Netzwerk einrichten
Auf dieser Seite werden die Netzwerkoptionen für verwaltete Notebookinstanzen von Vertex AI Workbench beschrieben und gezeigt, wie Sie ein Netzwerk einrichten.
Dieser Leitfaden wird für Netzwerkadministratoren empfohlen, die bereits mit den Netzwerkkonzepten von Google Cloud vertraut sind.
Übersicht
In dieser Anleitung wird beschrieben, wie Sie die folgenden Netzwerkoptionen konfigurieren:
- Von Google verwaltetes Netzwerk
- VPC-Netzwerk im selben Projekt wie Ihre verwaltete Notebookinstanz
- Freigegebenes VPC-Netzwerk
Standardmäßig verwendet Ihre verwaltete Notebookinstanz ein von Google verwaltetes Netzwerk. Wenn Sie möchten, können Sie stattdessen ein Virtual Private Cloud-Netzwerk in Ihrem Projekt oder ein freigegebenes VPC-Netzwerk angeben, auf das Sie Zugriff haben. Wenn Sie ein VPC- oder freigegebenes VPC-Netzwerk angeben, benötigt das Netzwerk eine Verbindung für den Zugriff auf private Dienste.
Vergleich unterstützter Features
In der folgenden Tabelle werden beschrieben, welche allgemeinen Features für jede Netzwerkoption unterstützt werden.
Funktion | Von Google verwaltetes Netzwerk | VPC-Netzwerk im Projekt Ihrer Instanz | Freigegebenes VPC-Netzwerk |
---|---|---|---|
Externe IP-Adresse | Unterstützt | Unterstützt | Unterstützt |
Interne IP-Adresse | Unterstützt | Unterstützt | Unterstützt |
Privater Google-Zugriff | Nicht unterstützt | Unterstützt | Unterstützt |
VPC | Unterstützt | Unterstützt | Unterstützt |
VPC-Netzwerk-Peering (erfordert Dienstnetzwerk) | Nicht unterstützt | Unterstützt | Unterstützt |
Von Google verwaltetes Standardnetzwerk verwenden
Das Standardnetzwerk wird von Google verwaltet und erfordert keine zusätzliche Einrichtung.
Wenn Sie eine verwaltete Notebookinstanz mit dem von Google verwalteten Standardnetzwerk erstellen, wird die Instanz in einem Mandantenprojekt bereitgestellt und verwendet eine Standard-VPC und ein Subnetz.
Zum Herunterladen zusätzlicher Ressourcen wie Python- oder Conda-Pakete benötigt eine verwaltete Notebookinstanz, die das von Google verwalteten Standardnetzwerk verwendet, eine externe IP-Adresse.
Instanz mit einem VPC-Netzwerk im selben Projekt verbinden
Führen Sie die folgenden Schritte aus, um eine verwaltete Notebookinstanz mit einem VPC-Netzwerk zu verbinden, das sich im selben Projekt wie Ihre verwaltete Notebookinstanz befindet.
Für diese Option müssen Sie den Zugriff auf private Dienste konfigurieren.
Hinweis
Wählen Sie ein Google Cloud-Projekt aus oder erstellen Sie eines, in dem sich die verwaltete Notebookinstanz befinden wird.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Compute Engine, Notebooks, and Service Networking APIs.
Installieren Sie die gcloud CLI, um die
gcloud
-Befehlszeilenbeispiele in dieser Anleitung auszuführen.
Zugriff auf private Dienste für Ihre VPC einrichten
Wenn Sie den Zugriff auf private Dienste einrichten, stellen Sie eine private Verbindung zwischen Ihrem Netzwerk und einem Netzwerk von Google oder einem Drittanbieterdienst (Dienstersteller) her. In diesem Fall ist Ihre verwaltete Notebookinstanz ein Dienstersteller. Zum Einrichten des Zugriffs auf private Dienste reservieren Sie einen IP-Bereich für den Dienstersteller und erstellen Sie eine Peering-Verbindung zur verwalteten Notebookinstanz.
