Questa pagina è stata tradotta dall'API Cloud Translation.

Configurare il progetto Google Cloud per Vertex AI Pipelines

Prima di utilizzare Vertex AI Pipelines per orchestrare le pipeline di machine learning (ML), devi configurare il tuo progetto Google Cloud. Alcune risorse, come il repository dei metadati utilizzato da Vertex ML Metadata, vengono create nel progetto Google Cloud la prima volta che esegui una pipeline.

Segui le istruzioni riportate di seguito per configurare il progetto per Vertex AI Pipelines.

Crea il tuo progetto Google Cloud e configuralo per l'utilizzo con Vertex AI Pipelines.
Se non specifichi un account di servizio, Vertex AI Pipelines utilizza l'account di servizio predefinito di Compute Engine per eseguire le pipeline. Per ulteriori informazioni sull'account di servizio predefinito di Compute Engine, consulta Utilizzare l'account di servizio predefinito di Compute Engine.

Ti consigliamo di creare un account di servizio per eseguire le pipeline e poi concedere a questo account autorizzazioni granulari alle risorse Google Cloud necessarie per l'esecuzione della pipeline.
Vertex AI Pipelines utilizza Cloud Storage per archiviare gli artefatti delle esecuzioni della pipeline. Crea un bucket Cloud Storage e concedi al tuo account di servizio l'accesso a questo bucket.
Vertex AI Pipelines utilizza Vertex ML Metadata per archiviare i metadati creati dalle esecuzioni della pipeline. Quando esegui una pipeline per la prima volta, se l'archivio dei metadati del progetto non esiste, Vertex AI lo crea.

Se vuoi che i tuoi dati vengano criptati utilizzando una chiave di crittografia gestita dal cliente (CMEK), puoi creare manualmente il tuo repository di metadati utilizzando una chiave CMEK prima di eseguire una pipeline. In caso contrario, se nel progetto non è presente un repository dei metadati predefinito, Vertex AI lo crea utilizzando la chiave CMEK utilizzata per l'esecuzione della pipeline per la prima volta. Dopo la creazione, il magazzino dei metadati utilizza una chiave CMEK diversa da quella utilizzata in un'esecuzione della pipeline.

Configurare il progetto Google Cloud

Segui le istruzioni riportate di seguito per creare un progetto Google Cloud e configurarlo per l'utilizzo con Vertex AI Pipelines.

Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Make sure that billing is enabled for your Google Cloud project.

Enable the Vertex AI, Compute Engine, and Cloud Storage APIs.

Enable the APIs

Install the Google Cloud CLI.

To initialize the gcloud CLI, run the following command:

gcloud init

Update and install gcloud components:

gcloud components update
gcloud components install beta

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Make sure that billing is enabled for your Google Cloud project.

Enable the Vertex AI, Compute Engine, and Cloud Storage APIs.

Enable the APIs

Install the Google Cloud CLI.

To initialize the gcloud CLI, run the following command:

gcloud init

Update and install gcloud components:

gcloud components update
gcloud components install beta

Configurare un account di servizio con autorizzazioni granulari

Quando esegui una pipeline, puoi specificare un account di servizio. L'esecuzione della pipeline avviene con le autorizzazioni di questo account di servizio.

Se non specifichi un account di servizio, l'esecuzione della pipeline utilizza l'account di servizio predefinito di Compute Engine. Per ulteriori informazioni sull'account di servizio predefinito di Compute Engine, consulta Utilizzare l'account di servizio predefinito di Compute Engine.

Segui le istruzioni riportate di seguito per creare un account di servizio e concedergli autorizzazioni granulari per le risorse Google Cloud.
1. Esegui il comando seguente per creare un account di servizio.
```
gcloud iam service-accounts create SERVICE_ACCOUNT_ID \
    --description="DESCRIPTION" \
    --display-name="DISPLAY_NAME" \
    --project=PROJECT_ID
```
  Sostituisci i seguenti valori:
  - SERVICE_ACCOUNT_ID: l'ID dell'account di servizio.
  - DESCRIPTION: (facoltativo) Una descrizione dell'account di servizio.
  - DISPLAY_NAME: il nome visualizzato per questo account di servizio.
  - PROJECT_ID: il progetto in cui creare l'account di servizio.
  Scopri di più sulla creazione di un account di servizio.
2. Concedi al tuo account di servizio l'accesso a Vertex AI. Tieni presente che potrebbe essere necessario un po' di tempo prima che la modifica dell'accesso venga propagata. Per scoprire di più, consulta Propagazione della modifica di accesso.
```
gcloud projects add-iam-policy-binding PROJECT_ID \
    --member="serviceAccount:SERVICE_ACCOUNT_ID@PROJECT_ID.iam.gserviceaccount.com" \
    --role="roles/aiplatform.user"
```
  Sostituisci i seguenti valori:
  - PROJECT_ID: il progetto in cui è stato creato il tuo account di servizio.
  - SERVICE_ACCOUNT_ID: l'ID dell'account di servizio.
  Nota: l'insieme minimo di autorizzazioni necessarie per utilizzare Vertex AI Pipelines per eseguire una pipeline è costituito da aiplatform.metadataStores.get, storage.buckets.get, storage.objects.create e storage.objects.get. La prima volta che esegui una pipeline in un nuovo progetto, devi aggiungere anche l'autorizzazione aiplatform.metadataStores.create. Per eseguire una pipeline con autorizzazioni minime, utilizza Identity and Access Management per creare un ruolo personalizzato con queste autorizzazioni e concedi al tuo account di servizio l'accesso a quel ruolo anziché a roles/aiplatform.user.
3. Puoi utilizzare Artifact Registry per ospitare immagini container e modelli Kubeflow Pipelines.
  
