Kontrol Layanan VPC dapat membantu Anda mengurangi risiko pemindahan data yang tidak sah dari Vertex AI. Gunakan Kontrol Layanan VPC untuk membuat perimeter layanan yang melindungi resource dan data yang Anda tentukan. Misalnya, saat Anda menggunakan Kontrol Layanan VPC untuk melindungi Vertex AI, artefak berikut tidak dapat meninggalkan perimeter layanan Anda:
- Data pelatihan untuk model AutoML atau model kustom
- Model yang Anda buat
- Model yang Anda telusuri menggunakan Neural Architecture Search
- Permintaan prediksi online
- Hasil dari permintaan prediksi batch
- Model Gemini
Mengontrol akses ke Google API
Vertex AI API, seperti yang diuraikan dalam Mengakses Vertex AI dari lokal dan multi-cloud, mencakup berbagai opsi aksesibilitas, termasuk internet publik, Private Service Connect untuk Google API, dan Akses Google Pribadi.
Akses publik
Secara default, API publik ini dapat dijangkau dari internet; tetapi, izin IAM diperlukan untuk penggunaannya. Meskipun fitur seperti Private Service Connect dan Private Google Access memfasilitasi komunikasi pribadi melalui arsitektur jaringan campuran, fitur tersebut tidak menghilangkan aksesibilitas internet publik untuk Vertex AI API.
Untuk menetapkan kontrol terperinci atas akses API dan secara eksplisit membatasi eksposur internet publik, penerapan Kontrol Layanan VPC menjadi sangat penting. Lapisan keamanan ini memungkinkan administrator menentukan dan menerapkan kebijakan akses, yang secara selektif mengaktifkan konektivitas publik atau pribadi ke Google API untuk memenuhi persyaratan organisasi.
Akses pribadi
Organisasi yang perlu membatasi Google API publik ke akses pribadi dapat menggunakan Kontrol Layanan VPC yang dikombinasikan dengan Google API Private Service Connect (paket Kontrol Layanan VPC) atau Akses Google Pribadi. Saat di-deploy melalui jaringan campuran dan dalam Google Cloud, kedua opsi tersebut memungkinkan akses pribadi ke Google API dari lokal. Namun, Private Service Connect juga menawarkan fleksibilitas dalam menentukan alamat IP kustom dan nama endpoint DNS.
Sebagai praktik terbaik, gunakan Virtual IP (VIP) yang dibatasi dengan Google API Private Service Connect atau Akses Google Pribadi untuk menyediakan rute jaringan pribadi bagi permintaan ke layanan Google Cloud tanpa mengekspos permintaan ke internet. VIP terbatas mendukung semua API yang dapat dilindungi oleh Kontrol Layanan VPC yang memerlukan pertimbangan untuk jaringan VPC dan lokal. Berikut beberapa contohnya:
Mengontrol akses API melalui akses layanan pribadi
Vertex AI API berikut yang di-deploy dengan akses layanan pribadi memerlukan konfigurasi jaringan tambahan saat diterapkan di lingkungan yang dilindungi dengan Kontrol Layanan VPC:
- Vector Search (kueri indeks)
- Pelatihan kustom (bidang data)
- Vertex AI Pipelines
- Endpoint prediksi online pribadi
Misalnya, Vertex AI Pipelines adalah layanan (produser) yang dikelola Google, yang di-deploy di project tenant tunggal dan jaringan VPC dengan kemampuan untuk menskalakan layanan yang didukung berdasarkan persyaratan konsumen. Komunikasi antara jaringan produsen dan konsumen dibuat dengan Peering Jaringan VPC, kecuali untuk traffic keluar internet, yang dirutekan melalui jaringan produsen.
