Netzwerk einrichten

Auf dieser Seite werden die Netzwerkoptionen für verwaltete Notebookinstanzen von Vertex AI Workbench beschrieben und gezeigt, wie Sie ein Netzwerk einrichten.

Dieser Leitfaden wird für Netzwerkadministratoren empfohlen, die bereits mit den Netzwerkkonzepten von Google Cloud vertraut sind.

Überblick

In dieser Anleitung wird beschrieben, wie Sie die folgenden Netzwerkoptionen konfigurieren:

Standardmäßig verwendet Ihre verwaltete Notebookinstanz ein von Google verwaltetes Netzwerk. Wenn Sie möchten, können Sie stattdessen ein Virtual Private Cloud-Netzwerk in Ihrem Projekt oder ein freigegebenes VPC-Netzwerk angeben, auf das Sie Zugriff haben. Wenn Sie ein VPC- oder freigegebenes VPC-Netzwerk angeben, benötigt das Netzwerk eine Verbindung für den Zugriff auf private Dienste.

Vergleich unterstützter Features

In der folgenden Tabelle werden beschrieben, welche allgemeinen Features für jede Netzwerkoption unterstützt werden.

Feature Von Google verwaltetes Netzwerk VPC-Netzwerk im Projekt Ihrer Instanz Freigegebenes VPC-Netzwerk
Externe IP-Adresse Unterstützt Unterstützt Unterstützt
Interne IP-Adresse Unterstützt Unterstützt Unterstützt
Privater Google-Zugriff Nicht unterstützt Unterstützt Unterstützt
VPC Unterstützt Unterstützt Unterstützt
VPC-Netzwerk-Peering (erfordert Dienstnetzwerk) Nicht unterstützt Unterstützt Unterstützt

Von Google verwaltetes Standardnetzwerk verwenden

Das Standardnetzwerk wird von Google verwaltet und erfordert keine zusätzliche Einrichtung.

Wenn Sie eine verwaltete Notebookinstanz mit dem von Google verwalteten Standardnetzwerk erstellen, wird die Instanz in einem Mandantenprojekt bereitgestellt und verwendet eine Standard-VPC und ein Subnetz.

Zum Herunterladen zusätzlicher Ressourcen wie Python- oder Conda-Pakete benötigt eine verwaltete Notebookinstanz, die das von Google verwalteten Standardnetzwerk verwendet, eine externe IP-Adresse.

Instanz mit einem VPC-Netzwerk im selben Projekt verbinden

Führen Sie die folgenden Schritte aus, um eine verwaltete Notebookinstanz mit einem VPC-Netzwerk zu verbinden, das sich im selben Projekt wie Ihre verwaltete Notebookinstanz befindet.

Für diese Option müssen Sie den Zugriff auf private Dienste konfigurieren.

Hinweis

  1. Wählen Sie ein Google Cloud-Projekt aus oder erstellen Sie eines, in dem sich die verwaltete Notebookinstanz befinden wird.

    Zur Projektauswahl

  2. Die Abrechnung für das Google Cloud-Projekt muss aktiviert sein.

  3. Compute Engine, Notebooks, and Service Networking APIs aktivieren.

    Aktivieren Sie die APIs

  4. Installieren Sie die gcloud CLI, um die gcloud-Befehlszeilenbeispiele in dieser Anleitung auszuführen.

Zugriff auf private Dienste für Ihre VPC einrichten

Wenn Sie den Zugriff auf private Dienste einrichten, stellen Sie eine private Verbindung zwischen Ihrem Netzwerk und einem Netzwerk von Google oder einem Drittanbieterdienst (Dienstersteller) her. In diesem Fall ist Ihre verwaltete Notebookinstanz ein Dienstersteller. Zum Einrichten des Zugriffs auf private Dienste reservieren Sie einen IP-Bereich für den Dienstersteller und erstellen Sie eine Peering-Verbindung zur verwalteten Notebookinstanz.

Projekt-ID konfigurieren

Verwenden Sie den folgenden Befehl, um Ihre Projekt-ID zu konfigurieren.

gcloud config set project PROJECT_ID
Ersetzen Sie PROJECT_ID durch die Projekt-ID des Google Cloud-Projekts, in dem sich Ihre verwaltete Notebookinstanz befindet. Sie erstellen die Instanz später.

