使用 Vertex AI 的 VPC Service Controls

VPC Service Controls 可帮助您降低 Vertex AI 中发生数据渗漏的风险。使用 VPC Service Controls 创建一个服务边界，用于保护您指定的资源和数据。例如，当您使用 VPC Service Controls 保护 Vertex AI 时，以下工件无法离开服务边界：

• AutoML 模型或自定义模型的训练数据
• 您创建的模型
• 您使用神经架构搜索来搜索的模型
• 在线预测请求
• 批量预测请求的结果

服务边界创建

创建服务边界时，请将 Vertex AI (aiplatform.googleapis.com) 和 Vertex AI Workbench (notebooks.googleapis.com) 添加为受保护的服务。您无需添加任何其他服务，即可让 Vertex AI 正常运行。但是，Vertex AI 将无法访问边界外的资源，例如边界外的 Cloud Storage 存储桶中的文件。

如需详细了解如何创建服务边界，请参阅 VPC Service Controls 文档中的创建服务边界。

为对等互连启用 VPC Service Controls，以配置不使用默认路由的 servicenetworking VPC 网络。这个名称有一点误导性，因为它不是确切的 VPC-SC 配置，而是在使用 VPC-SC 时常用的配置。不使用默认路由是从 servicenetworking VPC 网络的角度而言。

• 发送到 199.36.153.4/30 (restricted.googleapis.com) 的数据包发送到 servicenetworking VPC 网络的默认互联网网关。这是因为该命令会为此目的地创建自定义路由。

• 客户 VPC 网络中的默认路由（或更宽泛的路由）可用于将来自 servicenetworking VPC 网络的流量路由到客户的 VPC 网络或连接到客户 VPC 网络的本地网络。为此，必须满足以下条件。

  • 客户 VPC 网络中的路由使用的下一个跃点必须不同于默认互联网网关下一个跃点。（使用默认互联网网关下一个跃点的路由绝不会在 VPC 网络对等互连关系中交换。）
  • 客户的 VPC 网络必须配置为将对等互连中的自定义路由导出到 servicenetworking VPC 网络。（servicenetworking 网络已配置为在对等互连关系中导入自定义路由。）

如需了解详情，请参阅设置从 Vertex AI 到其他网络的连接。

VPC Service Controls 对生成式 AI 调整流水线的支持

以下模型的调整流水线提供了 VPC Service Controls 支持：

• text-bison for PaLM 2
• BERT
• T5

限制

使用 VPC Service Controls 时，存在以下限制：

• 对于数据标签，您必须将标签添加者的 IP 地址添加到访问权限级别。
• 对于 Google Cloud 流水线组件，组件会启动检查其基础映像是否满足所有要求的容器。如果没有满足某些要求，请从 Python Package Index (PyPI) 下载。KFP 软件包以及 packages_to_install 参数中列出的所有软件包都是容器需要满足的要求。如果指定的要求在基础映像（无论是提供的映像还是自定义映像）中不存在，则当无法下载该要求时，该组件将失败。
• 在 Vertex AI Workbench 中将 VPC Service Controls 与自定义内核搭配使用时，您必须改为配置 DNS 对等互连以将对 *.notebooks.googleusercontent.com 的请求发送到子网 199.36.153.8/30 (private.googleapis.com)，而不是 199.36.153.4/30 (restricted.googleapis.com)。

后续步骤

• 详细了解 VPC Service Controls。
• 了解如何排查 VPC Service Controls 问题。