Verwaltete Notebookinstanz innerhalb eines Dienstperimeters verwenden

Auf dieser Seite wird beschrieben, wie Sie mithilfe von VPC Service Controls eine verwaltete Notebook-Instanz innerhalb eines Dienstperimeters einrichten.

Vorbereitung

  1. Lesen Sie VPC Service Controls.

  2. Verwaltete Notebookinstanz erstellen Diese Instanz befindet sich noch nicht in einem Dienstperimeter.

  3. Erstellen Sie ein VPC-Netzwerk oder verwenden Sie das Standard-VPC-Netzwerk Ihres Projekts.

Dienstperimeter erstellen und konfigurieren

So erstellen und konfigurieren Sie den Dienstperimeter:

  1. Erstellen Sie mit VPC Service Controls einen Dienstperimeter. Er schützt die von Google verwalteten Ressourcen der von Ihnen angegebenen Dienste. Gehen Sie beim Erstellen des Dienstperimeters so vor:

    1. Wenn das Einfügen von Projekte in den Dienstperimeter ansteht, fügen Sie das Projekt ein, das Ihre verwaltete Notebooks-Instanz enthält.

    2. Wenn das Hinzufügen von Diensten in den Dienstperimeter ansteht, fügen Sie die Notebooks API hinzu.

Wenn Sie Ihren Dienstperimeter erstellt haben, ohne die benötigten Projekte und Dienste hinzuzufügen, erfahren Sie unter Dienstperimeter verwalten, wie Sie Ihren Dienstperimeter aktualisieren.

DNS-Einträge mit Cloud DNS konfigurieren

Vertex AI Workbench verwaltete Notebookinstanzen verwenden mehrere Domains, die ein Virtual Private Cloud-Netzwerk standardmäßig nicht verarbeitet. Verwenden Sie Cloud DNS, um DNS-Einträge hinzuzufügen, damit Ihr VPC-Netzwerk Anfragen korrekt verarbeitet, die an diese Domains gesendet werden. Weitere Informationen zu VPC-Routen finden Sie unter Routen.

Fügen Sie einen DNS-Eintrag hinzu, der die Anfrage weiterleitet, und führen Sie die Transaktion aus, um die verwaltete Zone für eine Domain zu erstellen. Gehen Sie dabei so vor: Wiederholen Sie diese Schritte für jede einzelne Domain, für die Sie Anfragen bearbeiten müssen. Beginnen Sie mit *.notebooks.googleapis.com.

Geben Sie in Cloud Shell oder in einer Umgebung, in der die Google Cloud CLI installiert ist, die folgenden Google Cloud CLI-Befehle ein.

  1. So erstellen Sie eine private verwaltete Zone für eine der Domains, die Ihr VPC-Netzwerk verwalten muss:

        gcloud dns managed-zones create ZONE_NAME \
            --visibility=private \
            --networks=https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME \
            --dns-name=DNS_NAME \
            --description="Description of your managed zone"
        

    Ersetzen Sie Folgendes:

    • ZONE_NAME: ein Name für die zu erstellende Zone. Sie müssen für jede Domain eine separate Zone verwenden. Dieser Zonenname wird in den folgenden Schritten verwendet.
    • PROJECT_ID: die ID des Projekts, in dem Ihr VPC-Netzwerk gehostet wird.
    • NETWORK_NAME: der Name des VPC-Netzwerks, das Sie zuvor erstellt haben.
    • DNS_NAME: der Teil des Domainnamens, der nach *. steht, mit einem Punkt am Ende. Beispiel: *.notebooks.googleapis.com hat einen DNS_NAME von notebooks.googleapis.com..
  2. Starten Sie eine Transaktion.

        gcloud dns record-sets transaction start --zone=ZONE_NAME
        
  3. Fügen Sie den folgenden DNS-A-Eintrag hinzu. Dadurch wird der Traffic an die eingeschränkten IP-Adressen von Google umgeleitet.

        gcloud dns record-sets transaction add \
            --name=DNS_NAME. \
            --type=A 199.36.153.4 199.36.153.5 199.36.153.6 199.36.153.7 \
            --zone=ZONE_NAME \
            --ttl=300
        
