Instanz innerhalb eines Dienstperimeters verwenden

Auf dieser Seite wird beschrieben, wie Sie VPC Service Controls zum Einrichten einer Vertex AI Workbench-Instanz innerhalb eines Dienstperimeters verwenden.

Hinweise

  1. Lesen Sie VPC Service Controls.

  2. Vertex AI Workbench-Instanz erstellen Diese Instanz befindet sich noch nicht in einem Dienstperimeter.

  3. Erstellen Sie mit VPC Service Controls einen Dienstperimeter. Er schützt die von Google verwalteten Ressourcen der von Ihnen angegebenen Dienste. Gehen Sie beim Erstellen des Dienstperimeters so vor:

    1. Wenn das Einfügen von Projekte in den Dienstperimeter ansteht, fügen Sie das Projekt ein, das Ihre Vertex AI Workbench-Instanz enthält.

    2. Wenn das Hinzufügen von Diensten in den Dienstperimeter ansteht, fügen Sie die Notebooks API hinzu.

    Wenn Sie Ihren Dienstperimeter erstellt haben, ohne die benötigten Projekte und Dienste hinzuzufügen, erfahren Sie unter Dienstperimeter verwalten, wie Sie Ihren Dienstperimeter aktualisieren.

DNS-Einträge mit Cloud DNS konfigurieren

Vertex AI Workbench-Instanzen verwenden mehrere Domains, die ein Virtual Private Cloud-Netzwerk standardmäßig nicht verarbeitet. Verwenden Sie Cloud DNS, um DNS-Einträge hinzuzufügen, damit Ihr VPC-Netzwerk Anfragen korrekt verarbeitet, die an diese Domains gesendet werden. Weitere Informationen zu VPC-Routen finden Sie unter Routen.

Fügen Sie einen DNS-Eintrag hinzu, der die Anfrage weiterleitet, und führen Sie die Transaktion aus, um die verwaltete Zone für eine Domain zu erstellen. Gehen Sie dabei so vor: Wiederholen Sie diese Schritte für jede einzelne Domain, für die Sie Anfragen bearbeiten müssen. Beginnen Sie mit *.notebooks.googleapis.com.

Geben Sie in Cloud Shell oder in einer Umgebung, in der die Google Cloud CLI installiert ist, die folgenden Google Cloud CLI-Befehle ein.

  1. So erstellen Sie eine private verwaltete Zone für eine der Domains, die Ihr VPC-Netzwerk verwalten muss:

        gcloud dns managed-zones create ZONE_NAME \
            --visibility=private \
            --networks=https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME \
            --dns-name=DNS_NAME \
            --description="Description of your managed zone"
        

    Dabei gilt:

    • ZONE_NAME: ein Name für die zu erstellende Zone. Sie müssen für jede Domain eine separate Zone verwenden. Dieser Zonenname wird in den folgenden Schritten verwendet.
    • PROJECT_ID: die ID des Projekts, in dem Ihr VPC-Netzwerk gehostet wird.
    • NETWORK_NAME: der Name des VPC-Netzwerks, das Sie zuvor erstellt haben.
    • DNS_NAME: der Teil des Domainnamens, der nach *. mit einem Punkt am Ende steht. Beispiel: *.notebooks.googleapis.com hat einen DNS_NAME von notebooks.googleapis.com..
  2. Starten Sie eine Transaktion.

        gcloud dns record-sets transaction start --zone=ZONE_NAME
        
  3. Fügen Sie den folgenden DNS-A-Eintrag hinzu. Dadurch wird der Traffic an die eingeschränkten IP-Adressen von Google umgeleitet.

        gcloud dns record-sets transaction add \
            --name=DNS_NAME. \
            --type=A 199.36.153.4 199.36.153.5 199.36.153.6 199.36.153.7 \
            --zone=ZONE_NAME \
            --ttl=300
        
  4. Geben Sie den folgenden DNS-CNAME-Eintrag an, um auf den gerade hinzugefügten A-Eintrag zu verweisen. Dadurch wird der gesamte Traffic, der mit der Domain übereinstimmt, an die im vorherigen Schritt aufgeführten IP-Adressen umgeleitet.

