Utilizzo di un'istanza all'interno di un perimetro di servizio
In questa pagina viene descritto come utilizzare i Controlli di servizio VPC per configurare su un'istanza di Vertex AI Workbench all'interno di un perimetro di servizio.
Prima di iniziare
Leggi la Panoramica di Controlli di servizio VPC.
Crea un'istanza di Vertex AI Workbench. Questa istanza non è ancora all'interno di un perimetro del servizio.
Crea un perimetro di servizio utilizzando Controlli di servizio VPC. Questo perimetro di servizio protegge le risorse gestite da Google dei servizi che specifichi. Durante la creazione del perimetro di servizio:
Quando è il momento di aggiungere progetti al perimetro di servizio, aggiungi il progetto che contiene l'istanza di Vertex AI Workbench.
Quando è il momento di aggiungere servizi al perimetro di servizio, aggiungi API Notebooks.
Se hai creato il perimetro di servizio senza aggiungere i progetti e i servizi di cui hai bisogno, consulta Gestire i perimetri di servizio per scoprire come aggiornarlo.
Configurare le voci DNS utilizzando Cloud DNS
Le istanze di Vertex AI Workbench utilizzano diversi domini La rete Virtual Private Cloud non gestisce per impostazione predefinita. Per assicurarti che la tua rete VPC gestisca correttamente le richieste inviate a questi domini, usa Cloud DNS per aggiungere i record DNS. Per maggiori informazioni per informazioni sulle route VPC, consulta Route.
Per creare una zona gestita per
un dominio, aggiungere una voce DNS che instrada la richiesta ed eseguire
la transazione, completa i seguenti passaggi.
Ripeti questi passaggi per
domini per cui devi gestire le richieste, iniziando
con *.notebooks.googleapis.com.
In Cloud Shell o in qualsiasi ambiente in cui Google Cloud CLI inserisci i seguenti comandi Google Cloud CLI.
-
Per creare una zona gestita privata per uno dei domini che la tua rete VPC deve gestire:
gcloud dns managed-zones create ZONE_NAME \ --visibility=private \ --networks=https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME \ --dns-name=DNS_NAME \ --description="Description of your managed zone"
Sostituisci quanto segue:
-
ZONE_NAME: un nome per la zona da creare. Devi utilizzare una zona separata per ciascun dominio. Questo nome di zona è utilizzato in ognuno dei seguenti passaggi. -
PROJECT_ID: l'ID del progetto che ospita il tuo Rete VPC -
NETWORK_NAME: il nome della rete VPC creata in precedenza -
DNS_NAME: la parte del nome di dominio che comprende dopo il giorno*., con un punto alla fine. Ad esempio,*.notebooks.googleapis.comha un valoreDNS_NAMEdinotebooks.googleapis.com.
-
-
Avvia una transazione.
gcloud dns record-sets transaction start --zone=ZONE_NAME
-
Aggiungi il seguente record A DNS. Il traffico viene reindirizzato agli indirizzi IP soggetti a limitazioni di Google.
gcloud dns record-sets transaction add \ --name=DNS_NAME. \ --type=A 199.36.153.4 199.36.153.5 199.36.153.6 199.36.153.7 \ --zone=ZONE_NAME \ --ttl=300
-
Aggiungi il seguente record DNS CNAME in modo che punti al record A che hai appena aggiunto. Questa operazione reindirizza tutto il traffico corrispondente dominio agli indirizzi IP elencati nel passaggio precedente.
gcloud dns record-sets transaction add \ --name=\*.DNS_NAME. \ --type=CNAME DNS_NAME. \ --zone=ZONE_NAME \ --ttl=300
-
Esegui la transazione.
gcloud dns record-sets transaction execute --zone=ZONE_NAME
-
Ripeti questi passaggi per ciascuno dei seguenti domini. Per ogni ripetizione, modifica ZONE_NAME e DNS_NAME ai valori appropriati dominio. Mantieni PROJECT_ID e NETWORK_NAME sempre uguali. Hai già completato questi passaggi per
*.notebooks.googleapis.com.*.notebooks.googleapis.com*.notebooks.cloud.google.com*.notebooks.googleusercontent.com*.googleapis.comper eseguire codice che interagisce con altre API e altri servizi Google
Configura il perimetro di servizio
Dopo aver configurato i record DNS, crea un servizio perimetro o aggiorna un modello esistente perimetro per aggiungere il tuo progetto al perimetro di servizio.
Nella rete VPC, aggiungi una route per l'intervallo 199.36.153.4/30 con un successivo hop Default internet gateway.
Utilizza Artifact Registry all'interno del tuo perimetro di servizio
Se vuoi utilizzare Artifact Registry nel perimetro del servizio, consulta Configurare l'accesso limitato per i cluster privati GKE.
Usa VPC condiviso
Se utilizzi un VPC condiviso,
devi aggiungere al servizio i progetti host e di servizio
perimetrale. Nel progetto host, devi anche concedere
Utente di rete Compute
(roles/compute.networkUser)
al servizio Notebooks
Agente
del progetto di servizio. Per ulteriori informazioni, consulta Gestire
perimetri di servizio.
Accedi all'istanza di Vertex AI Workbench
Per aprire un blocco note Jupyter nella nuova istanza:
Nella console Google Cloud, vai alla pagina Istanze.
Accanto al nome dell'istanza, fai clic su Apri JupyterLab.
In JupyterLab, Seleziona File > Nuovo > Blocco note.
Nella finestra di dialogo Seleziona kernel, scegli un kernel e poi fai clic su Seleziona.
Si apre il nuovo file del blocco note.
Limitazioni
Quando utilizzi Controlli di servizio VPC con Vertex AI Workbench:
Tipo di identità per i criteri di traffico in entrata e in uscita
Quando specifichi un criterio in entrata o in uscita per un perimetro di servizio,
non puoi usare ANY_SERVICE_ACCOUNT
o ANY_USER_ACCOUNT come tipo di identità per
tutte le operazioni di Vertex AI Workbench.
Utilizza invece ANY_IDENTITY come tipo di identità.
Accesso al proxy di Vertex AI Workbench da una workstation senza internet
Per accedere alle istanze di Vertex AI Workbench da una workstation con accesso limitato a internet, verifica con il tuo amministratore IT che puoi accedere ai seguenti domini:
*.accounts.google.com*.accounts.youtube.com*.googleusercontent.com*.kernels.googleusercontent.com*.gstatic.com*.notebooks.cloud.google.com*.notebooks.googleapis.com
Devi avere accesso a questi domini per eseguire l'autenticazione in Google Cloud. Vedi la sezione precedente, Configura le voci DNS utilizzando Cloud DNS, per ulteriori informazioni sulla configurazione.