Projekt-ID konfigurieren
Verwenden Sie den folgenden Befehl, um Ihre Projekt-ID zu konfigurieren.
gcloud config set project PROJECT_IDErsetzen Sie PROJECT_ID durch die Projekt-ID des Google Cloud-Projekts, in dem sich Ihre verwaltete Notebookinstanz befindet. Sie erstellen die Instanz später.
APIs aktivieren
Prüfen Sie, ob die erforderlichen APIs aktiviert sind.VPC erstellen oder auswählen
Erstellen oder wählen Sie eine vorhandene VPC in einer unterstützten Region für verwaltete Notebooks aus, die Sie mit Ihrer verwalteten Notebookinstanz verwenden möchten.
Wenn Sie bereits eine VPC mit konfiguriertem Zugriff auf private Dienste haben und diese VPC für das Peering mit Ihrer verwalteten Notebookinstanz verwenden möchten, fahren Sie mit Verwaltete Notebookinstanz erstellen fort.
Wenn Sie eine neue VPC erstellen müssen, führen Sie die folgenden gcloud CLI-Befehle aus:
gcloud compute networks create VPC_NAME \ --project=PROJECT_ID --subnet-mode=auto \ --mtu=1460 --bgp-routing-mode=regional gcloud compute firewall-rules create VPC_NAME-allow-icmp \ --project=PROJECT_ID \ --network=projects/PROJECT_ID/global/networks/VPC_NAME \ --description=Allows\ ICMP\ connections\ from\ any\ source\ to\ any\ instance\ on\ the\ network. \ --direction=INGRESS --priority=65534 --source-ranges=0.0.0.0/0 \ --action=ALLOW --rules=icmp gcloud compute firewall-rules create VPC_NAME-allow-internal \ --project=PROJECT_ID \ --network=projects/PROJECT_ID/global/networks/VPC_NAME \ --description=Allows\ connections\ from\ any\ source\ in\ the\ network\ IP\ range\ to\ any\ instance\ on\ the\ network\ using\ all\ protocols. \ --direction=INGRESS --priority=65534 --source-ranges=10.128.0.0/9 \ --action=ALLOW --rules=all gcloud compute firewall-rules create VPC_NAME-allow-rdp \ --project=PROJECT_ID \ --network=projects/PROJECT_ID/global/networks/VPC_NAME \ --description=Allows\ RDP\ connections\ from\ any\ source\ to\ any\ instance\ on\ the\ network\ using\ port\ 3389. \ --direction=INGRESS --priority=65534 --source-ranges=0.0.0.0/0 \ --action=ALLOW --rules=tcp:3389 gcloud compute firewall-rules create VPC_NAME-allow-ssh \ --project=PROJECT_ID \ --network=projects/PROJECT_ID/global/networks/VPC_NAME \ --description=Allows\ TCP\ connections\ from\ any\ source\ to\ any\ instance\ on\ the\ network\ using\ port\ 22. \ --direction=INGRESS --priority=65534 --source-ranges=0.0.0.0/0 \ --action=ALLOW --rules=tcp:22
Ersetzen Sie
VPC_NAME
mit einem Namen für das Dienstkonto.
DNS-Einträge erstellen und konfigurieren
Vertex AI Workbench verwaltete Notebookinstanzen verwenden mehrere Domains, die ein Virtual Private Cloud-Netzwerk standardmäßig nicht verarbeitet. Verwenden Sie Cloud DNS, um DNS-Einträge hinzuzufügen, damit Ihr VPC-Netzwerk Anfragen korrekt verarbeitet, die an diese Domains gesendet werden. Weitere Informationen zu VPC-Routen finden Sie unter Routen.
Fügen Sie einen DNS-Eintrag hinzu, der die Anfrage weiterleitet, und führen Sie die Transaktion aus, um die verwaltete Zone für eine Domain zu erstellen. Gehen Sie dabei so vor:
Wiederholen Sie diese Schritte für jede einzelne Domain, für die Sie Anfragen bearbeiten müssen. Beginnen Sie mit *.notebooks.googleapis.com
.
Geben Sie in Cloud Shell oder in einer Umgebung, in der die Google Cloud CLI installiert ist, die folgenden Google Cloud CLI-Befehle ein.
