在服務範圍內存取使用者自行管理的筆記本執行個體

本頁面說明如何使用 VPC Service Controls，在服務範圍內設定使用者管理的筆記本執行個體。

事前準備

1. 參閱 VPC Service Controls 總覽。

2. 建立由使用者管理的筆記本執行個體。這個執行個體尚未位於服務邊界內。

3. 使用 VPC Service Controls 建立服務範圍。 這個服務範圍會保護您指定的服務所使用的 Google 代管資源。建立服務範圍時，請按照下列步驟操作：

   1. 要將專案新增至服務範圍時，請新增包含使用者自行管理的筆記本執行個體的專案。

   2. 需要將服務新增至服務範圍時，請新增 Notebooks API。

   如果您建立的服務安全防護範圍未加入所需專案和服務，請參閱「管理服務安全防護範圍」，瞭解如何更新服務安全防護範圍。

使用 Cloud DNS 設定 DNS 項目

Vertex AI Workbench 使用者自行管理的筆記本執行個體會使用多個網域，但虛擬私有雲網路預設不會處理這些網域。如要確保虛擬私有雲網路正確處理傳送至這些網域的要求，請使用 Cloud DNS 新增 DNS 記錄。如要進一步瞭解虛擬私有雲路徑，請參閱「路徑」。

如要為網域建立代管區域，請新增會轉送要求的 DNS 項目，並執行交易，完成下列步驟。針對需要處理要求的多個網域，從 *.notebooks.googleapis.com 開始重複執行這些步驟。

在 Cloud Shell 或任何已安裝 Google Cloud CLI 的環境中，輸入下列 Google Cloud CLI 指令。

1. 如要為虛擬私有雲網路需要處理的其中一個網域建立私有代管區域，請按照下列步驟操作：

       gcloud dns managed-zones create ZONE_NAME \
           --visibility=private \
           --networks=https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME \
           --dns-name=DNS_NAME \
           --description="Description of your managed zone"
       

   取代下列項目：

   • ZONE_NAME：要建立的可用區名稱。 每個網域都必須使用不同的區域。後續步驟都會用到這個區域名稱。
   • PROJECT_ID：代管您虛擬私有雲網路的專案 ID
   • NETWORK_NAME：您先前建立的虛擬私有雲網路名稱
   • DNS_NAME：網域名稱中 *. 後方的部分，結尾須加上半形句號。例如，*.notebooks.googleapis.com 有 DNS_NAME 的 notebooks.googleapis.com.

2. 啟動交易。

       gcloud dns record-sets transaction start --zone=ZONE_NAME
       

3. 新增下列 DNS A 記錄。這會將流量重新導向至 Google 的受限 IP 位址。

       gcloud dns record-sets transaction add \
           --name=DNS_NAME. \
           --type=A 199.36.153.4 199.36.153.5 199.36.153.6 199.36.153.7 \
           --zone=ZONE_NAME \
           --ttl=300
       

4. 新增下列 DNS CNAME 記錄，指向您剛才新增的 A 記錄。這樣一來，系統就會將符合網域的所有流量，重新導向至上一步列出的 IP 位址。

       gcloud dns record-sets transaction add \
           --name=\*.DNS_NAME. \
           --type=CNAME DNS_NAME. \
           --zone=ZONE_NAME \
           --ttl=300
       

5. 執行交易。

       gcloud dns record-sets transaction execute --zone=ZONE_NAME
       

6. 針對下列每個網域重複執行這些步驟。針對每次重複，將 ZONE_NAME 和 DNS_NAME 改為該網域的適當值。每次都保持相同距離。PROJECT_IDNETWORK_NAME你已為 *.notebooks.googleapis.com完成這些步驟。

   • *.notebooks.googleapis.com
   • *.notebooks.cloud.google.com
   • *.notebooks.googleusercontent.com
   • *.googleapis.com，執行與其他 Google API 和服務互動的程式碼

設定服務範圍

設定 DNS 記錄後，請建立服務範圍或更新現有範圍，將專案新增至服務範圍。

在虛擬私有雲網路中，為 199.36.153.4/30 範圍新增路徑，並將下一個躍點設為 Default internet gateway。

在服務範圍內使用 Artifact Registry

如要在服務安全防護範圍內使用 Artifact Registry，請參閱「為 GKE 私人叢集設定受限存取權」。

使用共用虛擬私有雲

如果您使用共用 VPC，請務必將主專案和服務專案新增至服務安全防護範圍。在主專案中，您也必須將Compute 網路使用者角色 (roles/compute.networkUser) 授予服務專案的 Notebooks 服務代理人。詳情請參閱「管理服務安全防護範圍」。

存取使用者管理的筆記本執行個體

按照開啟筆記本的步驟操作。

限制

輸入和輸出政策的身分類型

為服務安全防護範圍指定輸入或輸出政策時，您無法將 ANY_SERVICE_ACCOUNT 或 ANY_USER_ACCOUNT 做為所有 Vertex AI Workbench 作業的身分類型。

請改用 ANY_IDENTITY 做為身分類型。

從沒有網際網路的工作站存取使用者管理的筆記本 Proxy

如要從網際網路存取受限的工作站存取使用者管理的 Notebook 執行個體，請與 IT 管理員確認您可存取下列網域：

• *.accounts.google.com
• *.accounts.youtube.com
• *.googleusercontent.com
• *.kernels.googleusercontent.com
• *.gstatic.com
• *.notebooks.cloud.google.com
• *.notebooks.googleapis.com

您必須擁有這些網域的存取權，才能進行驗證。Google Cloud如需進一步瞭解如何設定，請參閱上一節「使用 Cloud DNS 設定 DNS 項目」。

後續步驟

• 在新版使用者管理的筆記本執行個體上安裝依附元件。