Menyiapkan antarmuka Private Service Connect untuk resource Vertex AI

Panduan ini menunjukkan cara menyiapkan antarmuka Private Service Connect untuk resource Vertex AI.

Anda dapat mengonfigurasi koneksi antarmuka Private Service Connect untuk resource tertentu di Vertex AI, termasuk:

Tidak seperti koneksi peering VPC, koneksi antarmuka Private Service Connect dapat bersifat transitive, sehingga memerlukan lebih sedikit alamat IP di jaringan VPC konsumen. Hal ini memungkinkan fleksibilitas yang lebih besar dalam menghubungkan ke jaringan VPC lain di project Google Cloud dan di lokasi Anda.

Panduan ini direkomendasikan bagi administrator jaringan yang sudah memahami konsep jaringan. Google Cloud

Tujuan

Panduan ini mencakup tugas-tugas berikut:

  • Konfigurasikan jaringan VPC, subnet, dan lampiran jaringan produsen.
  • Tambahkan aturan firewall ke Google Cloud project host jaringan Anda.
  • Buat resource Vertex AI yang menentukan lampiran jaringan untuk menggunakan antarmuka Private Service Connect.

Sebelum memulai

Gunakan petunjuk berikut untuk membuat atau memilih project Google Cloud dan mengonfigurasinya untuk digunakan dengan Vertex AI dan Private Service Connect.

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Enable the Vertex AI, Compute Engine, and Cloud Storage APIs.

    Enable the APIs

  5. Install the Google Cloud CLI.

  6. To initialize the gcloud CLI, run the following command: 

    gcloud init

  7. Update and install gcloud components:

    gcloud components update
    gcloud components install beta

  8. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  9. Make sure that billing is enabled for your Google Cloud project.

  10. Enable the Vertex AI, Compute Engine, and Cloud Storage APIs.

    Enable the APIs

  11. Install the Google Cloud CLI.

  12. To initialize the gcloud CLI, run the following command: 

    gcloud init

  13. Update and install gcloud components:

    gcloud components update
    gcloud components install beta
  14. Jika Anda bukan pemilik project, dan tidak memiliki peran Project IAM Admin (roles/resourcemanager.projectIamAdmin), minta pemilik untuk memberi Anda peran Compute Network Admin (roles/compute.networkAdmin), yang mencakup peran yang diperlukan untuk mengelola resource jaringan.
  15. Tetapkan peran Compute Network Admin dari project Google Cloud host jaringan ke akun AI Platform Service Agent dari project tempat Anda menggunakan layanan Vertex AI Training.

Menyiapkan jaringan dan subnet VPC

Di bagian ini, Anda dapat menggunakan jaringan VPC yang ada atau mengikuti langkah-langkah konfigurasi untuk membuat jaringan VPC baru jika tidak memiliki jaringan yang ada.

  1. Buat jaringan VPC:

    gcloud compute networks create NETWORK \
    --subnet-mode=custom

    Ganti NETWORK dengan nama untuk jaringan VPC.

  2. Buat subnet:

    gcloud compute networks subnets create SUBNET_NAME \
    --network=NETWORK \
    --range=PRIMARY_RANGE \
    --region=REGION

    Ganti kode berikut:

    • SUBNET_NAME: nama untuk subnet.

    • PRIMARY_RANGE: rentang IPv4 utama untuk subnet baru, dalam notasi CIDR. Untuk mengetahui informasi selengkapnya, lihat Rentang subnet IPv4.

      Vertex AI memerlukan subjaringan /28.

      Vertex AI hanya dapat menjangkau rentang RFC 1918 yang ditentukan dalam PRIMARY_RANGE yang diperlukan. Lihat Rentang IPv4 yang valid untuk mengetahui daftar rentang RFC 1918 yang valid. Vertex AI tidak dapat menjangkau rentang non-RFC 1918 berikut:

      • 100.64.0.0/10
      • 192.0.0.0/24
      • 192.0.2.0/24
      • 198.18.0.0/15
      • 198.51.100.0/24
      • 203.0.113.0/24
      • 240.0.0.0/4

    • REGION: Google Cloud region tempat subnet baru dibuat.

Membuat lampiran jaringan

Dalam deployment VPC Bersama, buat subnet yang digunakan untuk Lampiran Jaringan di Project Host, diikuti dengan membuat Lampiran Jaringan Private Service Connect di Project Layanan.

Contoh berikut menunjukkan cara Membuat lampiran jaringan yang menerima koneksi secara manual. 

   gcloud compute network-attachments create NETWORK_ATTACHMENT_NAME \
       --region=REGION \
       --connection-preference=ACCEPT_MANUAL \
       --subnets=SUBNET_NAME

Ganti NETWORK_ATTACHMENT_NAME dengan nama untuk lampiran jaringan.

Peran yang diperlukan agen layanan Vertex AI

Dalam project tempat Anda membuat lampiran jaringan, pastikan peran compute.networkAdmin diberikan ke agen layanan Vertex AI dari project yang sama. Anda harus mengaktifkan Vertex AI API di project ini terlebih dahulu jika berbeda dengan project layanan tempat Anda menggunakan Vertex AI.

Mengonfigurasi aturan firewall

Aturan firewall masuk diterapkan di VPC konsumen untuk mengaktifkan komunikasi dengan subnet lampiran jaringan antarmuka Private Service Connect dari endpoint komputasi dan lokal.

Mengonfigurasi aturan firewall bersifat opsional. Namun, sebaiknya tetapkan aturan firewall umum seperti yang ditunjukkan dalam contoh berikut.

  1. Buat aturan firewall yang mengizinkan akses SSH di TCP port 22:

    gcloud compute firewall-rules create NETWORK-firewall1 \
    --network NETWORK \
    --allow tcp:22

  2. Buat aturan firewall yang mengizinkan traffic HTTPS di port TCP 443:

    gcloud compute firewall-rules create NETWORK-firewall2 \
    --network NETWORK \
    --allow tcp:443

  3. Buat aturan firewall yang mengizinkan traffic ICMP (seperti permintaan ping)::

    gcloud compute firewall-rules create NETWORK-firewall3 \
    --network NETWORK \
    --allow tcp:icmp

Pemecahan masalah

Bagian ini berisi daftar beberapa masalah umum saat mengonfigurasi antarmuka Private Service Connect dengan Vertex AI.

  • Saat Anda mengonfigurasi Vertex AI untuk menggunakan jaringan VPC Bersama, tentukan lampiran jaringan di resource Vertex AI. Misalnya, dalam permintaan pembuatan CustomJob, gunakan format berikut: "projects/YOUR_SHARED_VPC_HOST_PROJECT_NUMBER/regions/REGION/networkAttachments/NETWORK_ATTACHMENT_NAME"
  • Jika Anda menentukan jaringan VPC Bersama untuk digunakan oleh Vertex AI, pastikan Agen Layanan AI Platform dalam project layanan memiliki peran compute.networkUser yang diberikan di project host VPC Anda.
  • Lampiran jaringan tidak dapat dihapus kecuali jika produsen (Vertex AI) menghapus resource yang dialokasikan. Untuk memulai proses penghapusan, Anda harus menghubungi dukungan Vertex AI.

Langkah berikutnya

  • Pelajari cara menggunakan egress antarmuka Private Service Connect untuk Ray on Vertex AI.
  • Pelajari cara menggunakan egress antarmuka Private Service Connect untuk pelatihan kustom.
  • Pelajari cara menggunakan egress antarmuka Private Service Connect untuk Vertex AI Pipelines.