-
So erstellen Sie eine private verwaltete Zone für eine der Domains, die Ihr VPC-Netzwerk verwalten muss:
gcloud dns managed-zones create ZONE_NAME \ --visibility=private \ --networks=https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME \ --dns-name=DNS_NAME \ --description="Description of your managed zone"
Dabei gilt:
-
ZONE_NAME
: ein Name für die zu erstellende Zone. Sie müssen für jede Domain eine separate Zone verwenden. Dieser Zonenname wird in den folgenden Schritten verwendet. PROJECT_ID
: die ID des Projekts, in dem Ihr VPC-Netzwerk gehostet wird.NETWORK_NAME
: der Name des VPC-Netzwerks, das Sie zuvor erstellt haben.-
DNS_NAME
: der Teil des Domainnamens, der nach*.
steht, mit einem Punkt am Ende. Beispiel:*.notebooks.googleapis.com
hat denDNS_NAME
notebooks.googleapis.com.
.
-
-
Starten Sie eine Transaktion.
gcloud dns record-sets transaction start --zone=ZONE_NAME
-
Fügen Sie den folgenden DNS-A-Eintrag hinzu. Dadurch wird der Traffic an die eingeschränkten IP-Adressen von Google umgeleitet.
gcloud dns record-sets transaction add \ --name=DNS_NAME. \ --type=A 199.36.153.4 199.36.153.5 199.36.153.6 199.36.153.7 \ --zone=ZONE_NAME \ --ttl=300
-
Geben Sie den folgenden DNS-CNAME-Eintrag an, um auf den gerade hinzugefügten A-Eintrag zu verweisen. Dadurch wird der gesamte Traffic, der mit der Domain übereinstimmt, an die im vorherigen Schritt aufgeführten IP-Adressen umgeleitet.
gcloud dns record-sets transaction add \ --name=\*.DNS_NAME. \ --type=CNAME DNS_NAME. \ --zone=ZONE_NAME \ --ttl=300
-
Führen Sie die Transaktion aus.
gcloud dns record-sets transaction execute --zone=ZONE_NAME
-
Wiederholen Sie diese Schritte für jede der folgenden Domains. Ersetzen Sie für jede Wiederholung ZONE_NAME und DNS_NAME durch die entsprechenden Werte für diese Domain. Behalten Sie PROJECT_ID und NETWORK_NAME immer unverändert bei. Sie haben diese Schritte für
*.notebooks.googleapis.com
bereits ausgeführt.*.notebooks.googleapis.com
*.notebooks.cloud.google.com
*.notebooks.googleusercontent.com
*.googleapis.com
zum Ausführen von Code, der mit anderen Google APIs und Diensten interagiert
IP-Bereiche für verwaltete Notebookinstanz reservieren
Wenn Sie einen IP-Bereich für Dienstersteller reservieren, kann der Bereich von Ihrer verwalteten Notebookinstanz und anderen Diensten verwendet werden. Wenn Sie eine Verbindung zu anderen Diensterstellern herstellen möchten, die denselben Bereich verwenden, sollten Sie für die Aufnahme einen größeren Bereich zuweisen, um IP-Erschöpfung zu vermeiden.
Verwenden Sie den folgenden Befehl, um einen reservierten Bereich mit gcloud compute addresses create
festzulegen.
gcloud compute addresses create PEERING_RANGE_NAME \ --global \ --prefix-length=16 \ --description="Managed notebooks range" \ --network=NETWORK_NAME \ --purpose=VPC_PEERING
Dabei gilt:
PEERING_RANGE_NAME
: der Name Ihres BereichsNETWORK_NAME
: der Name Ihres Netzwerks
Der prefix-length
-Wert 16
bedeutet, dass ein CIDR-Block mit einer Subnetzmaske von /16
für die Verwendung durch Google Cloud-Dienste, beispielsweise Vertex AI Workbench verwaltete Notebooks, reserviert wird.
Verwenden Sie eine Subnetzmaske mit dem Wert /24
oder niedriger, um eine ungültige Konfiguration des Dienstnetzwerks zu vermeiden.