        gcloud dns record-sets transaction add \
            --name=\*.DNS_NAME. \
            --type=CNAME DNS_NAME. \
            --zone=ZONE_NAME \
            --ttl=300
        
  5. Führen Sie die Transaktion aus.

        gcloud dns record-sets transaction execute --zone=ZONE_NAME
        
  6. Wiederholen Sie diese Schritte für jede der folgenden Domains. Ersetzen Sie für jede Wiederholung ZONE_NAME und DNS_NAME durch die entsprechenden Werte für diese Domain. Behalten Sie PROJECT_ID und NETWORK_NAME immer unverändert bei. Sie haben diese Schritte für *.notebooks.googleapis.com bereits ausgeführt.

    • *.notebooks.googleapis.com
    • *.notebooks.cloud.google.com
    • *.notebooks.googleusercontent.com
    • *.googleapis.com zum Ausführen von Code, der mit anderen Google APIs und Diensten interagiert

Dienstperimeter konfigurieren

Nachdem Sie die DNS-Einträge konfiguriert haben, können Sie entweder einen Dienstperimeter erstellen oder einen vorhandenen Perimeter aktualisieren, um Ihr Projekt zum Dienstperimeter hinzuzufügen.

Fügen Sie im VPC-Netzwerk eine Route für den Bereich 199.36.153.4/30 mit dem nächsten Hop Default internet gateway hinzu.

Artifact Registry im Dienstperimeter verwenden

Wenn Sie Artifact Registry in Ihrem Dienstperimeter verwenden möchten, finden Sie weitere Informationen unter Eingeschränkten Zugriff für private GKE-Cluster konfigurieren.

Freigegebene VPC verwenden

Wenn Sie eine freigegebene VPC verwenden, müssen Sie den Host und die Dienstprojekte in den Dienstperimeter einfügen. Im Hostprojekt müssen Sie dem Notebooks-Dienst-Agent auch die Rolle Compute-Netzwerknutzerroles/compute.networkUser () aus dem Dienstprojekt zuweisen. Weitere Informationen finden Sie unter Dienstperimeter verwalten.

Auf die Vertex AI Workbench-Instanz zugreifen

So öffnen Sie ein Jupyter-Notebook in der neuen Instanz:

  1. Rufen Sie in der Google Cloud Console die Seite Instanzen auf.

    Zur Seite „VM-Instanzen“

  2. Klicken Sie neben dem Namen Ihrer Instanz auf JupyterLab öffnen.

  3. Wählen Sie in JupyterLab Datei > Neu > Notebook aus.

  4. Wählen Sie im Dialogfeld Kernel auswählen einen Kernel aus und klicken Sie dann auf Auswählen.

    Ihre neue Notebookdatei wird geöffnet.

Beschränkungen

Die folgenden Einschränkungen gelten bei der Verwendung von VPC Service Controls mit Vertex AI Workbench:

Identitätstyp für Richtlinien für ein- und ausgehenden Traffic

Wenn Sie eine Richtlinie für eingehenden oder ausgehenden Traffic für einen Dienstperimeter angeben, können Sie ANY_SERVICE_ACCOUNT oder ANY_USER_ACCOUNT nicht als Identitätstyp für alle Vertex AI Workbench-Vorgänge nutzen.

Verwenden Sie stattdessen ANY_IDENTITY als Identitätstyp.

Zugriff auf den Vertex AI Workbench-Proxy von einer Workstation ohne Internet

Um von einer Workstation mit eingeschränktem Internetzugriff auf Vertex AI Workbench-Instanzen zuzugreifen, wenden Sie sich an Ihren IT-Administrator, damit Sie auf die folgenden Domains zugreifen können:

  • *.accounts.google.com
  • *.accounts.youtube.com
  • *.googleusercontent.com
  • *.kernels.googleusercontent.com
  • *.gstatic.com
  • *.notebooks.cloud.google.com
  • *.notebooks.googleapis.com

Sie benötigen Zugriff auf diese Domains, um sich bei Google Cloud zu authentifizieren. Weitere Konfigurationsinformationen finden Sie im vorherigen Abschnitt DNS-Einträge mit Cloud DNS konfigurieren.