Configura una interfaz de Private Service Connect para los recursos de Vertex AI

En esta guía, se muestra cómo configurar una interfaz de Private Service Connect para los recursos de Vertex AI.

Puedes configurar conexiones de interfaz de Private Service Connect para ciertos recursos en Vertex AI, incluidos los siguientes:

A diferencia de las conexiones de vinculación de VPC, las conexiones de interfaz de Private Service Connect pueden ser transaccionales, lo que requiere menos direcciones IP en la red de VPC del consumidor. Esto permite una mayor flexibilidad para conectarse a otras redes de VPC en tu proyecto Google Cloud y de forma local.

Se recomienda esta guía a los administradores de redes que ya están familiarizados con los conceptos de redes de Google Cloud .

Objetivos

En esta guía, se abarcan las siguientes tareas:

  • Configura una red de VPC, una subred y un archivo adjunto de red de productor.
  • Agrega reglas de firewall a tu proyecto de host de red Google Cloud .
  • Crea un recurso de Vertex AI que especifique el adjunto de red para usar una interfaz de Private Service Connect.

Antes de comenzar

Usa las siguientes instrucciones para crear o seleccionar un proyecto de Google Cloud y configurarlo para usarlo con Vertex AI y Private Service Connect.

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Enable the Vertex AI, Compute Engine, and Cloud Storage APIs.

    Enable the APIs

  5. Install the Google Cloud CLI.

  6. To initialize the gcloud CLI, run the following command: 

    gcloud init

  7. Update and install gcloud components:

    gcloud components update
    gcloud components install beta

  8. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  9. Make sure that billing is enabled for your Google Cloud project.

  10. Enable the Vertex AI, Compute Engine, and Cloud Storage APIs.

    Enable the APIs

  11. Install the Google Cloud CLI.

  12. To initialize the gcloud CLI, run the following command: 

    gcloud init

  13. Update and install gcloud components:

    gcloud components update
    gcloud components install beta
  14. Si no eres el propietario del proyecto y no tienes el rol de Administrador de IAM del proyecto (roles/resourcemanager.projectIamAdmin), pídele al propietario que te otorgue el rol de Administrador de red de Compute (roles/compute.networkAdmin), que incluye los roles necesarios para administrar los recursos de herramientas de redes.
  15. Asigna el rol de administrador de Compute Network del proyecto Google Cloud de host de red a la cuenta de agente de servicio de AI Platform del proyecto en el que usas los servicios de capacitación de Vertex AI.

Configura una red y una subred de VPC

En esta sección, puedes usar una red de VPC existente o seguir los pasos de configuración para crear una nueva si no tienes una.

  1. Crea una red de VPC:

    gcloud compute networks create NETWORK \
    --subnet-mode=custom

    Reemplaza NETWORK por un nombre para la red de VPC.

  2. Crea una subred:

    gcloud compute networks subnets create SUBNET_NAME \
    --network=NETWORK \
    --range=PRIMARY_RANGE \
    --region=REGION

    Reemplaza lo siguiente:

    • SUBNET_NAME: Es un nombre de la subred.

    • PRIMARY_RANGE: Es el rango IPv4 principal para la subred nueva, en notación CIDR. Para obtener más información, consulta Rangos de subredes IPv4.

      Vertex AI requiere una subred /28.

      Vertex AI solo puede alcanzar los rangos de RFC 1918 especificados en el PRIMARY_RANGE requerido. Consulta Rangos de IPv4 válidos para obtener la lista de rangos RFC 1918 válidos. Vertex AI no puede alcanzar los siguientes rangos que no son RFC 1918:

      • 100.64.0.0/10
      • 192.0.0.0/24
      • 192.0.2.0/24
      • 198.18.0.0/15
      • 198.51.100.0/24
      • 203.0.113.0/24
      • 240.0.0.0/4

    • REGION: La Google Cloud región en la que se crea la subred nueva.

Crea un adjunto de red

En una implementación de VPC compartida, crea la subred que se usa para el Adjunto de red en el proyecto host y, luego, crea el Adjunto de red de Private Service Connect en el proyecto de servicio.

En el siguiente ejemplo, se muestra cómo crear un adjunto de red que acepte conexiones de forma manual. 

   gcloud compute network-attachments create NETWORK_ATTACHMENT_NAME \
       --region=REGION \
       --connection-preference=ACCEPT_MANUAL \
       --subnets=SUBNET_NAME

Reemplaza NETWORK_ATTACHMENT_NAME por un nombre para el archivo adjunto de red.

Rol obligatorio del agente de servicio de Vertex AI

En el proyecto en el que creas el archivo adjunto de red, asegúrate de que se otorgue el rol compute.networkAdmin al agente de servicio de Vertex AI del mismo proyecto. Debes habilitar la API de Vertex AI en este proyecto con anticipación si es diferente del proyecto de servicio en el que usas Vertex AI.

Configura reglas de firewall

Las reglas de firewall de entrada se aplican en la VPC del consumidor para habilitar la comunicación con la subred de adjuntos de red de la interfaz de Private Service Connect desde los extremos de procesamiento y locales.

La configuración de reglas de firewall es opcional. Sin embargo, te recomendamos que configures reglas de firewall comunes como se muestra en los siguientes ejemplos.

  1. Crea una regla de firewall que permita el acceso SSH en el puerto TCP 22:

    gcloud compute firewall-rules create NETWORK-firewall1 \
    --network NETWORK \
    --allow tcp:22

  2. Crea una regla de firewall que permita el tráfico HTTPS en el puerto TCP 443:

    gcloud compute firewall-rules create NETWORK-firewall2 \
    --network NETWORK \
    --allow tcp:443

  3. Crea una regla de firewall que permita el tráfico ICMP (como las solicitudes de ping):

    gcloud compute firewall-rules create NETWORK-firewall3 \
    --network NETWORK \
    --allow tcp:icmp

Soluciona problemas

En esta sección, se enumeran algunos problemas comunes que se producen cuando se configura la interfaz de Private Service Connect con Vertex AI.

  • Cuando configures Vertex AI para que use una red de VPC compartida, especifica el archivo adjunto de red en el recurso de Vertex AI. Por ejemplo, en una solicitud de creación de CustomJob, usa el siguiente formato:"projects/YOUR_SHARED_VPC_HOST_PROJECT_NUMBER/regions/REGION/networkAttachments/NETWORK_ATTACHMENT_NAME"
  • Si especificas una red de VPC compartida para que la use Vertex AI, asegúrate de que el Agente de servicio de AI Platform en el proyecto de servicio tenga otorgado el rol compute.networkUser en tu proyecto host de VPC.
  • Los adjuntos de red no se pueden borrar, a menos que el productor (Vertex AI) borre los recursos asignados. Para iniciar el proceso de eliminación, debes comunicarte con el equipo de asistencia al cliente de Vertex AI.

¿Qué sigue?

  • Obtén información para usar la salida de la interfaz de Private Service Connect para Ray en Vertex AI.
  • Obtén información para usar la salida de la interfaz de Private Service Connect para el entrenamiento personalizado.
  • Obtén información para usar la salida de la interfaz de Private Service Connect para Vertex AI Pipelines.