Prüfen Sie die Adressen mit dem folgenden Befehl.
gcloud compute addresses list
Peering-Verbindung herstellen
Stellen Sie mithilfe von gcloud services vpc-peerings connect
eine Peering-Verbindung zwischen Ihrem VPC-Hostprojekt und dem Google-Dienstnetzwerk her.
gcloud services vpc-peerings connect \ --service=servicenetworking.googleapis.com \ --network=NETWORK_NAME \ --ranges=PEERING_RANGE_NAME \ --project=PROJECT_ID
Verwenden Sie den folgenden Befehl, um die
gcloud services vpc-peerings list --network=NETWORK_NAME
Verwaltete Notebookinstanz erstellen
Ersetzen Sie diese Werte in den folgenden Anfragedaten:
- USER_ACCOUNT: das Nutzerkonto in Form einer E-Mail-Adresse
- MACHINE_TYPE: der Maschinentyp, z. B.
n1-standard-1
. - PROJECT_ID: die Projekt-ID Ihrer verwalteten Notebookinstanz.
- NETWORK_NAME: der Name des VPC-Netzwerks.
- LOCATION: die Region Ihres VPC-Netzwerks.
- NOTEBOOK_NAME: der Name Ihrer verwalteten Notebookinstanz.
- SUBNET_NAME: der Subnetzname für Ihr VPC-Netzwerk.
- PEERING_RANGE_NAME: Optional. Der Name des Peering-Bereichs, wenn Sie einen angeben möchten.
HTTP-Methode und URL:
POST https://notebooks.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/runtimes?runtimeId=NOTEBOOK_NAME
JSON-Text der Anfrage:
{ "access_config": { "access_type": "SINGLE_USER", "runtime_owner": "USER_ACCOUNT" }, "virtual_machine": { "virtual_machine_config": { "machine_type": "MACHINE_TYPE", "network": "projects/PROJECT_ID/global/networks/NETWORK_NAME", "subnet": "projects/PROJECT_ID/regions/LOCATION/subnetworks/SUBNET_NAME", "internal_ip_only": true, "reserved_ip_range": "PEERING_RANGE_NAME" # Optional } } }
Wenn Sie die Anfrage senden möchten, wählen Sie eine der folgenden Optionen aus:
curl
Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json
und führen Sie den folgenden Befehl aus:
curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://notebooks.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/runtimes?runtimeId=NOTEBOOK_NAME"
PowerShell
Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json
und führen Sie den folgenden Befehl aus:
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }
Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://notebooks.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/runtimes?runtimeId=NOTEBOOK_NAME" | Select-Object -Expand Content
Konnektivität prüfen
Führen Sie die folgenden Schritte aus, um zu prüfen, ob Ihre verwaltete Notebookinstanz mit dem VPC-Netzwerk verbunden ist.
Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerk-Peering auf.
Suchen Sie auf der Seite VPC-Netzwerk-Peering Ihre Verbindung.
Benutzerdefinierte Routen exportieren
Wenn Sie benutzerdefinierte Routen verwenden, müssen Sie diese exportieren, damit sie von Vertex AI Workbench verwaltete Notebooks importiert werden können.
Zum Exportieren benutzerdefinierter Routen aktualisieren Sie die Peering-Verbindung in Ihrer VPC. Beim Exportieren von benutzerdefinierten Routen werden alle zulässigen statischen und dynamischen Routen, die sich in Ihrem VPC-Netzwerk befinden, z. B. Routen zu Ihrem lokalen Netzwerk, an die Netzwerke der Dienstersteller gesendet (in diesem Fall verwaltete Notebooks). Dadurch werden die erforderlichen Verbindungen hergestellt und verwaltete Notebookinstanzen können Traffic an Ihr lokales Netzwerk zurücksenden.
Verwenden Sie den folgenden Befehl, um den Namen der zu aktualisierenden Peering-Verbindung aufzulisten.
