Configurare un'interfaccia Private Service Connect per le risorse Vertex AI

Questa guida mostra come configurare un'interfaccia Private Service Connect per le risorse Vertex AI.

Puoi configurare le connessioni dell'interfaccia Private Service Connect per determinate risorse in Vertex AI, tra cui:

• Ray on Vertex AI
• Addestramento personalizzato
• Vertex AI Pipelines

A differenza delle connessioni di peering VPC, le connessioni dell'interfaccia Private Service Connect possono essere transitorie e richiedono meno indirizzi IP nella rete VPC consumer. Ciò consente una maggiore flessibilità per la connessione ad altre reti VPC nel tuo Google Cloud progetto e on-premise.

Questa guida è consigliata per gli amministratori di rete che hanno familiarità con i Google Cloud concetti di networking.

Obiettivi

Questa guida illustra le seguenti attività:

• Configura una rete VPC, una subnet e un collegamento di rete del producer.
• Aggiungi regole firewall al tuo Google Cloud progetto host di rete.
• Crea una risorsa Vertex AI specificando l'attacco alla rete per utilizzare un'interfaccia Private Service Connect.

Prima di iniziare

Segui le istruzioni riportate di seguito per creare o selezionare un progetto Google Cloud e configurarlo per l'utilizzo con Vertex AI e Private Service Connect.

1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

   Go to project selector

3. Make sure that billing is enabled for your Google Cloud project.

4. Enable the Vertex AI, Compute Engine, and Cloud Storage APIs.

   Enable the APIs

5. Install the Google Cloud CLI.

6. To initialize the gcloud CLI, run the following command:

   gcloud init

7. Update and install gcloud components:

   gcloud components update
   gcloud components install beta

8. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

   Go to project selector

9. Make sure that billing is enabled for your Google Cloud project.

10. Enable the Vertex AI, Compute Engine, and Cloud Storage APIs.

    Enable the APIs

11. Install the Google Cloud CLI.

12. To initialize the gcloud CLI, run the following command:

    gcloud init

13. Update and install gcloud components:

    gcloud components update
    gcloud components install beta

14. Se non sei il proprietario del progetto e non disponi del ruolo Amministratore IAM del progetto (roles/resourcemanager.projectIamAdmin), chiedi al proprietario di concederti il ruolo Amministratore di rete di Compute (roles/compute.networkAdmin), che include i ruoli richiesti per gestire le risorse di rete.
15. Assegna il ruolo Amministratore rete Compute del Google Cloud progetto Google Cloud di AI Platform Service Agent al progetto in cui utilizzi i servizi Vertex AI Training.

Configura una rete e una subnet VPC

In questa sezione, puoi utilizzare una rete VPC esistente o seguire i passaggi di configurazione per creare una nuova rete VPC se non ne hai una.

1. Crea una rete VPC:

   gcloud compute networks create NETWORK \
       --subnet-mode=custom
   

   Sostituisci NETWORK con un nome per la rete VPC.

2. Crea una subnet:

   gcloud compute networks subnets create SUBNET_NAME \
       --network=NETWORK \
       --range=PRIMARY_RANGE \
       --region=REGION
   

   Sostituisci quanto segue:

   • SUBNET_NAME: un nome per la subnet.

   • PRIMARY_RANGE: l'intervallo IPv4 principale per la nuova subnet, in notazione CIDR. Per ulteriori informazioni, consulta Intervalli di subnet IPv4.

     Vertex AI richiede una sottorete /28.

     Vertex AI può raggiungere solo gli intervalli RFC 1918 specificati nel PRIMARY_RANGE richiesto. Consulta la sezione Intervalli IPv4 validi per l'elenco degli intervalli RFC 1918 validi. Vertex AI non può raggiungere i seguenti intervalli non RFC 1918:

     • 100.64.0.0/10
     • 192.0.0.0/24
     • 192.0.2.0/24
     • 198.18.0.0/15
     • 198.51.100.0/24
     • 203.0.113.0/24
     • 240.0.0.0/4

   • REGION: la Google Cloud regione in cui viene creata la nuova subnet.

Crea un collegamento di rete

In un deployment VPC condiviso, crea la subnet utilizzata per il collegamento di rete nel progetto host, quindi crea il collegamento di rete Private Service Connect nel progetto di servizio.

L'esempio seguente mostra come creare un allegato di rete che accetti manualmente le connessioni.

   gcloud compute network-attachments create NETWORK_ATTACHMENT_NAME \
       --region=REGION \
       --connection-preference=ACCEPT_MANUAL \
       --subnets=SUBNET_NAME

Sostituisci NETWORK_ATTACHMENT_NAME con un nome per il collegamento di rete.

Configurazione delle regole del firewall

Le regole firewall in entrata vengono applicate nella VPC consumer per abilitare la comunicazione con la subnet del collegamento di rete dell'interfaccia Private Service Connect dagli endpoint di calcolo e on-premise.

La configurazione delle regole del firewall è facoltativa. Tuttavia, ti consigliamo di impostare le regole di firewall comuni come mostrato negli esempi seguenti.

1. Crea una regola firewall che consenta l'accesso SSH sulla porta TCP 22:

   gcloud compute firewall-rules create NETWORK-firewall1 \
       --network NETWORK \
       --allow tcp:22
   

2. Crea una regola firewall che consenta il traffico HTTPS sulla porta TCP 443:

   gcloud compute firewall-rules create NETWORK-firewall2 \
       --network NETWORK \
       --allow tcp:443
   

3. Crea una regola firewall che consenta il traffico ICMP (ad esempio le richieste ping):

   gcloud compute firewall-rules create NETWORK-firewall3 \
       --network NETWORK \
       --allow tcp:icmp
   

Risoluzione dei problemi

Questa sezione elenca alcuni problemi comuni durante la configurazione dell'interfaccia Private Service Connect con Vertex AI.

• Nel progetto in cui crei il collegamento di rete, assicurati che il ruolo compute.networkAdmin sia concesso all'agente di servizio della piattaforma AI dello stesso progetto. Devi attivare in anticipo l'API Vertex AI in questo progetto se è diverso dal progetto di servizio in cui utilizzi Vertex AI.
• Quando configuri Vertex AI per utilizzare una rete VPC condivisa, specifica il collegamento di rete nella risorsa Vertex AI. Ad esempio, in una richiesta di creazione di CustomJob, utilizza il seguente formato: "projects/YOUR_SHARED_VPC_HOST_PROJECT_NUMBER/regions/REGION/networkAttachments/NETWORK_ATTACHMENT_NAME"
• Se specifichi una rete VPC condivisa per l'utilizzo di Vertex AI, assicurati che all'agente di servizio della piattaforma AI nel progetto di servizio sia stato concesso un ruolo compute.networkUser nel progetto host VPC.
• I collegamenti di rete non possono essere eliminati a meno che il produttore (Vertex AI) non elimini le risorse allocate. Per avviare la procedura di eliminazione, devi contattare l'assistenza Vertex AI.

Passaggi successivi

• Scopri come utilizzare l'egress dell'interfaccia Private Service Connect per Ray su Vertex AI.
• Scopri come utilizzare il traffico in uscita dall'interfaccia Private Service Connect per l'addestramento personalizzato.
• Scopri come utilizzare l'uscita dell'interfaccia Private Service Connect per Vertex AI Pipelines.