Di jaringan produsen, terdapat rute default yang memungkinkan traffic keluar internet, selain akses tidak terbatas ke Google API. Memperbarui jaringan produsen untuk mendukung VIP yang dibatasi memerlukan pengaktifan Kontrol Layanan VPC untuk peering, yang melakukan tindakan berikut pada semua layanan yang didukung yang di-deploy di jaringan produsen jaringan layanan Anda:
- Menghapus rute default IPv4 (tujuan
0.0.0.0/0
, gateway internet default next hop). - Membuat zona pribadi yang dikelola Cloud DNS dan memberikan otorisasi pada zona tersebut untuk
jaringan VPC produsen layanan. Zona tersebut mencakup
googleapis.com
,pkg.dev
,gcr.io
, dan domain atau nama host lain yang diperlukan untuk Google API dan layanan yang kompatibel dengan Kontrol Layanan VPC. - Data data di zona me-resolve semua nama host ke
199.36.153.4
,199.36.153.5
,199.36.153.6
, dan199.36.153.7
.
Metode alternatif untuk menghapus rute default dari jaringan produsen tanpa memengaruhi layanan yang dikelola Google yang ada adalah menggunakan VPN dengan ketersediaan tinggi (HA) melalui Cloud Interconnect yang terdiri dari langkah-langkah berikut:
- Deploy jaringan VPC layanan bersama dengan VPN HA ke jaringan VPC konsumen.
- Men-deploy layanan terkelola Google di jaringan VPC layanan.
- Aktifkan Kontrol Layanan VPC untuk peering.
- Iklankan subnet akses layanan pribadi sebagai pemberitahuan rute kustom dari Cloud Router jika layanan terkelola memerlukan jangkauan lokal.
- Perbarui peering jaringan VPC jaringan layanan dengan opsi ekspor rute kustom.
Pembuatan perimeter layanan
Untuk ringkasan pembuatan perimeter layanan, lihat Membuat perimeter layanan dalam dokumentasi Kontrol Layanan VPC.
Menambahkan layanan terbatas ke perimeter Anda
Saat menetapkan perimeter layanan, sebaiknya sertakan semua layanan yang dibatasi sebagai praktik terbaik keamanan. Pendekatan komprehensif ini membantu meminimalkan potensi kerentanan dan akses tidak sah. Namun, mungkin ada skenario saat organisasi Anda memiliki persyaratan khusus yang berfokus pada pengamanan Vertex AI dan API-nya yang saling terkoneksi. Dalam kasus tersebut, Anda memiliki fleksibilitas untuk memilih dan menyertakan hanya Vertex AI API tertentu yang penting untuk operasi Anda.
Vertex AI API yang dapat Anda sertakan ke dalam perimeter layanan mencakup hal berikut:
- Vertex AI API
mendukung layanan dan fitur berikut:
- Prediksi batch
- Set data
- Vertex AI Feature Store (Penayangan online Bigtable)
- Vertex AI Feature Store (penayangan online yang dioptimalkan)
- AI Generatif di Vertex AI (Gemini)
- Vertex AI Model Registry
- Prediksi online
- Vector Search (pembuatan indeks)
- Vector Search (kueri indeks)
- Pelatihan kustom (bidang kontrol)
- Pelatihan kustom (bidang data)
- Vertex AI Pipelines
- Endpoint prediksi online pribadi
- Colab Enterprise
- Notebooks API
mendukung layanan berikut:
- Vertex AI Workbench
Dukungan Kontrol Layanan VPC untuk pipeline penyesuaian AI Generatif
Dukungan Kontrol Layanan VPC disediakan dalam pipeline penyesuaian model berikut:
text-bison for PaLM 2
BERT
T5
- Kelompok model
textembedding-gecko
.