APIs aktivieren

Prüfen Sie, ob die erforderlichen APIs aktiviert sind.

VPC erstellen oder auswählen

  1. Erstellen oder wählen Sie eine vorhandene VPC in einer unterstützten Region für verwaltete Notebooks aus, die Sie mit Ihrer verwalteten Notebookinstanz verwenden möchten.

    Wenn Sie bereits eine VPC mit konfiguriertem Zugriff auf private Dienste haben und diese VPC für das Peering mit Ihrer verwalteten Notebookinstanz verwenden möchten, fahren Sie mit Verwaltete Notebookinstanz erstellen fort.

    Wenn Sie eine neue VPC erstellen müssen, führen Sie die folgenden gcloud CLI-Befehle aus:

    gcloud compute networks create VPC_NAME \
    --project=PROJECT_ID --subnet-mode=auto \
    --mtu=1460 --bgp-routing-mode=regional

gcloud compute firewall-rules create VPC_NAME-allow-icmp \
    --project=PROJECT_ID \
    --network=projects/PROJECT_ID/global/networks/VPC_NAME \
    --description=Allows\ ICMP\ connections\ from\ any\ source\ to\ any\ instance\ on\ the\ network. \
    --direction=INGRESS --priority=65534 --source-ranges=0.0.0.0/0 \
    --action=ALLOW --rules=icmp

gcloud compute firewall-rules create VPC_NAME-allow-internal \
    --project=PROJECT_ID \
    --network=projects/PROJECT_ID/global/networks/VPC_NAME \
    --description=Allows\ connections\ from\ any\ source\ in\ the\ network\ IP\ range\ to\ any\ instance\ on\ the\ network\ using\ all\ protocols. \
    --direction=INGRESS --priority=65534 --source-ranges=10.128.0.0/9 \
    --action=ALLOW --rules=all

gcloud compute firewall-rules create VPC_NAME-allow-rdp \
    --project=PROJECT_ID \
    --network=projects/PROJECT_ID/global/networks/VPC_NAME \
    --description=Allows\ RDP\ connections\ from\ any\ source\ to\ any\ instance\ on\ the\ network\ using\ port\ 3389. \
    --direction=INGRESS --priority=65534 --source-ranges=0.0.0.0/0 \
    --action=ALLOW --rules=tcp:3389

gcloud compute firewall-rules create VPC_NAME-allow-ssh \
    --project=PROJECT_ID \
    --network=projects/PROJECT_ID/global/networks/VPC_NAME \
    --description=Allows\ TCP\ connections\ from\ any\ source\ to\ any\ instance\ on\ the\ network\ using\ port\ 22. \
    --direction=INGRESS --priority=65534 --source-ranges=0.0.0.0/0 \
    --action=ALLOW --rules=tcp:22

    Ersetzen Sie VPC_NAME mit einem Namen für das Dienstkonto.

DNS-Einträge erstellen und konfigurieren

Vertex AI Workbench verwaltete Notebookinstanzen verwenden mehrere Domains, die ein Virtual Private Cloud-Netzwerk standardmäßig nicht verarbeitet. Verwenden Sie Cloud DNS, um DNS-Einträge hinzuzufügen, damit Ihr VPC-Netzwerk Anfragen korrekt verarbeitet, die an diese Domains gesendet werden. Weitere Informationen zu VPC-Routen finden Sie unter Routen.

Fügen Sie einen DNS-Eintrag hinzu, der die Anfrage weiterleitet, und führen Sie die Transaktion aus, um die verwaltete Zone für eine Domain zu erstellen. Gehen Sie dabei so vor: Wiederholen Sie diese Schritte für jede einzelne Domain, für die Sie Anfragen bearbeiten müssen. Beginnen Sie mit *.notebooks.googleapis.com.

Geben Sie in Cloud Shell oder in einer Umgebung, in der die Google Cloud CLI installiert ist, die folgenden Google Cloud CLI-Befehle ein.