  4. Geben Sie den folgenden DNS-CNAME-Eintrag an, um auf den gerade hinzugefügten A-Eintrag zu verweisen. Dadurch wird der gesamte Traffic, der mit der Domain übereinstimmt, an die im vorherigen Schritt aufgeführten IP-Adressen umgeleitet.

        gcloud dns record-sets transaction add \
            --name=\*.DNS_NAME. \
            --type=CNAME DNS_NAME. \
            --zone=ZONE_NAME \
            --ttl=300
        
  5. Führen Sie die Transaktion aus.

        gcloud dns record-sets transaction execute --zone=ZONE_NAME
        
  6. Wiederholen Sie diese Schritte für jede der folgenden Domains. Ersetzen Sie für jede Wiederholung ZONE_NAME und DNS_NAME durch die entsprechenden Werte für diese Domain. Behalten Sie PROJECT_ID und NETWORK_NAME immer unverändert bei. Sie haben diese Schritte für *.notebooks.googleapis.com bereits ausgeführt.

    • *.notebooks.googleapis.com
    • *.notebooks.cloud.google.com
    • *.notebooks.googleusercontent.com
    • *.googleapis.com zum Ausführen von Code, der mit anderen Google APIs und Diensten interagiert

Artifact Registry im Dienstperimeter verwenden

Wenn Sie Artifact Registry in Ihrem Dienstperimeter verwenden möchten, finden Sie weitere Informationen unter Eingeschränkten Zugriff für private GKE-Cluster konfigurieren.

Freigegebene VPC verwenden

Wenn Sie eine freigegebene VPC verwenden, müssen Sie den Host und die Dienstprojekte in den Dienstperimeter einfügen. Im Hostprojekt müssen Sie dem Notebooks-Dienst-Agent auch die Rolle Compute-Netzwerknutzer (roles/compute.networkUser) aus dem Dienstprojekt zuweisen. Weitere Informationen finden Sie unter Dienstperimeter verwalten.

Auf Ihre verwaltete Notebook-Instanz zugreifen

  1. Rufen Sie in der Google Cloud Console die Seite Verwaltete Notebooks auf.

    Zu "Verwaltete Notebooks"

  2. Klicken Sie neben dem Namen der verwalteten Notebook-Instanz auf JupyterLab öffnen.

  3. Wenn Sie zum ersten Mal auf die JupyterLab-Benutzeroberfläche der verwalteten Notebook-Instanz zugreifen, müssen Sie die Berechtigung für den Zugriff auf Ihre Daten erteilen und Ihre verwaltete Notebook-Instanz authentifizieren.

    1. Klicken Sie im Dialogfeld Verwaltetes Notebook authentifizieren auf die Schaltfläche, um einen Authentifizierungscode abzurufen.

    2. Wählen Sie ein Konto aus und klicken Sie auf Zulassen. Kopieren Sie den Authentifizierungscode.

    3. Fügen Sie im Dialogfeld Verwaltetes Notebook authentifizieren den Authentifizierungscode ein und klicken Sie dann auf Authentifizieren.

Ihre verwaltete Notebook-Instanz öffnet JupyterLab.

Beschränkungen

Identitätstyp für Richtlinien für ein- und ausgehenden Traffic

Wenn Sie eine Richtlinie für eingehenden oder ausgehenden Traffic für einen Dienstperimeter angeben, können Sie ANY_SERVICE_ACCOUNT oder ANY_USER_ACCOUNT nicht als Identitätstyp für alle Vertex AI Workbench-Vorgänge nutzen.

Verwenden Sie stattdessen ANY_IDENTITY als Identitätstyp.

Zugriff auf den Proxy für nutzerverwaltete Notebooks von einer Workstation ohne Internet

Um von einer Workstation mit eingeschränktem Internetzugriff auf verwaltete Notebookinstanzen zuzugreifen, wenden Sie sich an Ihren IT-Administrator, damit Sie auf die folgenden Domains zugreifen können:

  • *.accounts.google.com
  • *.accounts.youtube.com
  • *.googleusercontent.com
  • *.kernels.googleusercontent.com
  • *.gstatic.com
  • *.notebooks.cloud.google.com
  • *.notebooks.googleapis.com

Sie benötigen Zugriff auf diese Domains, um sich bei Google Cloud zu authentifizieren. Weitere Konfigurationsinformationen finden Sie im vorherigen Abschnitt DNS-Einträge mit Cloud DNS konfigurieren.

Nächste Schritte