O VPC Service Controls pode ajudar você a reduzir o risco de exfiltração de dados da Vertex AI. Use o VPC Service Controls para criar um perímetro de serviço que proteja os recursos e dados especificados por você. Por exemplo, quando você usa o VPC Service Controls para proteger a Vertex AI, os artefatos a seguir não podem sair do perímetro de serviço:
- Dados de treinamento de um modelo personalizado ou AutoML
- Modelos que você criou
- Modelos que você pesquisou usando a pesquisa de arquitetura neural
- Solicitações de previsões on-line
- Resultados de uma solicitação de previsão em lote
Criação do perímetro de serviço
Ao criar um perímetro de serviço, inclua a Vertex AI
(aiplatform.googleapis.com
) e o Vertex AI Workbench
(notebooks.googleapis.com
) como serviços protegidos. Você não precisa incluir serviços adicionais para que a Vertex AI funcione. No entanto, a Vertex AI não poderá acessar recursos fora do perímetro, como arquivos em um bucket do Cloud Storage que esteja fora do perímetro.
Para mais informações sobre como criar um perímetro de serviço, consulte Como criar um perímetro de serviço na documentação do VPC Service Controls.
Ative o VPC Service Controls para peerings para configurar a rede VPC servicenetworking
sem uma rota padrão. O nome é um pouco enganoso, porque não é uma configuração explicitamente do VPC-SC. No geral, ele é usado com frequência como VPC-SC. Sem a rota padrão, da perspectiva da rede VPC servicenetworking
.
- Os pacotes para
199.36.153.4/30
(restricted.googleapis.com) são enviados para o gateway de Internet padrão da rede VPCservicenetworking
. Isso acontece porque o comando cria uma rota personalizada para esse destino. As entradas DNS dos domínios a seguir são adicionadas à rede VPC
servicenetworking
para facilitar o Acesso privado do Googlebackupdr.cloud.google.com
backupdr.googleusercontent.com
gcr.io
googleapis.com
kernels.googleusercontent.com
notebooks.cloud.google.com
pkg.dev
A rota padrão (ou rotas mais amplas) na rede VPC do cliente pode ser usada para rotear o tráfego da rede VPC
servicenetworking
para a rede VPC do cliente ou para uma rede local conectada à rede VPC do cliente. Para que isso funcione, as condições a seguir precisam ser cumpridas.- As rotas na rede VPC do cliente precisam usar os próximos saltos diferentes do próximo salto padrão do gateway de Internet. (Rotas que usam o próximo salto padrão do gateway de Internet nunca são trocadas em uma relação de peering de rede VPC.)
- A rede VPC do cliente precisa ser configurada para exportar rotas personalizadas no peering para a rede VPC
servicenetworking
. (A redeservicenetworking
já está configurada para importar rotas personalizadas na relação de peering.)
Para mais informações, consulte Configurar a conectividade da Vertex AI com outras redes.
Suporte do VPC Service Controls para pipelines de ajuste de IA generativa
O suporte do VPC Service Controls é fornecido no pipeline de ajuste dos seguintes modelos:
text-bison for PaLM 2
BERT
T5
- A família de modelos
textembedding-gecko
.
Limitações
As limitações a seguir se aplicam ao usar o VPC Service Controls:
- Para rotular dados, é preciso adicionar os endereços IP dos rotuladores a um nível de acesso.
- Para os componentes do Google Cloud Pipeline, os componentes iniciam os contêineres que
verificam a imagem de base para todos os requisitos. Se os requisitos estiverem ausentes,
faça o download deles do Índice de pacotes do Python (PyPI, na sigla em inglês).
O pacote do KFP, bem como todos os pacotes listados no argumento
packages_to_install
, são os requisitos de um contêiner. Caso especificado um requisito que não esteja presente na imagem de base (fornecida ou personalizada), o componente falhará se não for possível Baixar o requisito. - Ao usar o VPC Service Controls com kernels personalizados no
Vertex AI Workbench, é preciso configurar o peering de DNS para enviar
solicitações de
*.notebooks.googleusercontent.com
para a sub-rede 199.36.153.8/30 (private.googleapis.com
) em vez de 199.36.153.4/30 (restricted.googleapis.com
).
A seguir
- Saiba mais sobre o VPC Service Controls.
- Saiba mais sobre como resolver problemas do VPC Service Controls.