Configurar uma interface do Private Service Connect para recursos da Vertex AI

Este guia mostra como configurar uma interface do Private Service Connect para recursos do Vertex AI.

É possível configurar conexões de interface do Private Service Connect para determinados recursos na Vertex AI, incluindo:

• Ray na Vertex AI
• Treinamento personalizado
• Pipelines da Vertex AI

Ao contrário das conexões de peering da VPC, as conexões de interface do Private Service Connect podem ser transitivas, exigindo menos endereços IP na rede VPC do consumidor. Isso permite maior flexibilidade na conexão com outras redes VPC no seu projeto do Google Cloud.

Este guia é recomendado para administradores de rede que já estão familiarizados com os conceitos de rede do Google Cloud.

Objetivos

Este guia abrange as seguintes tarefas:

• Configure uma rede VPC do produtor, uma sub-rede e um anexo de rede.
• Adicione regras de firewall ao projeto de host de rede do Google Cloud.
• Crie um recurso da Vertex AI especificando o anexo de rede para usar o PSC-I.

Antes de começar

Use as instruções a seguir para criar ou selecionar um projeto do Google Cloud e configurá-lo para uso com a Vertex AI e o Private Service Connect.

1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

   Go to project selector

3. Make sure that billing is enabled for your Google Cloud project.

4. Enable the Vertex AI, Compute Engine, and Cloud Storage APIs.

   Enable the APIs

5. Install the Google Cloud CLI.

6. To initialize the gcloud CLI, run the following command:

   gcloud init

7. Update and install gcloud components:

   gcloud components update
   gcloud components install beta

8. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

   Go to project selector

9. Make sure that billing is enabled for your Google Cloud project.

10. Enable the Vertex AI, Compute Engine, and Cloud Storage APIs.

    Enable the APIs

11. Install the Google Cloud CLI.

12. To initialize the gcloud CLI, run the following command:

    gcloud init

13. Update and install gcloud components:

    gcloud components update
    gcloud components install beta

14. Se você não for o proprietário do projeto e não tiver o papel de Administrador do IAM do projeto (roles/resourcemanager.projectIamAdmin), peça ao proprietário que conceda a você o papel de Administrador da rede do Compute (roles/compute.networkAdmin), que inclui as funções necessárias para gerenciar recursos de rede.
15. Atribua a função de administrador da rede do Compute do projeto do Google Cloud do host de rede à conta do Agente de serviço do AI Platform do projeto em que você está usando os serviços de treinamento da Vertex AI.

Configurar uma rede e uma sub-rede VPC

Nesta seção, você pode usar uma rede VPC existente, desde que ela não tenha peering com outra rede VPC. As etapas de configuração a seguir são necessárias apenas se você não tiver uma rede VPC.

1. Crie uma rede VPC:

   gcloud compute networks create NETWORK \
       --subnet-mode=custom
   

   Substitua NETWORK por um nome para a rede VPC.

2. Criar uma sub-rede:

   gcloud compute networks subnets create SUBNET_NAME \
       --network=NETWORK \
       --range=PRIMARY_RANGE \
       --region=REGION
   

   Substitua:

   • SUBNET_NAME: um nome para a sub-rede.

   • PRIMARY_RANGE: o intervalo IPv4 principal da nova sub-rede, em notação CIDR. Para mais informações, consulte Intervalos de sub-rede IPv4.

     A Vertex AI só pode acessar os intervalos do RFC 1918 especificados no PRIMARY_RANGE necessário. Consulte Intervalos IPv4 válidos para conferir a lista de intervalos RFC 1918 válidos. A Vertex AI não pode alcançar os seguintes intervalos não RFC 1918:

     • 100.64.0.0/10
     • 192.0.0.0/24
     • 192.0.2.0/24
     • 198.18.0.0/15
     • 198.51.100.0/24
     • 203.0.113.0/24
     • 240.0.0.0/4

   • REGION: a região do Google Cloud em que a nova sub-rede foi criada.

Criar um anexo de rede e adicionar regras de firewall ao projeto

1. Crie um anexo de rede que aceite conexões manualmente:

   gcloud compute network-attachments create NETWORK_ATTACHMENT_NAME \
       --region=REGION \
       --connection-preference=ACCEPT_MANUAL \
       --subnets=SUBNET_NAME
   

   Substitua NETWORK_ATTACHMENT_NAME por um nome para o anexo de rede.

2. Crie uma regra de firewall que permita o tráfego TCP pela porta 22:

   gcloud compute firewall-rules create NETWORK-firewall1 \
       --network NETWORK \
       --allow tcp:22
   

3. Crie uma regra de firewall que permita o tráfego TCP pela porta 3389:

   gcloud compute firewall-rules create NETWORK-firewall2 \
       --network NETWORK \
       --allow tcp:3389
   

4. Crie uma regra de firewall que permita o tráfego ICMP:

   gcloud compute firewall-rules create NETWORK-firewall3 \
       --network NETWORK \
       --allow icmp
   

A seguir

• Saiba como usar a saída de interface do Private Service Connect para Ray na Vertex AI.
• Saiba como usar a saída de interface do Private Service Connect para treinamento personalizado.
• Saiba como usar a saída de interface do Private Service Connect para pipelines da Vertex AI.