Controlli di servizio VPC possono aiutarti a mitigare il rischio di esfiltrazione di dati da Vertex AI. Utilizza le funzionalità di Controlli di servizio VPC per creare un perimetro di servizio che protegge le risorse e i dati da te specificati. Ad esempio, quando utilizzi Controlli di servizio VPC per proteggere Vertex AI, quanto segue gli artefatti non possono uscire dal perimetro di servizio:
- Dati di addestramento per un modello AutoML o personalizzato
- I modelli che hai creato
- Modelli cercati utilizzando Neural Architecture Search
- Richieste di previsioni online
- Risultati di una richiesta di previsione batch
Creazione del perimetro di servizio
Quando crei un perimetro di servizio, includi Vertex AI
(aiplatform.googleapis.com) e Vertex AI Workbench
(notebooks.googleapis.com) come servizi protetti. Non è necessario
includere eventuali servizi aggiuntivi per il funzionamento di Vertex AI. Tuttavia,
Vertex AI non sarà in grado di raggiungere le risorse al di fuori del perimetro,
ad esempio i file in un bucket Cloud Storage che si trova all'esterno del perimetro.
Per ulteriori informazioni sulla creazione di un perimetro di servizio, consulta Creare un perimetro di servizio nella documentazione di VPC Service Controls.
Attiva i Controlli di servizio VPC per i peering per configurare la rete VPC servicenetworking senza una route predefinita. Il nome è un po' fuorviante, perché non si tratta esplicitamente di una configurazione VPC-SC; piuttosto, è comunemente utilizzato quando si utilizza VPC-SC. Senza la route predefinita, dal punto di vista della rete VPC servicenetworking.
- I pacchetti destinati a
199.36.153.4/30(restricted.googleapis.com) vengono inviati al gateway internet predefinito della rete VPCservicenetworking. Questo accade perché il comando crea una route personalizzata per questa destinazione. Le voci DNS per i seguenti domini vengono aggiunte al VPC
servicenetworkingdalla rete alla struttura Accesso privato Googlebackupdr.cloud.google.combackupdr.googleusercontent.comgcr.iogoogleapis.comkernels.googleusercontent.comnotebooks.cloud.google.compkg.dev
La route predefinita (o route più ampie) nella rete VPC del cliente può essere utilizzata per instradare il traffico dalla rete VPC
servicenetworkingalla rete VPC del cliente o a una rete on-premise connessa alla rete VPC del cliente. Affinché questa operazione funzioni, devono essere soddisfatte le seguenti condizioni.- Le route nella rete VPC del cliente devono utilizzare hop successivi diversi dall'hop successivo del gateway internet predefinito. Le route che utilizzano l'hop successivo del gateway internet predefinito non vengono mai scambiate in una relazione di peering di rete VPC.
- La rete VPC del cliente deve essere configurata in modo da esportare route personalizzate nel peering nella rete VPC
servicenetworking. La reteservicenetworkingè già configurata per importare route personalizzate nella relazione di peering.
Per ulteriori discussioni in merito, vedi Configurare la connettività da Vertex AI ad altre reti.
Supporto di Controlli di servizio VPC per le pipeline di ottimizzazione dell'IA generativa
Il supporto di Controlli di servizio VPC è fornito nella pipeline di ottimizzazione dei seguenti modelli:
text-bison for PaLM 2BERTT5- La famiglia di modelli
textembedding-gecko.
Limitazioni
Quando utilizzi Controlli di servizio VPC, si applicano le seguenti limitazioni:
- Per l'etichettatura dei dati, devi aggiungere il nome indirizzi IP a un livello di accesso.
- Per i componenti della pipeline di Google Cloud, i componenti avviano container che
controlla l'immagine di base
per verificare tutti i requisiti. Se mancano dei requisiti, scaricali dal Python Package Index (PyPI).
Il pacchetto KFP, nonché eventuali pacchetti
elencati nell'argomento
packages_to_installsono i requisiti per un container. Se viene specificato un requisito non presente nella base di immagini (fornita o personalizzata), il componente non andrà a buon fine se non riesce a scaricare il requisito. - Quando utilizzi Controlli di servizio VPC con kernel personalizzati
Vertex AI Workbench, devi invece configurare il peering DNS per inviare
richieste per
*.notebooks.googleusercontent.comalla subnet 199.36.153.8/30 (private.googleapis.com) anziché 199.36.153.4/30 (restricted.googleapis.com).
Passaggi successivi
- Scopri di più sui Controlli di servizio VPC.
- Scopri di più sulla risoluzione dei problemi di Controlli di servizio VPC.