在服務範圍內使用代管型筆記本執行個體

本頁說明如何使用 VPC Service Controls，在服務範圍內設定代管筆記本執行個體。

事前準備

1. 參閱 VPC Service Controls 總覽。

2. 建立代管型筆記本執行個體。 這個執行個體尚未位於服務邊界內。

3. 建立虛擬私有雲網路，或使用專案的預設虛擬私有雲網路。

建立及設定服務範圍

如要建立及設定服務範圍，請按照下列步驟操作：

1. 使用 VPC Service Controls 建立服務範圍。 這個服務範圍會保護您指定的服務所使用的 Google 代管資源。建立服務範圍時，請按照下列步驟操作：

   1. 當您要將專案新增至服務範圍時，請新增包含受管理 Notebook 執行個體的專案。

   2. 需要將服務新增至服務範圍時，請新增 Notebooks API。

如果您建立的服務安全防護範圍未加入所需專案和服務，請參閱「管理服務安全防護範圍」，瞭解如何更新服務安全防護範圍。

使用 Cloud DNS 設定 DNS 項目

Vertex AI Workbench 代管型筆記本執行個體會使用多個網域，但虛擬私有雲網路預設不會處理這些網域。如要確保虛擬私有雲網路正確處理傳送至這些網域的要求，請使用 Cloud DNS 新增 DNS 記錄。如要進一步瞭解虛擬私有雲路徑，請參閱「路徑」。

如要為網域建立代管區域，請新增會轉送要求的 DNS 項目，並執行交易，完成下列步驟。針對需要處理要求的多個網域，從 *.notebooks.googleapis.com 開始重複執行這些步驟。

在 Cloud Shell 或任何已安裝 Google Cloud CLI 的環境中，輸入下列 Google Cloud CLI 指令。

1. 如要為虛擬私有雲網路需要處理的其中一個網域建立私有代管區域，請按照下列步驟操作：

       gcloud dns managed-zones create ZONE_NAME \
           --visibility=private \
           --networks=https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME \
           --dns-name=DNS_NAME \
           --description="Description of your managed zone"
       

   取代下列項目：

   • ZONE_NAME：要建立的可用區名稱。 每個網域都必須使用不同的區域。後續步驟都會用到這個區域名稱。
   • PROJECT_ID：代管您虛擬私有雲網路的專案 ID
   • NETWORK_NAME：您先前建立的虛擬私有雲網路名稱
   • DNS_NAME：網域名稱中 *. 後方的部分，結尾須加上半形句號。例如，*.notebooks.googleapis.com 有 DNS_NAME 的 notebooks.googleapis.com.

2. 啟動交易。

       gcloud dns record-sets transaction start --zone=ZONE_NAME
       

3. 新增下列 DNS A 記錄。這會將流量重新導向至 Google 的受限 IP 位址。

       gcloud dns record-sets transaction add \
           --name=DNS_NAME. \
           --type=A 199.36.153.4 199.36.153.5 199.36.153.6 199.36.153.7 \
           --zone=ZONE_NAME \
           --ttl=300
       

4. 新增下列 DNS CNAME 記錄，指向您剛才新增的 A 記錄。這樣一來，系統就會將符合網域的所有流量，重新導向至上一步列出的 IP 位址。

       gcloud dns record-sets transaction add \
           --name=\*.DNS_NAME. \
           --type=CNAME DNS_NAME. \
           --zone=ZONE_NAME \
           --ttl=300
       

5. 執行交易。

       gcloud dns record-sets transaction execute --zone=ZONE_NAME
       

6. 針對下列每個網域重複執行這些步驟。針對每次重複，將 ZONE_NAME 和 DNS_NAME 改為該網域的適當值。每次都保持相同距離。PROJECT_IDNETWORK_NAME你已為 *.notebooks.googleapis.com完成這些步驟。

   • *.notebooks.googleapis.com
   • *.notebooks.cloud.google.com
   • *.notebooks.googleusercontent.com
   • *.googleapis.com，執行與其他 Google API 和服務互動的程式碼

在服務範圍內使用 Artifact Registry

如要在服務安全防護範圍內使用 Artifact Registry，請參閱「為 GKE 私人叢集設定受限存取權」。

使用共用虛擬私有雲

如果您使用共用 VPC，請務必將主專案和服務專案新增至服務安全防護範圍。在主專案中，您也必須將Compute 網路使用者角色 (roles/compute.networkUser) 授予服務專案的 Notebooks 服務代理人。詳情請參閱「管理服務安全防護範圍」。

存取代管型筆記本執行個體

1. 前往 Google Cloud 控制台的「Managed notebooks」頁面。

   前往代管型筆記本

2. 按一下代管型筆記本執行個體名稱旁的「Open JupyterLab」(開啟 JupyterLab)。

3. 如果您是第一次存取受管理筆記本執行個體的 JupyterLab 使用者介面，必須授予存取資料的權限，並驗證受管理筆記本執行個體。

   1. 在「Authenticate your managed notebook」(驗證代管型筆記本) 對話方塊中，按一下按鈕來取得驗證碼。

   2. 選取所需的帳戶，然後按一下「Allow」(允許)。複製驗證碼。

   3. 在「Authenticate your managed notebook」(驗證代管型筆記本) 對話方塊中貼上驗證碼，然後按一下「Authenticate」(驗證)。

代管型筆記本執行個體中會開啟 JupyterLab。

限制

輸入和輸出政策的身分類型

為服務安全防護範圍指定輸入或輸出政策時，您無法將 ANY_SERVICE_ACCOUNT 或 ANY_USER_ACCOUNT 做為所有 Vertex AI Workbench 作業的身分類型。

請改用 ANY_IDENTITY 做為身分類型。

從沒有網際網路連線的工作站存取代管筆記本 Proxy

如要從網際網路存取受限的工作站存取代管的 Notebook 執行個體，請與 IT 管理員確認您可存取下列網域：

• *.accounts.google.com
• *.accounts.youtube.com
• *.googleusercontent.com
• *.kernels.googleusercontent.com
• *.gstatic.com
• *.notebooks.cloud.google.com
• *.notebooks.googleapis.com

您必須擁有這些網域的存取權，才能進行驗證。Google Cloud如需進一步瞭解如何設定，請參閱上一節「使用 Cloud DNS 設定 DNS 項目」。

後續步驟

• 進一步瞭解 VPC Service Controls。