Configurare un'interfaccia Private Service Connect per le risorse Vertex AI

Questa guida mostra come configurare un'interfaccia Private Service Connect per le risorse Vertex AI.

Puoi configurare le connessioni dell'interfaccia Private Service Connect per determinate risorse in Vertex AI, tra cui:

• Ray on Vertex AI
• Addestramento personalizzato
• Vertex AI Pipelines

A differenza delle connessioni di peering VPC, le connessioni dell'interfaccia Private Service Connect possono essere transitorie e richiedono meno indirizzi IP nella rete VPC consumer. Ciò consente una maggiore flessibilità per la connessione ad altre reti VPC nel tuo progetto Google Cloud e on-premise.

Questa guida è consigliata per gli amministratori di rete che hanno familiarità con i concetti di networking di Google Cloud .

Obiettivi

Questa guida illustra le seguenti attività:

• Configura una rete VPC, una subnet e un collegamento di rete del producer.
• Aggiungi regole di firewall al progetto host della rete Google Cloud .
• Crea una risorsa Vertex AI specificando il collegamento di rete per utilizzare PSC-I.

Prima di iniziare

Segui le istruzioni riportate di seguito per creare o selezionare un progetto Google Cloud e configurarlo per l'utilizzo con Vertex AI e Private Service Connect.

1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

   Go to project selector

3. Make sure that billing is enabled for your Google Cloud project.

4. Enable the Vertex AI, Compute Engine, and Cloud Storage APIs.

   Enable the APIs

5. Install the Google Cloud CLI.

6. To initialize the gcloud CLI, run the following command:

   gcloud init

7. Update and install gcloud components:

   gcloud components update
   gcloud components install beta

8. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

   Go to project selector

9. Make sure that billing is enabled for your Google Cloud project.

10. Enable the Vertex AI, Compute Engine, and Cloud Storage APIs.

    Enable the APIs

11. Install the Google Cloud CLI.

12. To initialize the gcloud CLI, run the following command:

    gcloud init

13. Update and install gcloud components:

    gcloud components update
    gcloud components install beta

14. Se non sei il proprietario del progetto e non disponi del ruolo Amministratore IAM del progetto (roles/resourcemanager.projectIamAdmin), chiedi al proprietario di concederti il ruolo Amministratore di rete di Compute (roles/compute.networkAdmin), che include i ruoli richiesti per gestire le risorse di rete.
15. Assegna il ruolo Amministratore rete di calcolo dell'host di rete Google Cloud project all'account AI Platform Service Agent del progetto in cui utilizzi i servizi Vertex AI Training.

Configura una rete e una subnet VPC

In questa sezione, puoi utilizzare una rete VPC esistente o seguire i passaggi di configurazione per creare una nuova rete VPC se non ne hai una.

1. Crea una rete VPC:

   gcloud compute networks create NETWORK \
       --subnet-mode=custom
   

   Sostituisci NETWORK con un nome per la rete VPC.

2. Crea una subnet:

   gcloud compute networks subnets create SUBNET_NAME \
       --network=NETWORK \
       --range=PRIMARY_RANGE \
       --region=REGION
   

   Sostituisci quanto segue:

   • SUBNET_NAME: un nome per la subnet.

   • PRIMARY_RANGE: l'intervallo IPv4 principale per la nuova subnet, in notazione CIDR. Per ulteriori informazioni, consulta Intervalli di subnet IPv4.

     Vertex AI richiede una sottorete /28.

     Vertex AI può raggiungere solo gli intervalli RFC 1918 specificati nel PRIMARY_RANGE richiesto. Consulta la sezione Intervalli IPv4 validi per l'elenco degli intervalli RFC 1918 validi. Vertex AI non può raggiungere i seguenti intervalli non RFC 1918:

     • 100.64.0.0/10
     • 192.0.0.0/24
     • 192.0.2.0/24
     • 198.18.0.0/15
     • 198.51.100.0/24
     • 203.0.113.0/24
     • 240.0.0.0/4

   • REGION: la regione Google Cloud in cui viene creata la nuova sottorete.

Crea un allegato di rete e aggiungi regole firewall al progetto

• Crea un collegamento di rete che accetti manualmente le connessioni:

  gcloud compute network-attachments create NETWORK_ATTACHMENT_NAME \
      --region=REGION \
      --connection-preference=ACCEPT_MANUAL \
      --subnets=SUBNET_NAME
  

  Sostituisci NETWORK_ATTACHMENT_NAME con un nome per il collegamento alla rete.

Configurazione delle regole del firewall

Le regole firewall in entrata vengono applicate nella VPC consumer per abilitare la comunicazione con la subnet del collegamento di rete dell'interfaccia Private Service Connect dagli endpoint di calcolo e on-premise.

Aggiorna le regole del firewall in base ai requisiti di protocollo e porta.

1. Crea una regola firewall che consenta il traffico TCP tramite la porta 22:

   gcloud compute firewall-rules create NETWORK-firewall1 \
       --network NETWORK \
       --allow tcp:22
   

2. Crea una regola firewall che consenta il traffico TCP attraverso la porta 3389:

   gcloud compute firewall-rules create NETWORK-firewall2 \
       --network NETWORK \
       --allow tcp:3389
   

3. Crea una regola firewall che consenta il traffico TCP attraverso la porta 443:

   gcloud compute firewall-rules create NETWORK-firewall3 \
       --network NETWORK \
       --allow tcp:icmp
   

Risoluzione dei problemi

Questa sezione elenca alcuni problemi comuni durante la configurazione dell'interfaccia Private Service Connect con Vertex AI.

• Nel progetto in cui crei il collegamento di rete, assicurati che il ruolo compute.networkAdmin sia concesso all'agente di servizio della piattaforma AI dello stesso progetto. Devi attivare in anticipo l'API Vertex AI in questo progetto se è diverso dal progetto di servizio in cui utilizzi Vertex AI.
• Quando configuri Vertex AI per utilizzare una rete VPC condivisa, specifica il collegamento di rete nella risorsa Vertex AI. Ad esempio, in una richiesta di creazione di CustomJob, utilizza il seguente formato: "projects/YOUR_SHARED_VPC_HOST_PROJECT_NUMBER/regions/REGION/networkAttachments/NETWORK_ATTACHMENT_NAME"
• Se specifichi una rete VPC condivisa per l'utilizzo di Vertex AI, assicurati che l'agente di servizio della piattaforma AI nel progetto di servizio abbia un ruolo compute.networkUser concesso nel progetto host VPC.
• I collegamenti di rete non possono essere eliminati a meno che il produttore (Vertex AI) non elimini le risorse allocate. Per avviare la procedura di eliminazione, devi contattare l'assistenza Vertex AI.

Passaggi successivi

• Scopri come utilizzare l'egress dell'interfaccia Private Service Connect per Ray su Vertex AI.
• Scopri come utilizzare il traffico in uscita dall'interfaccia Private Service Connect per l'addestramento personalizzato.
• Scopri come utilizzare l'uscita dell'interfaccia Private Service Connect per Vertex AI Pipelines.