Wenn Sie mehrere Peering-Verbindungen haben, lassen Sie das Flag --format
weg.
gcloud services vpc-peerings list \ --network=NETWORK_NAME \ --service=servicenetworking.googleapis.com \ --project=PROJECT_ID \ --format "value(peering)"
Verwenden Sie den folgenden Befehl, um die Peering-Verbindung für den Export benutzerdefinierter Routen zu aktualisieren.
gcloud compute networks peerings update PEERING_NAME \ --network=NETWORK_NAME \ --export-custom-routes \ --project=PROJECT_ID
Ersetzen Sie PEERING_NAME durch den Namen Ihrer Peering-Verbindung.
Status von Peering-Verbindungen prüfen
Wenn Sie überprüfen möchten, ob Ihre Peering-Verbindungen aktiv sind, können Sie sie mit dem folgenden Befehl auflisten.
gcloud compute networks peerings list --network NETWORK_NAME
Prüfen Sie, ob der Status der gerade erstellten Peering-Verbindung ACTIVE
ist.
Weitere Informationen zu aktiven Peering-Verbindungen.
Instanz mit einem freigegebenen VPC-Netzwerk verbinden
Führen Sie die folgenden Schritte aus, um eine verwaltete Notebookinstanz mit einem freigegebenen VPC-Netzwerk zu verbinden, auf das Sie Zugriff haben.
Für diese Option müssen Sie den Zugriff auf private Dienste konfigurieren.
Hinweis
Wählen Sie ein Google Cloud-Projekt aus oder erstellen Sie eines, in dem sich die verwaltete Notebookinstanz befinden wird.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Compute Engine, Notebooks, and Service Networking APIs.
Wenn Sie eine freigegebene VPC verwenden, führen Sie die verwaltete Notebookinstanz in einem anderen Google Cloud-Projekt als Ihrem VPC-Hostprojekt aus. Wiederholen Sie die vorherigen Schritte, um die Compute Engine, Notebooks und Service Networking APIs in Ihrem VPC-Hostprojekt zu aktivieren. Freigegebene VPC bereitstellen
Installieren Sie die gcloud CLI, um die
gcloud
-Befehlszeilenbeispiele in dieser Anleitung auszuführen.
Zugriff auf private Dienste für Ihre VPC einrichten
Wenn Sie den Zugriff auf private Dienste einrichten, stellen Sie eine private Verbindung zwischen Ihrem Netzwerk und einem Netzwerk von Google oder einem Drittanbieterdienst (Dienstersteller) her. In diesem Fall ist Ihre verwaltete Notebookinstanz ein Dienstersteller. Zum Einrichten des Zugriffs auf private Dienste reservieren Sie einen IP-Bereich für den Dienstersteller und erstellen Sie eine Peering-Verbindung zur verwalteten Notebookinstanz.
Projekt-ID konfigurieren
Verwenden Sie den folgenden Befehl, um Ihre Projekt-ID zu konfigurieren.
gcloud config set project PROJECT_IDErsetzen Sie PROJECT_ID durch die Projekt-ID des VPC-Hostprojekts. Wenn Sie die VPC noch nicht erstellt haben, verwenden Sie die Projekt-ID, nach der sie erstellt wird.
APIs aktivieren
Achten Sie darauf, dass Sie die erforderlichen APIs sowohl in Ihrem VPC-Hostprojekt als auch im Google Cloud-Projekt aktiviert haben, in dem sich Ihre verwaltete Notebookinstanz befindet.VPC erstellen oder auswählen
Erstellen oder wählen Sie eine vorhandene VPC in einer unterstützten Region für verwaltete Notebooks aus, die Sie mit Ihrer verwalteten Notebookinstanz verwenden möchten.
Wenn Sie bereits eine VPC mit konfiguriertem Zugriff auf private Dienste haben und diese VPC für das Peering mit Ihrer verwalteten Notebookinstanz verwenden möchten, fahren Sie mit Verwaltete Notebookinstanz erstellen fort.