  1. So erstellen Sie eine private verwaltete Zone für eine der Domains, die Ihr VPC-Netzwerk verwalten muss:

        gcloud dns managed-zones create ZONE_NAME \
        --visibility=private \
        --networks=https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME \
        --dns-name=DNS_NAME \
        --description="Description of your managed zone"

    Dabei gilt:

    • ZONE_NAME: ein Name für die zu erstellende Zone. Sie müssen für jede Domain eine separate Zone verwenden. Dieser Zonenname wird in den folgenden Schritten verwendet.
    • PROJECT_ID: die ID des Projekts, in dem Ihr VPC-Netzwerk gehostet wird.
    • NETWORK_NAME: der Name des VPC-Netzwerks, das Sie zuvor erstellt haben.
    • DNS_NAME: der Teil des Domainnamens, der nach *. steht, mit einem Punkt am Ende. Beispiel: *.notebooks.googleapis.com hat einen DNS_NAME von notebooks.googleapis.com..

  2. Starten Sie eine Transaktion. 

        gcloud dns record-sets transaction start --zone=ZONE_NAME

  3. Fügen Sie den folgenden DNS-A-Eintrag hinzu. Dadurch wird der Traffic an die eingeschränkten IP-Adressen von Google umgeleitet. 

        gcloud dns record-sets transaction add \
        --name=DNS_NAME. \
        --type=A 199.36.153.4 199.36.153.5 199.36.153.6 199.36.153.7 \
        --zone=ZONE_NAME \
        --ttl=300

  4. Geben Sie den folgenden DNS-CNAME-Eintrag an, um auf den gerade hinzugefügten A-Eintrag zu verweisen. Dadurch wird der gesamte Traffic, der mit der Domain übereinstimmt, an die im vorherigen Schritt aufgeführten IP-Adressen umgeleitet. 

        gcloud dns record-sets transaction add \
        --name=\*.DNS_NAME. \
        --type=CNAME DNS_NAME. \
        --zone=ZONE_NAME \
        --ttl=300

  5. Führen Sie die Transaktion aus. 

        gcloud dns record-sets transaction execute --zone=ZONE_NAME

  6. Wiederholen Sie diese Schritte für jede der folgenden Domains. Ersetzen Sie für jede Wiederholung ZONE_NAME und DNS_NAME durch die entsprechenden Werte für diese Domain. Behalten Sie PROJECT_ID und NETWORK_NAME immer unverändert bei. Sie haben diese Schritte für *.notebooks.googleapis.com bereits ausgeführt.

    • *.notebooks.googleapis.com
    • *.notebooks.cloud.google.com
    • *.notebooks.googleusercontent.com
    • *.googleapis.com zum Ausführen von Code, der mit anderen Google APIs und Diensten interagiert

IP-Bereiche für verwaltete Notebookinstanz reservieren

Wenn Sie einen IP-Bereich für Dienstersteller reservieren, kann der Bereich von Ihrer verwalteten Notebookinstanz und anderen Diensten verwendet werden. Wenn Sie eine Verbindung zu anderen Diensterstellern herstellen möchten, die denselben Bereich verwenden, sollten Sie für die Aufnahme einen größeren Bereich zuweisen, um IP-Erschöpfung zu vermeiden.

Verwenden Sie den folgenden Befehl, um einen reservierten Bereich mit gcloud compute addresses create festzulegen.

gcloud compute addresses create PEERING_RANGE_NAME \
    --global \
    --prefix-length=16 \
    --description="Managed notebooks range" \
    --network=NETWORK_NAME  \
    --purpose=VPC_PEERING

Dabei gilt:

  • PEERING_RANGE_NAME: der Name Ihres Bereichs
  • NETWORK_NAME: der Name Ihres Netzwerks

Der prefix-length-Wert 16 bedeutet, dass ein CIDR-Block mit einer Subnetzmaske von /16 für die Verwendung durch Google Cloud-Dienste, beispielsweise Vertex AI Workbench verwaltete Notebooks, reserviert wird.

Verwenden Sie eine Subnetzmaske mit dem Wert /24 oder niedriger, um eine ungültige Konfiguration des Dienstnetzwerks zu vermeiden.

