Mit VPC Service Controls können Sie das Risiko der Daten-Exfiltration aus Vertex AI reduzieren. Verwenden Sie VPC Service Controls, um einen Dienstperimeter zu erstellen, der die von Ihnen angegebenen Ressourcen und Daten schützt. Wenn Sie beispielsweise VPC Service Controls zum Schutz von Vertex AI verwenden, können die folgenden Artefakte Ihren Dienstperimeter nicht verlassen:
- Trainingsdaten für ein AutoML- oder benutzerdefiniertes Modell
- Von Ihnen erstellte Modelle
- Modelle, nach denen Sie mit Neural Architecture Search gesucht haben
- Anfragen für Onlinevorhersagen
- Ergebnisse einer Batchvorhersageanfrage
Dienstperimeter erstellen
Fügen Sie beim Erstellen eines Dienstperimeters Vertex AI (aiplatform.googleapis.com) und Vertex AI Workbench (notebooks.googleapis.com) als geschützte Dienste hinzu. Sie müssen keine zusätzlichen Dienste hinzufügen, damit Vertex AI funktioniert. Vertex AI kann jedoch keine Ressourcen außerhalb des Perimeters erreichen, z. B. Dateien in einem Cloud Storage-Bucket außerhalb des Perimeters.
Weitere Informationen zum Erstellen eines Dienstperimeters finden Sie unter Dienstperimeter erstellen in der Dokumentation zu VPC Service Controls.
Aktivieren Sie VPC Service Controls für Peerings, um das VPC-Netzwerk servicenetworking ohne Standardroute zu konfigurieren. Der Name ist etwas irreführend, da es nicht explizit eine VPC-SC-Konfiguration ist, es wird aber häufig zusammen mit VPC-SC verwendet. Ohne die Standardroute aus der Perspektive des servicenetworking-VPC-Netzwerks.
- Pakete an
199.36.153.4/30(restricted.googleapis.com) werden an das Standard-Internetgateway des VPC-Netzwerksservicenetworkinggesendet. Das liegt daran, dass der Befehl eine benutzerdefinierte Route für dieses Ziel erstellt. Die Standardroute (oder breitere Route) im VPC-Netzwerk des Kunden kann verwendet werden, um Traffic vom VPC-Netzwerk
servicenetworkingin das VPC-Netzwerk des Kunden oder in ein lokales Netzwerk weiterzuleiten, das mit dem VPC-Netzwerk des Kunden verbunden ist. Damit dies funktioniert, müssen die folgenden Voraussetzungen erfüllt sein.- Die Routen im VPC-Netzwerk des Kunden müssen die nächsten Hops verwenden anders als den nächsten Hop des Standard-Internetgateways. Routen, die den nächsten Hop des Standard-Internetgateways verwenden, werden in einer VPC-Netzwerk-Peering-Beziehung nie ausgetauscht.
- Das VPC-Netzwerk des Kunden muss so konfiguriert sein, dass benutzerdefinierte Routen im Peering in das VPC-Netzwerk
servicenetworkingexportiert werden. (Dasservicenetworking-Netzwerk ist bereits für den Import benutzerdefinierter Routen in der Peering-Beziehung konfiguriert.)
Weitere Informationen dazu finden Sie unter Verbindungen von Vertex AI zu anderen Netzwerken einrichten.
Unterstützung von VPC Service Controls für generative KI-Abstimmungspipelines
Unterstützung von VPC Service Controls wird in der Abstimmungspipeline der folgenden Modelle bereitgestellt:
text-bison for PaLM 2BERTT5
Beschränkungen
Die folgenden Einschränkungen gelten bei der Verwendung von VPC Service Controls:
- Zum Hinzufügen von Daten-Labels müssen Sie die IP-Adressen der Labelersteller einer Zugriffsebene hinzufügen.
- Bei Google Cloud-Pipeline-Komponenten starten die Komponenten Container, die ihr Basis-Image auf alle Anforderungen prüfen. Wenn die Anforderungen fehlen, laden Sie sie aus dem Python-Paketindex (PyPI) herunter.
Das KFP-Paket sowie alle im Argument
packages_to_installaufgeführten Pakete sind die Anforderungen für einen Container. Wenn eine Anforderung angegeben ist, die im Basis-Image nicht vorhanden ist (entweder bereitgestellt oder benutzerdefiniert), schlägt die Komponente fehl, wenn sie die Anforderungen nicht herunterladen kann. - Wenn Sie VPC Service Controls mit benutzerdefinierten Kerneln in Vertex AI Workbench verwenden, müssen Sie stattdessen DNS-Peering so konfigurieren, dass Anfragen für
*.notebooks.googleusercontent.coman das Subnetz 199.36.153.8/30 (private.googleapis.com) gesendet werden. anstelle von 199.36.153.4/30 (restricted.googleapis.com).