Wenn Sie eine neue VPC erstellen müssen, führen Sie die folgenden gcloud CLI-Befehle aus:
gcloud compute networks create VPC_NAME \ --project=PROJECT_ID --subnet-mode=auto \ --mtu=1460 --bgp-routing-mode=regional gcloud compute firewall-rules create VPC_NAME-allow-icmp \ --project=PROJECT_ID \ --network=projects/PROJECT_ID/global/networks/VPC_NAME \ --description=Allows\ ICMP\ connections\ from\ any\ source\ to\ any\ instance\ on\ the\ network. \ --direction=INGRESS --priority=65534 --source-ranges=0.0.0.0/0 \ --action=ALLOW --rules=icmp gcloud compute firewall-rules create VPC_NAME-allow-internal \ --project=PROJECT_ID \ --network=projects/PROJECT_ID/global/networks/VPC_NAME \ --description=Allows\ connections\ from\ any\ source\ in\ the\ network\ IP\ range\ to\ any\ instance\ on\ the\ network\ using\ all\ protocols. \ --direction=INGRESS --priority=65534 --source-ranges=10.128.0.0/9 \ --action=ALLOW --rules=all gcloud compute firewall-rules create VPC_NAME-allow-rdp \ --project=PROJECT_ID \ --network=projects/PROJECT_ID/global/networks/VPC_NAME \ --description=Allows\ RDP\ connections\ from\ any\ source\ to\ any\ instance\ on\ the\ network\ using\ port\ 3389. \ --direction=INGRESS --priority=65534 --source-ranges=0.0.0.0/0 \ --action=ALLOW --rules=tcp:3389 gcloud compute firewall-rules create VPC_NAME-allow-ssh \ --project=PROJECT_ID \ --network=projects/PROJECT_ID/global/networks/VPC_NAME \ --description=Allows\ TCP\ connections\ from\ any\ source\ to\ any\ instance\ on\ the\ network\ using\ port\ 22. \ --direction=INGRESS --priority=65534 --source-ranges=0.0.0.0/0 \ --action=ALLOW --rules=tcp:22
Ersetzen Sie
VPC_NAME
mit einem Namen für das Dienstkonto.
DNS-Einträge erstellen und konfigurieren
Vertex AI Workbench verwaltete Notebookinstanzen verwenden mehrere Domains, die ein Virtual Private Cloud-Netzwerk standardmäßig nicht verarbeitet. Verwenden Sie Cloud DNS, um DNS-Einträge hinzuzufügen, damit Ihr VPC-Netzwerk Anfragen korrekt verarbeitet, die an diese Domains gesendet werden. Weitere Informationen zu VPC-Routen finden Sie unter Routen.
Fügen Sie einen DNS-Eintrag hinzu, der die Anfrage weiterleitet, und führen Sie die Transaktion aus, um die verwaltete Zone für eine Domain zu erstellen. Gehen Sie dabei so vor:
Wiederholen Sie diese Schritte für jede einzelne Domain, für die Sie Anfragen bearbeiten müssen. Beginnen Sie mit *.notebooks.googleapis.com
.
Geben Sie in Cloud Shell oder in einer Umgebung, in der die Google Cloud CLI installiert ist, die folgenden Google Cloud CLI-Befehle ein.
-
So erstellen Sie eine private verwaltete Zone für eine der Domains, die Ihr VPC-Netzwerk verwalten muss:
gcloud dns managed-zones create ZONE_NAME \ --visibility=private \ --networks=https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME \ --dns-name=DNS_NAME \ --description="Description of your managed zone"
Dabei gilt:
-
ZONE_NAME
: ein Name für die zu erstellende Zone. Sie müssen für jede Domain eine separate Zone verwenden. Dieser Zonenname wird in den folgenden Schritten verwendet. PROJECT_ID
: die ID des Projekts, in dem Ihr VPC-Netzwerk gehostet wird.NETWORK_NAME
: der Name des VPC-Netzwerks, das Sie zuvor erstellt haben.-
DNS_NAME
: der Teil des Domainnamens, der nach*.
steht, mit einem Punkt am Ende. Beispiel:*.notebooks.googleapis.com
hat denDNS_NAME
notebooks.googleapis.com.
.
