Configurar uma interface do Private Service Connect para recursos da Vertex AI

Este guia mostra como configurar uma interface do Private Service Connect para recursos do Vertex AI.

É possível configurar conexões de interface do Private Service Connect para determinados recursos na Vertex AI, incluindo:

Ao contrário das conexões de peering da VPC, as conexões de interface do Private Service Connect podem ser transitivas, exigindo menos endereços IP na rede VPC do consumidor. Isso permite maior flexibilidade na conexão com outras redes VPC no projeto Google Cloud e local.

Este guia é recomendado para administradores de rede que já conhecem os conceitos de Google Cloud rede.

Objetivos

Este guia abrange as seguintes tarefas:

  • Configure uma rede VPC do produtor, uma sub-rede e um anexo de rede.
  • Adicione regras de firewall ao projeto de host de rede Google Cloud .
  • Crie um recurso da Vertex AI especificando o anexo de rede para usar uma interface do Private Service Connect.

Antes de começar

Use as instruções a seguir para criar ou selecionar um projeto do Google Cloud e configurá-lo para uso com a Vertex AI e o Private Service Connect.

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Enable the Vertex AI, Compute Engine, and Cloud Storage APIs.

    Enable the APIs

  5. Install the Google Cloud CLI.

  6. To initialize the gcloud CLI, run the following command: 

    gcloud init

  7. Update and install gcloud components:

    gcloud components update
    gcloud components install beta

  8. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  9. Make sure that billing is enabled for your Google Cloud project.

  10. Enable the Vertex AI, Compute Engine, and Cloud Storage APIs.

    Enable the APIs

  11. Install the Google Cloud CLI.

  12. To initialize the gcloud CLI, run the following command: 

    gcloud init

  13. Update and install gcloud components:

    gcloud components update
    gcloud components install beta
  14. Se você não for o proprietário do projeto e não tiver o papel de Administrador do IAM do projeto (roles/resourcemanager.projectIamAdmin), peça ao proprietário que conceda a você o papel de Administrador da rede do Compute (roles/compute.networkAdmin), que inclui as funções necessárias para gerenciar recursos de rede.
  15. Atribua o papel de administrador da rede do Compute do projeto Google Cloud do host de rede à conta do Agente de serviço da AI Platform do projeto em que você está usando os serviços de treinamento da Vertex AI.

Configurar uma rede e uma sub-rede VPC

Nesta seção, você pode usar uma rede VPC atual ou seguir as etapas de configuração para criar uma nova rede VPC, caso não tenha uma.

  1. Crie uma rede VPC:

    gcloud compute networks create NETWORK \
    --subnet-mode=custom

    Substitua NETWORK por um nome para a rede VPC.

  2. Criar uma sub-rede:

    gcloud compute networks subnets create SUBNET_NAME \
    --network=NETWORK \
    --range=PRIMARY_RANGE \
    --region=REGION

    Substitua:

    • SUBNET_NAME: um nome para a sub-rede.

    • PRIMARY_RANGE: o intervalo IPv4 principal da nova sub-rede, em notação CIDR. Para mais informações, consulte Intervalos de sub-rede IPv4.

      A Vertex AI requer uma sub-rede /28.

      A Vertex AI só pode acessar os intervalos do RFC 1918 especificados no PRIMARY_RANGE necessário. Consulte Intervalos IPv4 válidos para conferir a lista de intervalos RFC 1918 válidos. A Vertex AI não pode alcançar os seguintes intervalos não RFC 1918:

      • 100.64.0.0/10
      • 192.0.0.0/24
      • 192.0.2.0/24
      • 198.18.0.0/15
      • 198.51.100.0/24
      • 203.0.113.0/24
      • 240.0.0.0/4

    • REGION: a Google Cloud região em que a nova sub-rede foi criada.

Criar um anexo de rede

Em uma implantação da VPC compartilhada, crie a sub-rede usada para o anexo de rede no projeto host, seguido pela criação do anexo de rede do Private Service Connect no projeto de serviço.

O exemplo a seguir mostra como criar um anexo de rede que aceite conexões manualmente. 

   gcloud compute network-attachments create NETWORK_ATTACHMENT_NAME \
       --region=REGION \
       --connection-preference=ACCEPT_MANUAL \
       --subnets=SUBNET_NAME

Substitua NETWORK_ATTACHMENT_NAME por um nome para o anexo de rede.

Função obrigatória do agente de serviço da Vertex AI

No projeto em que você cria o anexo de rede, verifique se o papel compute.networkAdmin foi concedido ao Agente de serviço da Vertex AI do mesmo projeto. É necessário ativar a API Vertex AI nesse projeto com antecedência se ele for diferente do projeto de serviço em que você usa a Vertex AI.

Configurar regras de firewall

As regras de firewall de entrada são aplicadas na VPC do consumidor para permitir a comunicação com a sub-rede de anexo de rede da interface do Private Service Connect de endpoints de computação e locais.

A configuração de regras de firewall é opcional. No entanto, recomendamos que você defina regras de firewall comuns, conforme mostrado nos exemplos a seguir.

  1. Crie uma regra de firewall que permita o acesso SSH na porta TCP 22:

    gcloud compute firewall-rules create NETWORK-firewall1 \
    --network NETWORK \
    --allow tcp:22

  2. Crie uma regra de firewall que permita o tráfego HTTPS na porta TCP 443:

    gcloud compute firewall-rules create NETWORK-firewall2 \
    --network NETWORK \
    --allow tcp:443

  3. Crie uma regra de firewall que permita o tráfego ICMP (como solicitações de ping):

    gcloud compute firewall-rules create NETWORK-firewall3 \
    --network NETWORK \
    --allow tcp:icmp

Solução de problemas

Esta seção lista alguns problemas comuns ao configurar a interface do Private Service Connect com a Vertex AI.

  • Ao configurar a Vertex AI para usar uma rede VPC compartilhada, especifique o anexo de rede no recurso da Vertex AI. Por exemplo, em uma solicitação de criação de CustomJob, use o seguinte formato: "projects/YOUR_SHARED_VPC_HOST_PROJECT_NUMBER/regions/REGION/networkAttachments/NETWORK_ATTACHMENT_NAME"
  • Se você especificar uma rede VPC compartilhada para a Vertex AI usar, verifique se o agente de serviço do AI Platform no projeto de serviço tem um papel compute.networkUser concedido no projeto host da VPC.
  • Os anexos de rede não podem ser excluídos, a menos que o produtor (Vertex AI) exclua os recursos alocados. Para iniciar o processo de exclusão, você precisa entrar em contato com o suporte da Vertex AI.

A seguir