Prüfen Sie die Adressen mit dem folgenden Befehl.

gcloud compute addresses list

Peering-Verbindung herstellen

Stellen Sie mithilfe von gcloud services vpc-peerings connect eine Peering-Verbindung zwischen Ihrem VPC-Hostprojekt und dem Google-Dienstnetzwerk her.

gcloud services vpc-peerings connect \
    --service=servicenetworking.googleapis.com \
    --network=NETWORK_NAME \
    --ranges=PEERING_RANGE_NAME \
    --project=PROJECT_ID

Verwenden Sie den folgenden Befehl, um die Peerings aufzulisten.

gcloud services vpc-peerings list --network=NETWORK_NAME

Verwaltete Notebookinstanz erstellen

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • USER_ACCOUNT: das Nutzerkonto in Form einer E-Mail-Adresse
  • MACHINE_TYPE: der Maschinentyp, z. B. n1-standard-1.
  • PROJECT_ID: die Projekt-ID Ihrer verwalteten Notebookinstanz.
  • NETWORK_NAME: der Name des VPC-Netzwerks.
  • LOCATION: die Region Ihres VPC-Netzwerks.
  • NOTEBOOK_NAME: der Name Ihrer verwalteten Notebookinstanz.
  • SUBNET_NAME: der Subnetzname für Ihr VPC-Netzwerk.
  • PEERING_RANGE_NAME: Optional. Der Name des Peering-Bereichs, wenn Sie einen angeben möchten.

HTTP-Methode und URL:

POST https://notebooks.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/runtimes?runtimeId=NOTEBOOK_NAME

JSON-Text der Anfrage:

{
  "access_config": {
    "access_type": "SINGLE_USER",
    "runtime_owner": "USER_ACCOUNT"
  },
  "virtual_machine": {
    "virtual_machine_config": {
      "machine_type": "MACHINE_TYPE",
      "network": "projects/PROJECT_ID/global/networks/NETWORK_NAME",
      "subnet":  "projects/PROJECT_ID/regions/LOCATION/subnetworks/SUBNET_NAME",
      "internal_ip_only": true,
      "reserved_ip_range": "PEERING_RANGE_NAME" # Optional
    }
  }
}

Wenn Sie die Anfrage senden möchten, wählen Sie eine der folgenden Optionen aus:

curl

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus: 

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://notebooks.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/runtimes?runtimeId=NOTEBOOK_NAME"

PowerShell

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus: 

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://notebooks.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/runtimes?runtimeId=NOTEBOOK_NAME" | Select-Object -Expand Content
 

Konnektivität prüfen

Führen Sie die folgenden Schritte aus, um zu prüfen, ob Ihre verwaltete Notebookinstanz mit dem VPC-Netzwerk verbunden ist.

  1. Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerk-Peering auf.

    Zum VPC-Netzwerk-Peering

  2. Suchen Sie auf der Seite VPC-Netzwerk-Peering Ihre Verbindung.

Benutzerdefinierte Routen exportieren

Wenn Sie benutzerdefinierte Routen verwenden, müssen Sie diese exportieren, damit sie von Vertex AI Workbench verwaltete Notebooks importiert werden können.

Zum Exportieren benutzerdefinierter Routen aktualisieren Sie die Peering-Verbindung in Ihrer VPC. Beim Exportieren von benutzerdefinierten Routen werden alle zulässigen statischen und dynamischen Routen, die sich in Ihrem VPC-Netzwerk befinden, z. B. Routen zu Ihrem lokalen Netzwerk, an die Netzwerke der Dienstersteller gesendet (in diesem Fall verwaltete Notebooks). Dadurch werden die erforderlichen Verbindungen hergestellt und verwaltete Notebookinstanzen können Traffic an Ihr lokales Netzwerk zurücksenden.