-
-
Starten Sie eine Transaktion.
gcloud dns record-sets transaction start --zone=ZONE_NAME
-
Fügen Sie den folgenden DNS-A-Eintrag hinzu. Dadurch wird der Traffic an die eingeschränkten IP-Adressen von Google umgeleitet.
gcloud dns record-sets transaction add \ --name=DNS_NAME. \ --type=A 199.36.153.4 199.36.153.5 199.36.153.6 199.36.153.7 \ --zone=ZONE_NAME \ --ttl=300
-
Geben Sie den folgenden DNS-CNAME-Eintrag an, um auf den gerade hinzugefügten A-Eintrag zu verweisen. Dadurch wird der gesamte Traffic, der mit der Domain übereinstimmt, an die im vorherigen Schritt aufgeführten IP-Adressen umgeleitet.
gcloud dns record-sets transaction add \ --name=\*.DNS_NAME. \ --type=CNAME DNS_NAME. \ --zone=ZONE_NAME \ --ttl=300
-
Führen Sie die Transaktion aus.
gcloud dns record-sets transaction execute --zone=ZONE_NAME
-
Wiederholen Sie diese Schritte für jede der folgenden Domains. Ersetzen Sie für jede Wiederholung ZONE_NAME und DNS_NAME durch die entsprechenden Werte für diese Domain. Behalten Sie PROJECT_ID und NETWORK_NAME immer unverändert bei. Sie haben diese Schritte für
*.notebooks.googleapis.com
bereits ausgeführt.*.notebooks.googleapis.com
*.notebooks.cloud.google.com
*.notebooks.googleusercontent.com
*.googleapis.com
zum Ausführen von Code, der mit anderen Google APIs und Diensten interagiert
IP-Bereiche für verwaltete Notebookinstanz reservieren
Wenn Sie einen IP-Bereich für Dienstersteller reservieren, kann der Bereich von Ihrer verwalteten Notebookinstanz und anderen Diensten verwendet werden. Wenn Sie eine Verbindung zu anderen Diensterstellern herstellen möchten, die denselben Bereich verwenden, sollten Sie für die Aufnahme einen größeren Bereich zuweisen, um IP-Erschöpfung zu vermeiden.
Verwenden Sie den folgenden Befehl, um einen reservierten Bereich mit gcloud compute addresses create
festzulegen.
gcloud compute addresses create PEERING_RANGE_NAME \ --global \ --prefix-length=16 \ --description="Managed notebooks range" \ --network=NETWORK_NAME \ --purpose=VPC_PEERING
Dabei gilt:
PEERING_RANGE_NAME
: der Name Ihres BereichsNETWORK_NAME
: der Name Ihres Netzwerks
Der prefix-length
-Wert 16
bedeutet, dass ein CIDR-Block mit einer Subnetzmaske von /16
für die Verwendung durch Google Cloud-Dienste, beispielsweise Vertex AI Workbench verwaltete Notebooks, reserviert wird.
Verwenden Sie eine Subnetzmaske mit dem Wert /24
oder niedriger, um eine ungültige Konfiguration des Dienstnetzwerks zu vermeiden.
Prüfen Sie die Adressen mit dem folgenden Befehl.
gcloud compute addresses list
Peering-Verbindung herstellen
Stellen Sie mithilfe von gcloud services vpc-peerings connect
eine Peering-Verbindung zwischen Ihrem VPC-Hostprojekt und dem Google-Dienstnetzwerk her.
gcloud services vpc-peerings connect \ --service=servicenetworking.googleapis.com \ --network=NETWORK_NAME \ --ranges=PEERING_RANGE_NAME \ --project=PROJECT_ID
Verwenden Sie den folgenden Befehl, um die
gcloud services vpc-peerings list --network=NETWORK_NAME
Verwaltete Notebookinstanz erstellen
Ersetzen Sie diese Werte in den folgenden Anfragedaten:
- USER_ACCOUNT: das Nutzerkonto in Form einer E-Mail-Adresse
- MACHINE_TYPE: der Maschinentyp, z. B.
n1-standard-1
. - PROJECT_ID: die Projekt-ID Ihrer verwalteten Notebookinstanz.
- NETWORK_NAME: der Name des VPC-Netzwerks.
- LOCATION: die Region Ihres VPC-Netzwerks.
- NOTEBOOK_NAME: der Name Ihrer verwalteten Notebookinstanz.
- SUBNET_NAME: der Subnetzname für Ihr VPC-Netzwerk.
