Utiliser une instance de notebook gérée dans un périmètre de service

Cette page explique comment utiliser VPC Service Controls pour configurer une instance de notebook gérée dans un périmètre de service.

Avant de commencer

  1. Consultez la présentation de VPC Service Controls.

  2. Créez une instance de notebooks gérés. Cette instance ne fait pas encore partie d'un périmètre de service.

  3. Créez un réseau VPC ou utilisez le réseau VPC par défaut de votre projet.

Créer et configurer le périmètre de service

Pour créer et configurer le périmètre de service, procédez comme suit :

  1. Créez un périmètre de service à l'aide de VPC Service Controls. Ce périmètre de service protège les ressources de services gérées par Google que vous spécifiez. Lors de la création du périmètre de service, procédez comme suit :

    1. Au moment de l'ajout des projets au périmètre de service, ajoutez le projet qui contient votre instance de notebook.

    2. Au moment de l'ajout des services au périmètre de service, ajoutez l'API Notebooks.

Si vous avez créé le périmètre de service sans ajouter les projets et services nécessaires, consultez la section Gérer les périmètres de service et mettez le périmètre de service à jour.

Configurer les entrées DNS à l'aide de Cloud DNS

Les instances de notebooks gérés Vertex AI Workbench utilisent plusieurs domaines qu'un réseau cloud privé virtuel ne gère pas par défaut. À l'aide de Cloud DNS, ajoutez des enregistrements DNS pour faire en sorte que votre réseau VPC gère correctement les requêtes envoyées à ces domaines. Pour en savoir plus sur les routes VPC, consultez Routes.

Pour créer une zone gérée pour un domaine, ajouter une entrée DNS qui acheminera la requête, et exécuter la transaction, procédez comme suit : Répétez ces étapes pour chacun des différents domaines devant être capable de gérer les requêtes, en commençant par *.notebooks.googleapis.com.

Dans Cloud Shell ou dans tout environnement dans lequel Google Cloud CLI est installé, saisissez les commandes suivantes de Google Cloud CLI.

  1. Créez une zone gérée privée pour l'un des domaines que votre réseau VPC doit gérer :

        gcloud dns managed-zones create ZONE_NAME \
            --visibility=private \
            --networks=https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME \
            --dns-name=DNS_NAME \
            --description="Description of your managed zone"
        

    Remplacez les éléments suivants :

    • ZONE_NAME : nom de la zone à créer. Vous devez utiliser une zone distincte pour chaque domaine. Cette zone est utilisée dans chacune des étapes suivantes.
    • PROJECT_ID : ID du projet hébergeant votre réseau VPC.
    • NETWORK_NAME : nom du réseau VPC que vous avez créé précédemment.
    • DNS_NAME : partie du nom de domaine qui suit *., avec un point à la fin. Par exemple, le DNS_NAME de *.notebooks.googleapis.com est notebooks.googleapis.com.
  2. Lancez une transaction.

        gcloud dns record-sets transaction start --zone=ZONE_NAME
        
  3. Ajoutez l'enregistrement DNS A suivant afin de rediriger le trafic vers les adresses IP restreintes de Google.

        gcloud dns record-sets transaction add \
            --name=DNS_NAME. \
            --type=A 199.36.153.4 199.36.153.5 199.36.153.6 199.36.153.7 \
            --zone=ZONE_NAME \
            --ttl=300
        
  4. Ajoutez l'enregistrement DNS CNAME suivant pour pointer vers l'enregistrement A que vous venez d'ajouter. Ainsi, tout le trafic correspondant au domaine est redirigé vers les adresses IP mentionnées à l'étape précédente.

        gcloud dns record-sets transaction add \
            --name=\*.DNS_NAME. \
            --type=CNAME DNS_NAME. \
            --zone=ZONE_NAME \
            --ttl=300
        
  5. Exécutez la transaction.

        gcloud dns record-sets transaction execute --zone=ZONE_NAME
        
  6. Répétez ces étapes pour chacun des domaines suivants. À chaque fois, remplacez ZONE_NAME et DNS_NAME par les valeurs appropriées pour le domaine. Les valeurs de PROJECT_ID et NETWORK_NAME doivent rester inchangées. N'oubliez pas que vous avez déjà effectué la configuration pour *.notebooks.googleapis.com.

    • *.notebooks.googleapis.com
    • *.notebooks.cloud.google.com
    • *.notebooks.googleusercontent.com
    • *.googleapis.com pour exécuter du code qui interagit avec d'autres API et services Google

Utiliser Artifact Registry dans votre périmètre de service

Si vous souhaitez utiliser Artifact Registry dans votre périmètre de service, consultez Configurer un accès limité pour les clusters privés GKE.

Utiliser un VPC partagé

Si vous utilisez un VPC partagé, vous devez ajouter le projet hôte et les projets de service au périmètre de service. Dans le projet hôte, vous devez également attribuer le rôle Utilisateur de réseau Compute (roles/compute.networkUser) à l'agent de service Notebooks du projet de service. Pour en savoir plus, consultez la page Gérer les périmètres de service.

Accéder à votre instance de notebook gérée

  1. Dans Google Cloud Console, accédez à la page Notebooks gérés.

    Accéder à la page "Notebooks gérés"

  2. À côté du nom de votre instance de notebooks gérés, cliquez sur Ouvrir JupyterLab.

  3. Si vous accédez à l'interface utilisateur JupyterLab de l'instance de notebook gérée pour la première fois, vous devez autoriser l'accès à vos données et authentifier votre instance de notebook gérée.

    1. Dans la boîte de dialogue Authentifier votre notebook géré, cliquez sur le bouton pour obtenir un code d'authentification.

    2. Choisissez un compte, puis cliquez sur Autoriser. Copiez le code d'authentification.

    3. Dans la boîte de dialogue Authentifier votre notebook géré, collez le code d'authentification, puis cliquez sur Authentifier.

Votre instance de notebooks gérés ouvre alors JupyterLab.

Limites

Type d'identité pour les règles d'entrée et de sortie

Lorsque vous spécifiez une règle d'entrée ou de sortie pour un périmètre de service, vous ne pouvez pas utiliser ANY_SERVICE_ACCOUNT ou ANY_USER_ACCOUNT en tant que type d'identité pour toutes les opérations Vertex AI Workbench.

Utilisez plutôt ANY_IDENTITY comme type d'identité.

Accéder au proxy de notebooks gérés depuis un poste de travail sans Internet

Pour accéder aux instances de notebooks gérés depuis un poste de travail disposant d'un accès Internet limité, vérifiez auprès de votre administrateur informatique que vous pouvez accéder aux domaines suivants :

  • *.accounts.google.com
  • *.accounts.youtube.com
  • *.googleusercontent.com
  • *.kernels.googleusercontent.com
  • *.gstatic.com
  • *.notebooks.cloud.google.com
  • *.notebooks.googleapis.com

Vous devez avoir accès à ces domaines pour vous authentifier auprès de Google Cloud. Pour plus d'informations sur la configuration, consultez la section précédente : Configurer vos entrées DNS à l'aide de Cloud DNS.

Étapes suivantes