Menggunakan instance notebook terkelola dalam perimeter layanan

Halaman ini menjelaskan cara menggunakan Kontrol Layanan VPC untuk menyiapkan instance notebook terkelola dalam perimeter layanan.

Sebelum memulai

  1. Baca Ringkasan Kontrol Layanan VPC.

  2. Buat instance notebook terkelola. Instance ini belum ada dalam perimeter layanan.

  3. Buat jaringan VPC atau gunakan jaringan VPC default project Anda.

Membuat dan mengonfigurasi perimeter layanan

Untuk membuat dan mengonfigurasi perimeter layanan, lakukan hal berikut:

  1. Buat perimeter layanan menggunakan Kontrol Layanan VPC. Perimeter layanan ini melindungi resource layanan yang dikelola Google yang Anda tentukan. Saat membuat perimeter layanan, lakukan hal berikut:

    1. Saat tiba waktunya menambahkan project ke perimeter layanan Anda, tambahkan project yang berisi instance notebook terkelola Anda.

    2. Saat tiba waktunya menambahkan layanan ke perimeter layanan Anda, tambahkan Notebooks API.

Jika Anda telah membuat perimeter layanan tanpa menambahkan project dan layanan yang Anda butuhkan, lihat Mengelola perimeter layanan untuk mempelajari cara mengupdate perimeter layanan.

Mengonfigurasi entri DNS Anda menggunakan Cloud DNS

Instance notebook terkelola Vertex AI Workbench menggunakan beberapa domain yang tidak ditangani oleh jaringan Virtual Private Cloud secara default. Untuk memastikan bahwa jaringan VPC Anda menangani permintaan yang dikirim ke domain tersebut dengan benar, gunakan Cloud DNS untuk menambahkan data DNS. Untuk mengetahui informasi selengkapnya tentang rute VPC, lihat Rute.

Guna membuat zona terkelola untuk sebuah domain, tambahkan entri DNS yang akan mengarahkan permintaan, lalu menjalankan transaksi, selesaikan langkah-langkah berikut. Ulangi langkah-langkah berikut untuk masing-masing kelompok domain yang permintaannya perlu Anda tangani, dimulai dengan *.notebooks.googleapis.com.

Di Cloud Shell atau lingkungan mana pun tempat Google Cloud CLI diinstal, masukkan perintah Google Cloud CLI berikut.

  1. Untuk membuat zona terkelola pribadi bagi salah satu domain yang perlu ditangani oleh jaringan VPC Anda:

        gcloud dns managed-zones create ZONE_NAME \
            --visibility=private \
            --networks=https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME \
            --dns-name=DNS_NAME \
            --description="Description of your managed zone"
        

    Ganti kode berikut:

    • ZONE_NAME: nama untuk zona yang akan dibuat. Anda harus menggunakan zona terpisah untuk setiap domain. Nama zona ini digunakan di setiap langkah berikut.
    • PROJECT_ID: ID project yang menghosting jaringan VPC Anda
    • NETWORK_NAME: nama jaringan VPC yang Anda buat sebelumnya
    • DNS_NAME: bagian dari nama domain yang muncul setelah *., dengan titik di akhir. Misalnya, *.notebooks.googleapis.com memiliki DNS_NAME dari notebooks.googleapis.com.
  2. Mulai transaksi.

        gcloud dns record-sets transaction start --zone=ZONE_NAME
        
  3. Tambahkan data A DNS berikut. Tindakan ini akan mengalihkan traffic ke alamat IP yang dibatasi Google.

        gcloud dns record-sets transaction add \
            --name=DNS_NAME. \
            --type=A 199.36.153.4 199.36.153.5 199.36.153.6 199.36.153.7 \
            --zone=ZONE_NAME \
            --ttl=300
        
  4. Tambahkan data DNS CNAME berikut untuk mengarah ke data A yang baru saja Anda tambahkan. Tindakan ini akan mengalihkan semua traffic yang cocok dengan domain tersebut ke alamat IP yang tercantum dalam langkah sebelumnya.

        gcloud dns record-sets transaction add \
            --name=\*.DNS_NAME. \
            --type=CNAME DNS_NAME. \
            --zone=ZONE_NAME \
            --ttl=300
        
  5. Jalankan transaksi.

        gcloud dns record-sets transaction execute --zone=ZONE_NAME
        
  6. Ulangi langkah ini untuk setiap domain berikut. Untuk setiap pengulangan, ubah ZONE_NAME dan DNS_NAME ke nilai yang sesuai untuk domain tersebut. Buat PROJECT_ID dan NETWORK_NAME tetap sama setiap saat. Anda telah menyelesaikan langkah-langkah tersebut untuk *.notebooks.googleapis.com.

    • *.notebooks.googleapis.com
    • *.notebooks.cloud.google.com
    • *.notebooks.googleusercontent.com
    • *.googleapis.com untuk menjalankan kode yang berinteraksi dengan API dan layanan Google lainnya

Menggunakan Artifact Registry dalam perimeter layanan

Jika Anda ingin menggunakan Artifact Registry di perimeter layanan, lihat Mengonfigurasi akses terbatas untuk cluster pribadi GKE.

Menggunakan VPC Bersama

Jika menggunakan VPC Bersama, Anda harus menambahkan host dan project layanan ke perimeter layanan. Dalam project host, Anda juga harus memberikan Peran Pengguna Jaringan Compute (roles/compute.networkUser) ke Agen Layanan Notebooks dari project layanan. Untuk mengetahui informasi selengkapnya, lihat Mengelola perimeter layanan.

Mengakses instance notebook terkelola

  1. Di konsol Google Cloud, buka halaman Managed notebooks.

    Buka Notebook terkelola

  2. Di samping nama instance notebook terkelola, klik Open JupyterLab.

  3. Jika ini pertama kalinya Anda mengakses antarmuka pengguna JupyterLab instance notebook terkelola, Anda harus memberikan izin untuk mengakses data dan mengautentikasi instance notebook terkelola Anda.

    1. Pada dialog Authenticate your managed notebook, klik tombol untuk mendapatkan kode autentikasi.

    2. Pilih akun, lalu klik Allow. Salin kode autentikasi.

    3. Pada dialog Authenticate your Managed notebook, tempel kode autentikasi, lalu klik Authentication.

Instance notebook terkelola Anda akan membuka JupyterLab.

Batasan

Jenis identitas untuk kebijakan masuk dan keluar

Saat menentukan kebijakan traffic masuk atau keluar untuk perimeter layanan, Anda tidak dapat menggunakan ANY_SERVICE_ACCOUNT atau ANY_USER_ACCOUNT sebagai jenis identitas untuk semua operasi Vertex AI Workbench.

Sebagai gantinya, gunakan ANY_IDENTITY sebagai jenis identitas.

Mengakses proxy notebook terkelola dari workstation tanpa internet

Untuk mengakses instance notebook terkelola dari workstation dengan akses internet terbatas, verifikasi dengan admin IT bahwa Anda dapat mengakses domain berikut:

  • *.accounts.google.com
  • *.accounts.youtube.com
  • *.googleusercontent.com
  • *.kernels.googleusercontent.com
  • *.gstatic.com
  • *.notebooks.cloud.google.com
  • *.notebooks.googleapis.com

Anda harus memiliki akses ke domain ini untuk autentikasi ke Google Cloud. Lihat bagian sebelumnya, Mengonfigurasi entri DNS menggunakan Cloud DNS, untuk informasi konfigurasi lebih lanjut.

Langkah selanjutnya