Utilizzo di un'istanza di blocchi note gestiti dall'utente all'interno di un perimetro di servizio
Questa pagina descrive come utilizzare i Controlli di servizio VPC per configurare un'istanza di blocchi note gestiti dall'utente all'interno di un perimetro di servizio.
Prima di iniziare
Leggi la panoramica dei controlli di servizio VPC.
Crea un'istanza di blocchi note gestiti dall'utente. Questa istanza non si trova ancora all'interno di un perimetro di servizio.
Crea un perimetro di servizio utilizzando i Controlli di servizio VPC. Questo perimetro di servizio protegge le risorse gestite da Google dei servizi che specifichi. Durante la creazione del perimetro di servizio:
Quando è il momento di aggiungere progetti al perimetro di servizio, aggiungi il progetto che contiene l'istanza di blocchi note gestiti dall'utente.
Quando è il momento di aggiungere servizi al perimetro di servizio, aggiungi l'API Notebooks.
Se hai creato il perimetro di servizio senza aggiungere i progetti e i servizi di cui hai bisogno, consulta l'articolo Gestire i perimetri di servizio per scoprire come aggiornarlo.
Configurare le voci DNS utilizzando Cloud DNS
Le istanze Notebooks gestite dall'utente di Vertex AI Workbench utilizzano diversi domini che una rete Virtual Private Cloud non gestisce per impostazione predefinita. Per assicurarti che la tua rete VPC gestisca correttamente le richieste inviate a questi domini, utilizza Cloud DNS per aggiungere record DNS. Per ulteriori informazioni sulle route VPC, consulta Route.
Per creare una zona gestita per
un dominio, aggiungi una voce DNS che indirizzi la richiesta ed esegui
la transazione, completa i seguenti passaggi.
Ripeti questi passaggi per ciascuno dei diversi
domini per cui devi gestire le richieste, a partire
da *.notebooks.googleapis.com.
In Cloud Shell o in qualsiasi ambiente in cui è installata Google Cloud CLI, inserisci i seguenti comandi Google Cloud CLI.
-
Per creare una zona gestita privata per uno dei domini che la tua rete VPC deve gestire:
gcloud dns managed-zones create ZONE_NAME \ --visibility=private \ --networks=https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME \ --dns-name=DNS_NAME \ --description="Description of your managed zone"
Sostituisci quanto segue:
-
ZONE_NAME: un nome per la zona da creare. