Menggunakan instance notebook terkelola dalam perimeter layanan
Halaman ini menjelaskan cara menggunakan Kontrol Layanan VPC untuk menyiapkan instance notebook terkelola dalam perimeter layanan.
Sebelum memulai
Buat instance notebook terkelola. Instance ini belum ada dalam perimeter layanan.
Buat jaringan VPC atau gunakan jaringan VPC default project Anda.
Membuat dan mengonfigurasi perimeter layanan
Untuk membuat dan mengonfigurasi perimeter layanan, lakukan hal berikut:
Buat perimeter layanan menggunakan Kontrol Layanan VPC. Perimeter layanan ini melindungi resource layanan yang dikelola Google yang Anda tentukan. Saat membuat perimeter layanan, lakukan hal berikut:
Saat tiba waktunya menambahkan project ke perimeter layanan Anda, tambahkan project yang berisi instance notebook terkelola Anda.
Saat tiba waktunya menambahkan layanan ke perimeter layanan Anda, tambahkan Notebooks API.
Jika Anda telah membuat perimeter layanan tanpa menambahkan project dan layanan yang Anda butuhkan, lihat Mengelola perimeter layanan untuk mempelajari cara mengupdate perimeter layanan.
Mengonfigurasi entri DNS Anda menggunakan Cloud DNS
Instance notebook terkelola Vertex AI Workbench menggunakan beberapa domain yang tidak ditangani oleh jaringan Virtual Private Cloud secara default. Untuk memastikan bahwa jaringan VPC Anda menangani permintaan yang dikirim ke domain tersebut dengan benar, gunakan Cloud DNS untuk menambahkan data DNS. Untuk mengetahui informasi selengkapnya tentang rute VPC, lihat Ringkasan rute.
Guna membuat zona terkelola untuk
sebuah domain, tambahkan entri DNS yang akan mengarahkan permintaan, lalu menjalankan
transaksi, selesaikan langkah-langkah berikut.
Ulangi langkah-langkah berikut untuk masing-masing kelompok
domain yang permintaannya perlu Anda tangani, dimulai
dengan *.notebooks.googleapis.com.
Di Cloud Shell atau lingkungan mana pun tempat Google Cloud CLI diinstal, masukkan perintah Google Cloud CLI berikut.
-
Untuk membuat zona terkelola pribadi bagi salah satu domain yang perlu ditangani oleh jaringan VPC Anda:
gcloud dns managed-zones create ZONE_NAME \ --visibility=private \ --networks=https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME \ --dns-name=DNS_NAME \ --description="Description of your managed zone"Ganti kode berikut:
-
ZONE_NAME: nama untuk zona yang akan dibuat. Anda harus menggunakan zona terpisah untuk setiap domain. Nama zona ini digunakan di setiap langkah berikut. -
PROJECT_ID: ID project yang menghosting jaringan VPC Anda -
NETWORK_NAME: nama jaringan VPC yang Anda buat sebelumnya -
DNS_NAME: bagian dari nama domain yang muncul setelah*., dengan titik di akhir. Misalnya,*.notebooks.googleapis.commemilikiDNS_NAMEdarinotebooks.googleapis.com.
-
-
Mulai transaksi.
gcloud dns record-sets transaction start --zone=ZONE_NAME -
Tambahkan data A DNS berikut. Tindakan ini akan mengalihkan traffic ke alamat IP yang dibatasi Google.
gcloud dns record-sets transaction add \ --name=DNS_NAME. \ --type=A 199.36.153.4 199.36.153.5 199.36.153.6 199.36.153.7 \ --zone=ZONE_NAME \ --ttl=300 -
Tambahkan data DNS CNAME berikut untuk mengarah ke data A yang baru saja Anda tambahkan. Tindakan ini akan mengalihkan semua traffic yang cocok dengan domain tersebut ke alamat IP yang tercantum dalam langkah sebelumnya.
gcloud dns record-sets transaction add \ --name=\*.DNS_NAME. \ --type=CNAME DNS_NAME. \ --zone=ZONE_NAME \ --ttl=300 -
Jalankan transaksi.
gcloud dns record-sets transaction execute --zone=ZONE_NAME -
Ulangi langkah ini untuk setiap domain berikut. Untuk setiap pengulangan, ubah ZONE_NAME dan DNS_NAME ke nilai yang sesuai untuk domain tersebut. Buat PROJECT_ID dan NETWORK_NAME tetap sama setiap saat. Anda telah menyelesaikan langkah-langkah tersebut untuk
*.notebooks.googleapis.com.*.notebooks.googleapis.com*.notebooks.cloud.google.com*.notebooks.googleusercontent.com*.googleapis.comuntuk menjalankan kode yang berinteraksi dengan layanan dan API Google lainnya
Gunakan Artifact Registry dalam perimeter layanan Anda
Jika Anda ingin menggunakan Artifact Registry di perimeter layanan, lihat Mengonfigurasi akses terbatas untuk cluster pribadi GKE.
Menggunakan VPC Bersama
Jika menggunakan VPC Bersama,
Anda harus menambahkan host dan project layanan ke perimeter
layanan. Dalam project host, Anda juga harus memberikan
Peran Pengguna Jaringan Compute
(roles/compute.networkUser) ke Agen Layanan
Notebooks
dari project layanan. Untuk mengetahui informasi selengkapnya, lihat Mengelola
perimeter layanan.
Mengakses instance notebook terkelola
Di konsol Google Cloud, buka halaman Managed notebooks.
Di samping nama instance notebook terkelola, klik Open JupyterLab.
Jika ini pertama kalinya Anda mengakses antarmuka pengguna JupyterLab instance notebook terkelola, Anda harus memberikan izin untuk mengakses data dan mengautentikasi instance notebook terkelola Anda.
Pada dialog Authenticate your managed notebook, klik tombol untuk mendapatkan kode autentikasi.
Pilih akun, lalu klik Allow. Salin kode autentikasi.
Pada dialog Authenticate your Managed notebook, tempel kode autentikasi, lalu klik Authentication.
Instance notebook terkelola Anda akan membuka JupyterLab.
Batasan
Jenis identitas untuk kebijakan masuk dan keluar
Saat menentukan kebijakan traffic masuk atau keluar untuk perimeter layanan,
Anda tidak dapat menggunakan ANY_SERVICE_ACCOUNT
atau ANY_USER_ACCOUNT sebagai jenis identitas untuk
semua operasi Vertex AI
Workbench.
Sebagai gantinya, gunakan ANY_IDENTITY sebagai jenis identitas.
Mengakses proxy notebook terkelola dari workstation tanpa internet
Untuk mengakses instance notebook terkelola dari workstation dengan akses internet terbatas, verifikasi dengan admin IT bahwa Anda dapat mengakses domain berikut:
*.accounts.google.com*.accounts.youtube.com*.googleusercontent.com*.kernels.googleusercontent.com*.gstatic.com*.notebooks.cloud.google.com*.notebooks.googleapis.com
Anda harus memiliki akses ke domain ini untuk autentikasi ke Google Cloud. Lihat bagian sebelumnya, Mengonfigurasi entri DNS menggunakan Cloud DNS, untuk informasi konfigurasi lebih lanjut.
Langkah selanjutnya
- Mempelajari lebih lanjut Kontrol Layanan VPC.