  Per ulteriori informazioni su Artifact Registry, consulta la documentazione di Artifact Registry.
4. Concedi all'account di servizio l'accesso a tutte le risorse Google Cloud che utilizzi nelle pipeline.
```
gcloud projects add-iam-policy-binding PROJECT_ID \
    --member="serviceAccount:SERVICE_ACCOUNT_ID@PROJECT_ID.iam.gserviceaccount.com" \
    --role="ROLE_NAME"
```
  Sostituisci i seguenti valori:
  - PROJECT_ID: il progetto in cui è stato creato il tuo account di servizio.
  - SERVICE_ACCOUNT_ID: l'ID dell'account di servizio.
  - ROLE_NAME: il ruolo Identity and Access Management da concedere a questo account di servizio.
5. Per utilizzare Vertex AI Pipelines per eseguire pipeline con questo account di servizio, esegui il seguente comando per concedere al tuo account utente il ruolo roles/iam.serviceAccountUser per il tuo account di servizio.
```
gcloud iam service-accounts add-iam-policy-binding \
    SERVICE_ACCOUNT_ID@PROJECT_ID.iam.gserviceaccount.com \
    --member="user:USER_EMAIL" \
    --role="roles/iam.serviceAccountUser"
```
  Sostituisci i seguenti valori:
  - SERVICE_ACCOUNT_ID: l'ID dell'account di servizio.
  - PROJECT_ID: il progetto in cui è stato creato il tuo account di servizio.
  - USER_EMAIL: l'indirizzo email dell'utente che esegue le pipeline come questo account di servizio.
Se preferisci utilizzare l'account di servizio predefinito di Compute Engine per eseguire le pipeline, abilita l'API Compute Engine e concedi all'account di servizio predefinito l'accesso a Vertex AI. Tieni presente che potrebbe essere necessario un po' di tempo prima che la modifica dell'accesso venga propagata. Per scoprire di più, consulta Propagazione della modifica di accesso.
```
gcloud projects add-iam-policy-binding PROJECT_ID \
    --member="serviceAccount:PROJECT_NUMBER-compute@developer.gserviceaccount.com" \
    --role="roles/aiplatform.user"
```
Sostituisci i seguenti valori:
- PROJECT_ID: il progetto in cui è stato creato l'account di servizio predefinito.
- PROJECT_NUMBER: il numero del progetto in cui è stato creato il tuo account servizio predefinito.
Enable the API

Configurare un bucket Cloud Storage per gli elementi della pipeline

Vertex AI Pipelines archivia gli artefatti delle esecuzioni della pipeline utilizzando Cloud Storage. Segui le istruzioni riportate di seguito per creare un bucket Cloud Storage e concedere al tuo account di servizio (o all'account di servizio predefinito di Compute Engine) l'accesso in lettura e scrittura agli oggetti al suo interno.

Esegui il comando seguente per creare un bucket Cloud Storage nella regione in cui vuoi eseguire le pipeline.
```
gcloud storage buckets create gs://BUCKET_NAME --location=BUCKET_LOCATION --project=PROJECT_ID
```
Sostituisci i seguenti valori:
- PROJECT_ID: specifica il progetto a cui è associato il bucket.
- BUCKET_LOCATION: specifica la posizione del tuo bucket, ad esempio US-CENTRAL1.
- BUCKET_NAME: il nome che vuoi assegnare al bucket, soggetto ai requisiti di denominazione. Ad esempio, my-bucket.
Scopri di più sulla creazione di bucket Cloud Storage.
Esegui i seguenti comandi per concedere all'account di servizio l'accesso in lettura e scrittura agli elementi della pipeline nel bucket creato nel passaggio precedente.
```
gcloud storage buckets add-iam-policy-binding gs://BUCKET_NAME \
--member=serviceAccount:SERVICE_ACCOUNT_ID@PROJECT_ID.iam.gserviceaccount.com \
--role=roles/storage.objectUser
```
Sostituisci i seguenti valori:
- SERVICE_ACCOUNT_ID: l'ID dell'account di servizio.
- PROJECT_ID: il progetto in cui è stato creato il tuo account di servizio.
- BUCKET_NAME: il nome del bucket a cui concedi l'accesso al tuo account di servizio.
In alternativa, se preferisci utilizzare l'account di servizio predefinito di Compute Engine per eseguire le pipeline, esegui il comando gcloud iam service-accounts list per individuare il numero del progetto per quell'account.
```
gcloud iam service-accounts list
```
L'account di servizio predefinito di Compute Engine è denominato come segue: PROJECT_NUMBER-compute@developer.gserviceaccount.com.