Verwenden Sie den folgenden Befehl, um den Namen der zu aktualisierenden Peering-Verbindung aufzulisten. Wenn Sie mehrere Peering-Verbindungen haben, lassen Sie das Flag --format weg.

gcloud services vpc-peerings list \
    --network=NETWORK_NAME \
    --service=servicenetworking.googleapis.com \
    --project=PROJECT_ID \
    --format "value(peering)"

Verwenden Sie den folgenden Befehl, um die Peering-Verbindung für den Export benutzerdefinierter Routen zu aktualisieren.

gcloud compute networks peerings update PEERING_NAME \
    --network=NETWORK_NAME \
    --export-custom-routes \
    --project=PROJECT_ID

Ersetzen Sie PEERING_NAME durch den Namen Ihrer Peering-Verbindung.

Status von Peering-Verbindungen prüfen

Wenn Sie überprüfen möchten, ob Ihre Peering-Verbindungen aktiv sind, können Sie sie mit dem folgenden Befehl auflisten.

gcloud compute networks peerings list --network NETWORK_NAME

Prüfen Sie, ob der Status der gerade erstellten Peering-Verbindung ACTIVE ist. Weitere Informationen zu aktiven Peering-Verbindungen.

Instanz mit einem freigegebenen VPC-Netzwerk verbinden

Führen Sie die folgenden Schritte aus, um eine verwaltete Notebookinstanz mit einem freigegebenen VPC-Netzwerk zu verbinden, auf das Sie Zugriff haben.

Für diese Option müssen Sie den Zugriff auf private Dienste konfigurieren.

Hinweis

  1. Wählen Sie ein Google Cloud-Projekt aus oder erstellen Sie eines, in dem sich die verwaltete Notebookinstanz befinden wird.

    Zur Projektauswahl

  2. Die Abrechnung für das Google Cloud-Projekt muss aktiviert sein.

  3. Compute Engine, Notebooks, and Service Networking APIs aktivieren.

    Aktivieren Sie die APIs

  4. Wenn Sie eine freigegebene VPC verwenden, führen Sie die verwaltete Notebookinstanz in einem anderen Google Cloud-Projekt als Ihrem VPC-Hostprojekt aus. Wiederholen Sie die vorherigen Schritte, um die Compute Engine, Notebooks und Service Networking APIs in Ihrem VPC-Hostprojekt zu aktivieren. Freigegebene VPC bereitstellen

  5. Installieren Sie die gcloud CLI, um die gcloud-Befehlszeilenbeispiele in dieser Anleitung auszuführen.

Zugriff auf private Dienste für Ihre VPC einrichten

Wenn Sie den Zugriff auf private Dienste einrichten, stellen Sie eine private Verbindung zwischen Ihrem Netzwerk und einem Netzwerk von Google oder einem Drittanbieterdienst (Dienstersteller) her. In diesem Fall ist Ihre verwaltete Notebookinstanz ein Dienstersteller. Zum Einrichten des Zugriffs auf private Dienste reservieren Sie einen IP-Bereich für den Dienstersteller und erstellen Sie eine Peering-Verbindung zur verwalteten Notebookinstanz.

Projekt-ID konfigurieren

Verwenden Sie den folgenden Befehl, um Ihre Projekt-ID zu konfigurieren.

gcloud config set project PROJECT_ID
Ersetzen Sie PROJECT_ID durch die Projekt-ID des VPC-Hostprojekts. Wenn Sie die VPC noch nicht erstellt haben, verwenden Sie die Projekt-ID, nach der sie erstellt wird.

APIs aktivieren

Achten Sie darauf, dass Sie die erforderlichen APIs sowohl in Ihrem VPC-Hostprojekt als auch im Google Cloud-Projekt aktiviert haben, in dem sich Ihre verwaltete Notebookinstanz befindet.

VPC erstellen oder auswählen

  1. Erstellen oder wählen Sie eine vorhandene VPC in einer unterstützten Region für verwaltete Notebooks aus, die Sie mit Ihrer verwalteten Notebookinstanz verwenden möchten.

    Wenn Sie bereits eine VPC mit konfiguriertem Zugriff auf private Dienste haben und diese VPC für das Peering mit Ihrer verwalteten Notebookinstanz verwenden möchten, fahren Sie mit Verwaltete Notebookinstanz erstellen fort.