- PEERING_RANGE_NAME: Optional. Der Name des Peering-Bereichs, wenn Sie einen angeben möchten.
HTTP-Methode und URL:
POST https://notebooks.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/runtimes?runtimeId=NOTEBOOK_NAME
JSON-Text der Anfrage:
{ "access_config": { "access_type": "SINGLE_USER", "runtime_owner": "USER_ACCOUNT" }, "virtual_machine": { "virtual_machine_config": { "machine_type": "MACHINE_TYPE", "network": "projects/PROJECT_ID/global/networks/NETWORK_NAME", "subnet": "projects/PROJECT_ID/regions/LOCATION/subnetworks/SUBNET_NAME", "internal_ip_only": true, "reserved_ip_range": "PEERING_RANGE_NAME" # Optional } } }
Wenn Sie die Anfrage senden möchten, wählen Sie eine der folgenden Optionen aus:
curl
Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json
und führen Sie den folgenden Befehl aus:
curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json; charset=utf-8" \
-d @request.json \
"https://notebooks.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/runtimes?runtimeId=NOTEBOOK_NAME"
PowerShell
Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json
und führen Sie den folgenden Befehl aus:
$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }
Invoke-WebRequest `
-Method POST `
-Headers $headers `
-ContentType: "application/json; charset=utf-8" `
-InFile request.json `
-Uri "https://notebooks.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/runtimes?runtimeId=NOTEBOOK_NAME" | Select-Object -Expand Content
Konnektivität prüfen
Führen Sie die folgenden Schritte aus, um zu prüfen, ob Ihre verwaltete Notebookinstanz mit dem freigegebenen VPC-Netzwerk verbunden ist.
Rufen Sie in der Google Cloud Console die Seite VPC-Netzwerk-Peering auf.
Suchen Sie auf der Seite VPC-Netzwerk-Peering Ihre Verbindung.
Benutzerdefinierte Routen exportieren
Wenn Sie benutzerdefinierte Routen verwenden, müssen Sie diese exportieren, damit sie von Vertex AI Workbench verwaltete Notebooks importiert werden können.
Zum Exportieren benutzerdefinierter Routen aktualisieren Sie die Peering-Verbindung in Ihrer VPC. Beim Exportieren von benutzerdefinierten Routen werden alle zulässigen statischen und dynamischen Routen, die sich in Ihrem VPC-Netzwerk befinden, z. B. Routen zu Ihrem lokalen Netzwerk, an die Netzwerke der Dienstersteller gesendet (in diesem Fall verwaltete Notebooks). Dadurch werden die erforderlichen Verbindungen hergestellt und verwaltete Notebookinstanzen können Traffic an Ihr lokales Netzwerk zurücksenden.
Verwenden Sie den folgenden Befehl, um den Namen der zu aktualisierenden Peering-Verbindung aufzulisten.
Wenn Sie mehrere Peering-Verbindungen haben, lassen Sie das Flag --format
weg.
gcloud services vpc-peerings list \ --network=NETWORK_NAME \ --service=servicenetworking.googleapis.com \ --project=PROJECT_ID \ --format "value(peering)"
Verwenden Sie den folgenden Befehl, um die Peering-Verbindung für den Export benutzerdefinierter Routen zu aktualisieren.
gcloud compute networks peerings update PEERING_NAME \ --network=NETWORK_NAME \ --export-custom-routes \ --project=PROJECT_ID
Ersetzen Sie PEERING_NAME durch den Namen Ihrer Peering-Verbindung.
Status von Peering-Verbindungen prüfen
Wenn Sie überprüfen möchten, ob Ihre Peering-Verbindungen aktiv sind, können Sie sie mit dem folgenden Befehl auflisten.
gcloud compute networks peerings list --network NETWORK_NAME
Prüfen Sie, ob der Status der gerade erstellten Peering-Verbindung ACTIVE
ist.
Weitere Informationen zu aktiven Peering-Verbindungen.
Nächste Schritte
Weitere Informationen zum VPC-Netzwerk-Peering
Informationen zum VPC-Design finden Sie unter Referenzarchitekturen und Best Practices.