Use uma instância num perímetro de serviço
Esta página descreve como usar os VPC Service Controls para configurar uma instância do Vertex AI Workbench dentro de um perímetro de serviço.
Antes de começar
Crie uma instância do Vertex AI Workbench. Esta instância ainda não está dentro de um perímetro de serviço.
Crie um perímetro de serviço com os VPC Service Controls. Este perímetro de serviço protege os recursos geridos pela Google dos serviços que especificar. Ao criar o perímetro de serviço, faça o seguinte:
Quando for altura de adicionar projetos ao seu perímetro de serviço, adicione o projeto que contém a sua instância do Vertex AI Workbench.
Quando for altura de adicionar serviços ao seu perímetro de serviço, adicione a API Notebooks.
Se criou o seu perímetro de serviço sem adicionar os projetos e os serviços de que precisa, consulte o artigo Gerir perímetros de serviço para saber como atualizar o seu perímetro de serviço.
Configure as suas entradas de DNS através do Cloud DNS
As instâncias do Vertex AI Workbench usam vários domínios que uma rede de nuvem privada virtual não processa por predefinição. Para garantir que a sua rede VPC processa corretamente os pedidos enviados para esses domínios, use o Cloud DNS para adicionar registos de DNS. Para mais informações sobre as rotas de VPC, consulte o artigo Rotas.
Para criar uma zona gerida para um domínio, adicione uma entrada DNS que encaminhe o pedido e execute a transação. Para tal, siga estes passos.
Repita estes passos para cada um dos vários
domínios para os quais tem de processar pedidos, começando
por *.notebooks.googleapis.com.
No Cloud Shell ou em qualquer ambiente onde a CLI do Google Cloud esteja instalada, introduza os seguintes comandos da CLI do Google Cloud.
-
Para criar uma zona gerida privada para um dos domínios que a sua rede VPC tem de processar:
gcloud dns managed-zones create ZONE_NAME \ --visibility=private \ --networks=https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME \ --dns-name=DNS_NAME \ --description="Description of your managed zone"
Substitua o seguinte:
-
ZONE_NAME: um nome para a zona a criar. Tem de usar uma zona separada para cada domínio. Este nome de zona é usado em cada um dos passos seguintes. -
PROJECT_ID: o ID do projeto que aloja a sua rede VPC -
NETWORK_NAME: o nome da rede VPC que criou anteriormente -
DNS_NAME: a parte do nome do domínio que aparece depois de*., com um ponto no final. Por exemplo,*.notebooks.googleapis.comtem umDNS_NAMEdenotebooks.googleapis.com.
-
-
Inicie uma transação.
gcloud dns record-sets transaction start --zone=ZONE_NAME
-
Adicione o seguinte registo A de DNS. Isto redireciona o tráfego para os endereços IP restritos da Google.
gcloud dns record-sets transaction add \ --name=DNS_NAME. \ --type=A 199.36.153.4 199.36.153.5 199.36.153.6 199.36.153.7 \ --zone=ZONE_NAME \ --ttl=300
-
Adicione o seguinte registo CNAME de DNS para apontar para o registo A que acabou de adicionar. Isto redireciona todo o tráfego correspondente ao domínio para os endereços IP indicados no passo anterior.
gcloud dns record-sets transaction add \ --name=\*.DNS_NAME. \ --type=CNAME DNS_NAME. \ --zone=ZONE_NAME \ --ttl=300
-
Execute a transação.
gcloud dns record-sets transaction execute --zone=ZONE_NAME
-
Repita estes passos para cada um dos seguintes domínios. Para cada repetição, altere ZONE_NAME e DNS_NAME para os valores adequados para esse domínio. Mantenha PROJECT_ID e NETWORK_NAME sempre iguais. Já concluiu estes passos para
*.notebooks.googleapis.com.*.notebooks.googleapis.com*.notebooks.cloud.google.com*.notebooks.googleusercontent.com*.googleapis.compara executar código que interage com outras APIs e serviços Google
Configure o perímetro de serviço
Depois de configurar os registos de DNS, crie um perímetro de serviço ou atualize um perímetro existente para adicionar o seu projeto ao perímetro de serviço.
Na rede de VPC, adicione uma rota para o intervalo 199.36.153.4/30 com um salto seguinte de Default internet gateway.
Use o Artifact Registry no seu perímetro de serviço
Se quiser usar o Artifact Registry no seu perímetro de serviço, consulte o artigo Configure o acesso restrito para clusters privados do GKE.
Use a VPC partilhada
Se estiver a usar a VPC partilhada,
tem de adicionar os projetos anfitrião e de serviço ao perímetro
de serviço. No projeto anfitrião, também tem de conceder a função
Utilizador da rede de computação
(roles/compute.networkUser)
ao agente do serviço Notebooks
do projeto de serviço. Para mais informações, consulte o artigo Faça a gestão dos
perímetros de serviço.
Aceda à sua instância do Vertex AI Workbench
Para abrir um bloco de notas do Jupyter na nova instância:
Na Google Cloud consola, aceda à página Instâncias.
Junto ao nome da instância, clique em Abrir JupyterLab.
No JupyterLab, selecione Ficheiro > Novo > Bloco de notas.
Na caixa de diálogo Selecionar kernel, escolha um kernel e, de seguida, clique em Selecionar.
O novo ficheiro do bloco de notas é aberto.
Limitações
As seguintes limitações aplicam-se quando usa os VPC Service Controls com o Vertex AI Workbench:
Tipo de identidade para políticas de entrada e saída
Quando especifica uma política de entrada ou saída para um perímetro de serviço, não pode usar ANY_SERVICE_ACCOUNT nem ANY_USER_ACCOUNT como um tipo de identidade para todas as operações do Vertex AI Workbench.
Em alternativa, use ANY_IDENTITY como o tipo de identidade.
Aceder ao proxy do Vertex AI Workbench a partir de uma estação de trabalho sem Internet
Para aceder a instâncias do Vertex AI Workbench a partir de uma estação de trabalho com acesso limitado à Internet, confirme junto do seu administrador de TI que consegue aceder aos seguintes domínios:
*.accounts.google.com*.accounts.youtube.com*.googleusercontent.com*.kernels.googleusercontent.com*.gstatic.com*.notebooks.cloud.google.com*.notebooks.googleapis.com
Tem de ter acesso a estes domínios para a autenticação Google Cloud. Consulte a secção anterior, Configure as suas entradas de DNS através do Cloud DNS, para obter mais informações de configuração.