    Wenn Sie eine neue VPC erstellen müssen, führen Sie die folgenden gcloud CLI-Befehle aus:

    gcloud compute networks create VPC_NAME \
    --project=PROJECT_ID --subnet-mode=auto \
    --mtu=1460 --bgp-routing-mode=regional

gcloud compute firewall-rules create VPC_NAME-allow-icmp \
    --project=PROJECT_ID \
    --network=projects/PROJECT_ID/global/networks/VPC_NAME \
    --description=Allows\ ICMP\ connections\ from\ any\ source\ to\ any\ instance\ on\ the\ network. \
    --direction=INGRESS --priority=65534 --source-ranges=0.0.0.0/0 \
    --action=ALLOW --rules=icmp

gcloud compute firewall-rules create VPC_NAME-allow-internal \
    --project=PROJECT_ID \
    --network=projects/PROJECT_ID/global/networks/VPC_NAME \
    --description=Allows\ connections\ from\ any\ source\ in\ the\ network\ IP\ range\ to\ any\ instance\ on\ the\ network\ using\ all\ protocols. \
    --direction=INGRESS --priority=65534 --source-ranges=10.128.0.0/9 \
    --action=ALLOW --rules=all

gcloud compute firewall-rules create VPC_NAME-allow-rdp \
    --project=PROJECT_ID \
    --network=projects/PROJECT_ID/global/networks/VPC_NAME \
    --description=Allows\ RDP\ connections\ from\ any\ source\ to\ any\ instance\ on\ the\ network\ using\ port\ 3389. \
    --direction=INGRESS --priority=65534 --source-ranges=0.0.0.0/0 \
    --action=ALLOW --rules=tcp:3389

gcloud compute firewall-rules create VPC_NAME-allow-ssh \
    --project=PROJECT_ID \
    --network=projects/PROJECT_ID/global/networks/VPC_NAME \
    --description=Allows\ TCP\ connections\ from\ any\ source\ to\ any\ instance\ on\ the\ network\ using\ port\ 22. \
    --direction=INGRESS --priority=65534 --source-ranges=0.0.0.0/0 \
    --action=ALLOW --rules=tcp:22

    Ersetzen Sie VPC_NAME mit einem Namen für das Dienstkonto.

DNS-Einträge erstellen und konfigurieren

Vertex AI Workbench verwaltete Notebookinstanzen verwenden mehrere Domains, die ein Virtual Private Cloud-Netzwerk standardmäßig nicht verarbeitet. Verwenden Sie Cloud DNS, um DNS-Einträge hinzuzufügen, damit Ihr VPC-Netzwerk Anfragen korrekt verarbeitet, die an diese Domains gesendet werden. Weitere Informationen zu VPC-Routen finden Sie unter Routen.

Fügen Sie einen DNS-Eintrag hinzu, der die Anfrage weiterleitet, und führen Sie die Transaktion aus, um die verwaltete Zone für eine Domain zu erstellen. Gehen Sie dabei so vor: Wiederholen Sie diese Schritte für jede einzelne Domain, für die Sie Anfragen bearbeiten müssen. Beginnen Sie mit *.notebooks.googleapis.com.

Geben Sie in Cloud Shell oder in einer Umgebung, in der die Google Cloud CLI installiert ist, die folgenden Google Cloud CLI-Befehle ein.

  1. So erstellen Sie eine private verwaltete Zone für eine der Domains, die Ihr VPC-Netzwerk verwalten muss:

        gcloud dns managed-zones create ZONE_NAME \
        --visibility=private \
        --networks=https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME \
        --dns-name=DNS_NAME \
        --description="Description of your managed zone"

    Dabei gilt:

    • ZONE_NAME: ein Name für die zu erstellende Zone. Sie müssen für jede Domain eine separate Zone verwenden. Dieser Zonenname wird in den folgenden Schritten verwendet.
    • PROJECT_ID: die ID des Projekts, in dem Ihr VPC-Netzwerk gehostet wird.
    • NETWORK_NAME: der Name des VPC-Netzwerks, das Sie zuvor erstellt haben.
    • DNS_NAME: der Teil des Domainnamens, der nach *. steht, mit einem Punkt am Ende. Beispiel: *.notebooks.googleapis.com hat einen DNS_NAME von notebooks.googleapis.com..