Menggunakan Kontrol Layanan VPC dengan Vertex AI Pipelines
Perimeter layanan memblokir akses dari Vertex AI ke API dan layanan pihak ketiga di internet. Jika Anda menggunakan Google Cloud Komponen Pipeline atau membuat komponen pipeline kustom Anda sendiri untuk digunakan dengan Vertex AI Pipelines, Anda tidak dapat menginstal dependensi PyPI dari registry Python Package Index (PyPI) publik. Sebagai gantinya, Anda harus melakukan salah satu hal berikut:
Menggunakan container kustom
Sebagai praktik terbaik software produksi, penulis komponen harus menggunakan komponen Python dalam container dan mem-build dependensi ke dalam image container, sehingga tidak diperlukan penginstalan langsung selama pipeline dijalankan. Kubeflow Pipelines SDK menawarkan cara untuk melakukan containerisasi kode Python Anda. Untuk mengetahui informasi selengkapnya, lihat Komponen Python dalam Container.
Menginstal paket dari repositori Artifact Registry
Atau, Anda dapat membuat repositori Artifact Registry di project, menyimpan paket Python di dalamnya, dan mengonfigurasi lingkungan Vertex AI untuk menginstal dari repositori tersebut seperti yang diuraikan di bagian ini. Untuk informasi selengkapnya, lihat Mengelola paket Python.
Mengonfigurasi peran dan izin
Akun layanan untuk lingkungan Vertex AI Anda harus memiliki peran
iam.serviceAccountUser
.Jika Anda menginstal paket PyPI kustom dari repositori di jaringan project, dan repositori ini tidak memiliki alamat IP publik:
Tetapkan izin untuk mengakses repositori ini ke akun layanan lingkungan.
Pastikan konektivitas ke repositori ini dikonfigurasi dalam project Anda.
Membuat repositori
- Buat repositori Artifact Registry dalam mode VPC di project Anda.
- Simpan paket Python yang diperlukan di repositori.
Mengonfigurasi lingkungan Vertex AI untuk diinstal dari repositori
Untuk menginstal paket PyPI kustom dari satu atau beberapa repositori Artifact Registry,
lakukan panggilan yang mirip dengan berikut ke @dsl.component
:
@dsl.component(packages_to_install=["tensorflow"],
pip_index_urls=['http://myprivaterepo.com/simple', 'http://pypi.org/simple'],)
def hello_world(text: str) -> str:
import my_package
import tensorflow
return my_package.hello_world(text)
Batasan
Batasan berikut berlaku saat Anda menggunakan Kontrol Layanan VPC:
- Untuk pelabelan data, Anda harus menambahkan alamat IP pemberi label ke tingkat akses.
- Untuk Komponen Pipeline Google Cloud , komponen meluncurkan penampung yang memeriksa semua persyaratan image dasarnya.
Paket KFP, serta paket apa pun yang tercantum dalam argumen
packages_to_install
adalah persyaratan untuk container. Jika persyaratan yang ditentukan belum ada dalam image dasar (baik yang disediakan maupun kustom), komponen akan mencoba mendownloadnya dari Python Package Index (PyPI). Karena perimeter layanan memblokir akses dari Vertex AI ke API dan layanan pihak ketiga di internet, download gagal denganConnection to pypi.org timed out
. Untuk mengetahui cara menghindari error ini, lihat Menggunakan Kontrol Layanan VPC dengan Vertex AI Pipelines. - Saat menggunakan Kontrol Layanan VPC dengan kernel kustom di
Vertex AI Workbench, Anda harus mengonfigurasi peering DNS untuk mengirim
permintaan
*.notebooks.googleusercontent.com
ke subnet 199.36.153.8/30 (private.googleapis.com
), bukan 199.36.153.4/30 (restricted.googleapis.com
).
Langkah selanjutnya
- Tonton video Kontrol Layanan VPC: Cara mengelompokkan project cloud Anda di VPC bersama.
- Tonton video Cara menggunakan mode uji coba di Kontrol Layanan VPC.
- Tonton video Kontrol Layanan VPC: Dukungan IP pribadi untuk membuat kontrol akses terperinci.
- Pelajari lebih lanjut Kontrol Layanan VPC.
- Pelajari lebih lanjut peran yang diperlukan Kontrol Layanan VPC.
- Pelajari cara memecahkan masalah Kontrol Layanan VPC.