION \
       --connection-preference=ACCEPT_MANUAL \
       --subnets=SUBNET_NAME

Ersetzen Sie NETWORK_ATTACHMENT_NAME durch einen Namen für den Netzwerkanhang.

Erforderliche Rolle für Vertex AI-Dienst-Agenten

Achten Sie in dem Projekt, in dem Sie die Netzwerkanhänge erstellen, darauf, dass dem Vertex AI-Dienst-Agent desselben Projekts die Rolle compute.networkAdmin zugewiesen ist. Sie müssen die Vertex AI API in diesem Projekt vorab aktivieren, wenn es sich von dem Dienstprojekt unterscheidet, in dem Sie Vertex AI verwenden.

Firewallregeln konfigurieren

Eingangs-Firewallregeln werden im VPC des Nutzers angewendet, um die Kommunikation mit dem Subnetz des Netzwerkanhangs der Private Service Connect-Schnittstelle von Rechen- und On-Premises-Endpunkten zu ermöglichen.

Die Konfiguration von Firewallregeln ist optional. Wir empfehlen jedoch, gängige Firewallregeln wie in den folgenden Beispielen zu definieren.

1. Erstellen Sie eine Firewallregel, die den SSH-Zugriff auf TCP-Port 22 zulässt:

   gcloud compute firewall-rules create NETWORK-firewall1 \
       --network NETWORK \
       --allow tcp:22
   

2. Erstellen Sie eine Firewallregel, die HTTPS-Traffic an TCP-Port 443 zulässt:

   gcloud compute firewall-rules create NETWORK-firewall2 \
       --network NETWORK \
       --allow tcp:443
   

3. Erstellen Sie eine Firewallregel, die ICMP-Traffic (z. B. Ping-Anfragen) zulässt:

   gcloud compute firewall-rules create NETWORK-firewall3 \
       --network NETWORK \
       --allow tcp:icmp
   

Fehlerbehebung

In diesem Abschnitt werden einige häufige Probleme bei der Konfiguration der Private Service Connect-Schnittstelle mit Vertex AI aufgeführt.

• Wenn Sie Vertex AI für die Verwendung eines freigegebenen VPC-Netzwerks konfigurieren, geben Sie die Netzwerkverbindung in der Vertex AI-Ressource an. Verwenden Sie beispielsweise in einer CustomJob-Erstellungsanfrage das folgende Format: "projects/YOUR_SHARED_VPC_HOST_PROJECT_NUMBER/regions/REGION/networkAttachments/NETWORK_ATTACHMENT_NAME"
• Wenn Sie ein freigegebenes VPC-Netzwerk angeben, das Vertex AI verwenden soll, achten Sie darauf, dass dem AI Platform-Dienstagenten im Dienstprojekt die Rolle compute.networkUser im VPC-Hostprojekt zugewiesen ist.
• Netzwerkanhänge können nur gelöscht werden, wenn der Ersteller (Vertex AI) die zugewiesenen Ressourcen löscht. Wenn Sie das Löschen starten möchten, müssen Sie sich an den Vertex AI-Support wenden.

Nächste Schritte

• Informationen zum Verwenden des Private Service Connect-Interface-Ausgangs für Ray in Vertex AI
• Weitere Informationen zum ausgehenden Traffic über die Private Service Connect-Schnittstelle für benutzerdefiniertes Training
• Informationen zum Verwenden des Private Service Connect-Interface-Ausgangs für Vertex AI-Pipelines