  2. Starten Sie eine Transaktion. 

        gcloud dns record-sets transaction start --zone=ZONE_NAME

  3. Fügen Sie den folgenden DNS-A-Eintrag hinzu. Dadurch wird der Traffic an die eingeschränkten IP-Adressen von Google umgeleitet. 

        gcloud dns record-sets transaction add \
        --name=DNS_NAME. \
        --type=A 199.36.153.4 199.36.153.5 199.36.153.6 199.36.153.7 \
        --zone=ZONE_NAME \
        --ttl=300

  4. Geben Sie den folgenden DNS-CNAME-Eintrag an, um auf den gerade hinzugefügten A-Eintrag zu verweisen. Dadurch wird der gesamte Traffic, der mit der Domain übereinstimmt, an die im vorherigen Schritt aufgeführten IP-Adressen umgeleitet. 

        gcloud dns record-sets transaction add \
        --name=\*.DNS_NAME. \
        --type=CNAME DNS_NAME. \
        --zone=ZONE_NAME \
        --ttl=300

  5. Führen Sie die Transaktion aus. 

        gcloud dns record-sets transaction execute --zone=ZONE_NAME

  6. Wiederholen Sie diese Schritte für jede der folgenden Domains. Ersetzen Sie für jede Wiederholung ZONE_NAME und DNS_NAME durch die entsprechenden Werte für diese Domain. Behalten Sie PROJECT_ID und NETWORK_NAME immer unverändert bei. Sie haben diese Schritte für *.notebooks.googleapis.com bereits ausgeführt.

    • *.notebooks.googleapis.com
    • *.notebooks.cloud.google.com
    • *.notebooks.googleusercontent.com
    • *.googleapis.com zum Ausführen von Code, der mit anderen Google APIs und Diensten interagiert

IP-Bereiche für verwaltete Notebookinstanz reservieren

Wenn Sie einen IP-Bereich für Dienstersteller reservieren, kann der Bereich von Ihrer verwalteten Notebookinstanz und anderen Diensten verwendet werden. Wenn Sie eine Verbindung zu anderen Diensterstellern herstellen möchten, die denselben Bereich verwenden, sollten Sie für die Aufnahme einen größeren Bereich zuweisen, um IP-Erschöpfung zu vermeiden.

Verwenden Sie den folgenden Befehl, um einen reservierten Bereich mit gcloud compute addresses create festzulegen.

gcloud compute addresses create PEERING_RANGE_NAME \
    --global \
    --prefix-length=16 \
    --description="Managed notebooks range" \
    --network=NETWORK_NAME  \
    --purpose=VPC_PEERING

Dabei gilt:

  • PEERING_RANGE_NAME: der Name Ihres Bereichs
  • NETWORK_NAME: der Name Ihres Netzwerks

Der prefix-length-Wert 16 bedeutet, dass ein CIDR-Block mit einer Subnetzmaske von /16 für die Verwendung durch Google Cloud-Dienste, beispielsweise Vertex AI Workbench verwaltete Notebooks, reserviert wird.

Verwenden Sie eine Subnetzmaske mit dem Wert /24 oder niedriger, um eine ungültige Konfiguration des Dienstnetzwerks zu vermeiden.

Prüfen Sie die Adressen mit dem folgenden Befehl.

gcloud compute addresses list

Peering-Verbindung herstellen

Stellen Sie mithilfe von gcloud services vpc-peerings connect eine Peering-Verbindung zwischen Ihrem VPC-Hostprojekt und dem Google-Dienstnetzwerk her.

gcloud services vpc-peerings connect \
    --service=servicenetworking.googleapis.com \
    --network=NETWORK_NAME \
    --ranges=PEERING_RANGE_NAME \
    --project=PROJECT_ID

Verwenden Sie den folgenden Befehl, um die Peerings aufzulisten.

gcloud services vpc-peerings list --network=NETWORK_NAME

Verwaltete Notebookinstanz erstellen

Ersetzen Sie diese Werte in den folgenden Anfragedaten:

  • USER_ACCOUNT: das Nutzerkonto in Form einer E-Mail-Adresse
  • MACHINE_TYPE: der Maschinentyp, z. B. n1-standard-1.
  • PROJECT_ID: die Projekt-ID Ihrer verwalteten Notebookinstanz.
  • NETWORK_NAME: der Name des VPC-Netzwerks.
  • LOCATION: die Region Ihres VPC-Netzwerks.
  • NOTEBOOK_NAME: der Name Ihrer verwalteten Notebookinstanz.
  • SUBNET_NAME: der Subnetzname für Ihr VPC-Netzwerk.
  • PEERING_RANGE_NAME: Optional. Der Name des Peering-Bereichs, wenn Sie einen angeben möchten.

