VPC Service Controls com a Vertex AI

O VPC Service Controls pode ajudar você a reduzir o risco de exfiltração de dados da Vertex AI. Use o VPC Service Controls para criar um perímetro de serviço que proteja os recursos e dados especificados por você. Por exemplo, quando você usa o VPC Service Controls para proteger a Vertex AI, os artefatos a seguir não podem sair do perímetro de serviço:

  • Dados de treinamento de um modelo personalizado ou AutoML
  • Modelos que você criou
  • Modelos que você pesquisou usando a pesquisa de arquitetura neural
  • Solicitações de previsões on-line
  • Resultados de uma solicitação de previsão em lote

Criação do perímetro de serviço

Ao criar um perímetro de serviço, inclua a Vertex AI (aiplatform.googleapis.com) e o Vertex AI Workbench (notebooks.googleapis.com) como serviços protegidos. Você não precisa incluir serviços adicionais para que a Vertex AI funcione. No entanto, a Vertex AI não poderá acessar recursos fora do perímetro, como arquivos em um bucket do Cloud Storage que esteja fora do perímetro.

Para mais informações sobre como criar um perímetro de serviço, consulte Como criar um perímetro de serviço na documentação do VPC Service Controls.

Ative o VPC Service Controls para peerings para configurar a rede VPC servicenetworking sem uma rota padrão. O nome é um pouco enganoso, porque não é uma configuração explicitamente do VPC-SC. No geral, ele é usado com frequência como VPC-SC. Sem a rota padrão, da perspectiva da rede VPC servicenetworking.

  • Os pacotes para 199.36.153.4/30 (restricted.googleapis.com) são enviados para o gateway de Internet padrão da rede VPC servicenetworking. Isso acontece porque o comando cria uma rota personalizada para esse destino.
  • A rota padrão (ou rotas mais amplas) na rede VPC do cliente pode ser usada para rotear o tráfego da rede VPC servicenetworking para a rede VPC do cliente ou para uma rede local conectada à rede VPC do cliente. Para que isso funcione, as condições a seguir precisam ser cumpridas.

    • As rotas na rede VPC do cliente precisam usar os próximos saltos diferentes do próximo salto padrão do gateway de Internet. (Rotas que usam o próximo salto padrão do gateway de Internet nunca são trocadas em uma relação de peering de rede VPC.)
    • A rede VPC do cliente precisa ser configurada para exportar rotas personalizadas no peering para a rede VPC servicenetworking. (A rede servicenetworking já está configurada para importar rotas personalizadas na relação de peering.)

Para mais informações, consulte Configurar a conectividade da Vertex AI com outras redes.

Suporte do VPC Service Controls para pipelines de ajuste de IA generativa

O suporte do VPC Service Controls é fornecido no pipeline de ajuste dos seguintes modelos:

  • text-bison for PaLM 2
  • BERT
  • T5
  • A família de modelos textembedding-gecko.

Limitações

As limitações a seguir se aplicam ao usar o VPC Service Controls:

  • Para rotular dados, é preciso adicionar os endereços IP dos rotuladores a um nível de acesso.
  • Para os componentes do Google Cloud Pipeline, os componentes iniciam os contêineres que verificam a imagem de base para todos os requisitos. Se os requisitos estiverem ausentes, faça o download deles do Índice de pacotes do Python (PyPI, na sigla em inglês). O pacote do KFP, bem como todos os pacotes listados no argumento packages_to_install, são os requisitos de um contêiner. Caso especificado um requisito que não esteja presente na imagem de base (fornecida ou personalizada), o componente falhará se não for possível Baixar o requisito.
  • Ao usar o VPC Service Controls com kernels personalizados no Vertex AI Workbench, é preciso configurar o peering de DNS para enviar solicitações de *.notebooks.googleusercontent.com para a sub-rede 199.36.153.8/30 (private.googleapis.com) em vez de 199.36.153.4/30 (restricted.googleapis.com).

A seguir