Esegui il seguente comando per concedere all'account di servizio predefinito di Compute Engine l'accesso in lettura e scrittura agli elementi della pipeline nel bucket creato nel passaggio precedente.
```
gcloud storage buckets add-iam-policy-binding gs://BUCKET_NAME \
--member=serviceAccount:PROJECT_NUMBER-compute@developer.gserviceaccount.com \
--role=roles/storage.objectUser
```
Sostituisci i seguenti valori:
- PROJECT_NUMBER: il numero del progetto per l'account di servizio predefinito Compute Engine.
- BUCKET_NAME: il nome del bucket a cui concedi l'accesso al tuo account di servizio.
Scopri di più su come controllare l'accesso ai bucket Cloud Storage.

Crea un archivio di metadati che utilizza un CMEK (facoltativo)

Segui le istruzioni riportate di seguito per creare un CMEK e configurare un archivo di metadati Vertex ML Metadata che utilizzi questo CMEK.

Utilizza Cloud Key Management Service per configurare una chiave di crittografia gestita dal cliente.
Utilizza la seguente chiamata REST per creare l'archivio dei metadati predefinito del progetto utilizzando la chiave CMEK.

Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:
- LOCATION_ID: la tua regione.
- PROJECT_ID: il tuo ID progetto.
- KEY_RING: il nome del portachiavi Cloud Key Management Service su cui si trova la chiave di crittografia.
- KEY_NAME: il nome della chiave di crittografia che vuoi utilizzare per questo impostazione metadati.
Metodo HTTP e URL:
```
POST https://LOCATION_ID-aiplatform.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION_ID/metadataStores?metadata_store_id=default
```
Corpo JSON della richiesta:
```
{
  "encryption_spec": {
    "kms_key_name": "projects/PROJECT_ID/locations/LOCATION_ID/keyRings/KEY_RING/cryptoKeys/KEY_NAME"
  },
}
```
Per inviare la richiesta, espandi una di queste opzioni:
curl (Linux, macOS o Cloud Shell)

Nota: il seguente comando presuppone che tu abbia eseguito l'accesso all'interfaccia a riga di comando gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login oppure utilizzando Cloud Shell, che ti consente di accedere automaticamente all'interfaccia a riga di comando gcloud. Puoi controllare l'account attualmente attivo eseguendo gcloud auth list.

Salva il corpo della richiesta in un file denominato request.json. Esegui questo comando nel terminale per creare o sovrascrivere questo file nella directory corrente:
```
cat > request.json << 'EOF'
{
  "encryption_spec": {
    "kms_key_name": "projects/PROJECT_ID/locations/LOCATION_ID/keyRings/KEY_RING/cryptoKeys/KEY_NAME"
  },
}
EOF
```
Quindi, esegui il seguente comando per inviare la richiesta REST:
```
curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://LOCATION_ID-aiplatform.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION_ID/metadataStores?metadata_store_id=default"
```
PowerShell (Windows)

Nota: il comando seguente presuppone che tu abbia eseguito l'accesso alla CLI gcloud con il tuo account utente eseguendo gcloud init o gcloud auth login . Puoi controllare l'account attualmente attivo eseguendo gcloud auth list.

Salva il corpo della richiesta in un file denominato request.json. Esegui questo comando nel terminale per creare o sovrascrivere questo file nella directory corrente:
```
@'
{
  "encryption_spec": {
    "kms_key_name": "projects/PROJECT_ID/locations/LOCATION_ID/keyRings/KEY_RING/cryptoKeys/KEY_NAME"
  },
}
'@  | Out-File -FilePath request.json -Encoding utf8
```
Quindi, esegui il seguente comando per inviare la richiesta REST:
```
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://LOCATION_ID-aiplatform.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION_ID/metadataStores?metadata_store_id=default" | Select-Object -Expand Content
```
Dovresti ricevere una risposta JSON simile alla seguente:
```
{
  "name": "projects/PROJECT_ID/locations/LOCATION_ID/operations/OPERATIONS_ID",
  "metadata": {
    "@type": "type.googleapis.com/google.cloud.aiplatform.v1.CreateMetadataStoreOperationMetadata",
    "genericMetadata": {
      "createTime": "2021-05-18T18:47:14.494997Z",
      "updateTime": "2021-05-18T18:47:14.494997Z"
    }
  }
}
```