HTTP-Methode und URL:

POST https://notebooks.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/runtimes?runtimeId=NOTEBOOK_NAME

JSON-Text der Anfrage:

{
  "access_config": {
    "access_type": "SINGLE_USER",
    "runtime_owner": "USER_ACCOUNT"
  },
  "virtual_machine": {
    "virtual_machine_config": {
      "machine_type": "MACHINE_TYPE",
      "network": "projects/PROJECT_ID/global/networks/NETWORK_NAME",
      "subnet":  "projects/PROJECT_ID/regions/LOCATION/subnetworks/SUBNET_NAME",
      "internal_ip_only": true,
      "reserved_ip_range": "PEERING_RANGE_NAME" # Optional
    }
  }
}

Wenn Sie die Anfrage senden möchten, wählen Sie eine der folgenden Optionen aus:

curl

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus: 

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://notebooks.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/runtimes?runtimeId=NOTEBOOK_NAME"

PowerShell

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus: 

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://notebooks.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/runtimes?runtimeId=NOTEBOOK_NAME" | Select-Object -Expand Content
 

Konnektivität prüfen

Führen Sie die folgenden Schritte aus, um zu prüfen, ob Ihre verwaltete Notebookinstanz mit dem freigegebenen VPC-Netzwerk verbunden ist.

  1. Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerk-Peering auf.

    Zum VPC-Netzwerk-Peering

  2. Suchen Sie auf der Seite VPC-Netzwerk-Peering Ihre Verbindung.

Benutzerdefinierte Routen exportieren

Wenn Sie benutzerdefinierte Routen verwenden, müssen Sie diese exportieren, damit sie von Vertex AI Workbench verwaltete Notebooks importiert werden können.

Zum Exportieren benutzerdefinierter Routen aktualisieren Sie die Peering-Verbindung in Ihrer VPC. Beim Exportieren von benutzerdefinierten Routen werden alle zulässigen statischen und dynamischen Routen, die sich in Ihrem VPC-Netzwerk befinden, z. B. Routen zu Ihrem lokalen Netzwerk, an die Netzwerke der Dienstersteller gesendet (in diesem Fall verwaltete Notebooks). Dadurch werden die erforderlichen Verbindungen hergestellt und verwaltete Notebookinstanzen können Traffic an Ihr lokales Netzwerk zurücksenden.

Verwenden Sie den folgenden Befehl, um den Namen der zu aktualisierenden Peering-Verbindung aufzulisten. Wenn Sie mehrere Peering-Verbindungen haben, lassen Sie das Flag --format weg.

gcloud services vpc-peerings list \
    --network=NETWORK_NAME \
    --service=servicenetworking.googleapis.com \
    --project=PROJECT_ID \
    --format "value(peering)"

Verwenden Sie den folgenden Befehl, um die Peering-Verbindung für den Export benutzerdefinierter Routen zu aktualisieren.

gcloud compute networks peerings update PEERING_NAME \
    --network=NETWORK_NAME \
    --export-custom-routes \
    --project=PROJECT_ID

Ersetzen Sie PEERING_NAME durch den Namen Ihrer Peering-Verbindung.

Status von Peering-Verbindungen prüfen

Wenn Sie überprüfen möchten, ob Ihre Peering-Verbindungen aktiv sind, können Sie sie mit dem folgenden Befehl auflisten.

gcloud compute networks peerings list --network NETWORK_NAME

Prüfen Sie, ob der Status der gerade erstellten Peering-Verbindung ACTIVE ist. Weitere Informationen zu aktiven Peering-Verbindungen.

Nächste Schritte