Menggunakan instance dalam perimeter layanan
Halaman ini menjelaskan cara menggunakan Kontrol Layanan VPC untuk menyiapkan instance Vertex AI Workbench dalam perimeter layanan.
Sebelum memulai
Buat instance Vertex AI Workbench. Instance ini belum ada dalam perimeter layanan.
Buat perimeter layanan menggunakan Kontrol Layanan VPC. Perimeter layanan ini melindungi resource layanan yang dikelola Google yang Anda tentukan. Saat membuat perimeter layanan, lakukan hal berikut:
Saat tiba waktunya menambahkan project ke perimeter layanan Anda, tambahkan project yang berisi instance Vertex AI Workbench Anda.
Saat tiba waktunya menambahkan layanan ke perimeter layanan Anda, tambahkan Notebooks API.
Jika Anda telah membuat perimeter layanan tanpa menambahkan project dan layanan yang Anda butuhkan, lihat Mengelola perimeter layanan untuk mempelajari cara mengupdate perimeter layanan.
Mengonfigurasi entri DNS Anda menggunakan Cloud DNS
Instance Vertex AI Workbench menggunakan beberapa domain yang tidak ditangani oleh jaringan Virtual Private Cloud secara default. Untuk memastikan bahwa jaringan VPC Anda menangani permintaan yang dikirim ke domain tersebut dengan benar, gunakan Cloud DNS untuk menambahkan data DNS. Untuk mengetahui informasi selengkapnya tentang rute VPC, lihat Rute.
Guna membuat zona terkelola untuk
sebuah domain, tambahkan entri DNS yang akan mengarahkan permintaan, lalu menjalankan
transaksi, selesaikan langkah-langkah berikut.
Ulangi langkah-langkah berikut untuk masing-masing kelompok
domain yang permintaannya perlu Anda tangani, dimulai
dengan *.notebooks.googleapis.com
.
Di Cloud Shell atau lingkungan mana pun tempat Google Cloud CLI diinstal, masukkan perintah Google Cloud CLI berikut.
-
Untuk membuat zona terkelola pribadi bagi salah satu domain yang perlu ditangani oleh jaringan VPC Anda:
gcloud dns managed-zones create ZONE_NAME \ --visibility=private \ --networks=https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME \ --dns-name=DNS_NAME \ --description="Description of your managed zone"
Ganti kode berikut:
-
ZONE_NAME
: nama untuk zona yang akan dibuat. Anda harus menggunakan zona terpisah untuk setiap domain. Nama zona ini digunakan di setiap langkah berikut. -
PROJECT_ID
: ID project yang menghosting jaringan VPC Anda -
NETWORK_NAME
: nama jaringan VPC yang Anda buat sebelumnya -
DNS_NAME
: bagian dari nama domain yang muncul setelah*.
, dengan titik di akhir. Misalnya,*.notebooks.googleapis.com
memilikiDNS_NAME
darinotebooks.googleapis.com.
-
-
Mulai transaksi.
gcloud dns record-sets transaction start --zone=ZONE_NAME
-
Tambahkan data A DNS berikut. Tindakan ini akan mengalihkan traffic ke alamat IP yang dibatasi Google.
gcloud dns record-sets transaction add \ --name=DNS_NAME. \ --type=A 199.36.153.4 199.36.153.5 199.36.153.6 199.36.153.7 \ --zone=ZONE_NAME \ --ttl=300
-
Tambahkan data DNS CNAME berikut untuk mengarah ke data A yang baru saja Anda tambahkan. Tindakan ini akan mengalihkan semua traffic yang cocok dengan domain tersebut ke alamat IP yang tercantum dalam langkah sebelumnya.
gcloud dns record-sets transaction add \ --name=\*.DNS_NAME. \ --type=CNAME DNS_NAME. \ --zone=ZONE_NAME \ --ttl=300
-
Jalankan transaksi.
gcloud dns record-sets transaction execute --zone=ZONE_NAME
-
Ulangi langkah ini untuk setiap domain berikut. Untuk setiap pengulangan, ubah ZONE_NAME dan DNS_NAME ke nilai yang sesuai untuk domain tersebut. Buat PROJECT_ID dan NETWORK_NAME tetap sama setiap saat. Anda telah menyelesaikan langkah-langkah tersebut untuk
*.notebooks.googleapis.com
.*.notebooks.googleapis.com
*.notebooks.cloud.google.com
*.notebooks.googleusercontent.com
*.googleapis.com
untuk menjalankan kode yang berinteraksi dengan API dan layanan Google lainnya
Mengonfigurasi perimeter layanan
Setelah mengonfigurasi catatan DNS, Anda dapat membuat perimeter layanan atau memperbarui perimeter yang ada untuk menambahkan project Anda ke perimeter layanan.
Di jaringan VPC, tambahkan rute untuk rentang 199.36.153.4/30
dengan
next hop Default internet gateway
.
Menggunakan Artifact Registry dalam perimeter layanan
Jika Anda ingin menggunakan Artifact Registry di perimeter layanan, lihat Mengonfigurasi akses terbatas untuk cluster pribadi GKE.
Menggunakan VPC Bersama
Jika menggunakan VPC Bersama,
Anda harus menambahkan host dan project layanan ke perimeter
layanan. Dalam project host, Anda juga harus memberikan peran Compute Network User (roles/compute.networkUser
) ke Agen Layanan Notebooks dari project layanan. Untuk mengetahui informasi selengkapnya, lihat Mengelola
perimeter layanan.
Mengakses instance Vertex AI Workbench
Untuk membuka notebook Jupyter di instance baru Anda:
Di konsol Google Cloud, buka halaman Instances.
Di samping nama instance, klik Open JupyterLab.
Di JupyterLab, pilih File > New > Notebook.
Dalam dialog Select kernel, pilih kernel, lalu klik Select.
File notebook baru akan terbuka.
Batasan
Batasan berikut berlaku saat menggunakan Kontrol Layanan VPC dengan Vertex AI Workbench:
Jenis identitas untuk kebijakan masuk dan keluar
Saat menentukan kebijakan traffic masuk atau keluar untuk perimeter layanan,
Anda tidak dapat menggunakan ANY_SERVICE_ACCOUNT
atau ANY_USER_ACCOUNT
sebagai jenis identitas untuk
semua operasi Vertex AI Workbench.
Sebagai gantinya, gunakan ANY_IDENTITY
sebagai jenis identitas.
Mengakses proxy Vertex AI Workbench dari workstation tanpa internet
Untuk mengakses instance Vertex AI Workbench dari workstation dengan akses internet terbatas, verifikasi dengan admin IT bahwa Anda dapat mengakses domain berikut:
*.accounts.google.com
*.accounts.youtube.com
*.googleusercontent.com
*.kernels.googleusercontent.com
*.gstatic.com
*.notebooks.cloud.google.com
*.notebooks.googleapis.com
Anda harus memiliki akses ke domain ini untuk autentikasi ke Google Cloud. Lihat bagian sebelumnya, Mengonfigurasi entri DNS menggunakan Cloud DNS, untuk informasi konfigurasi lebih lanjut.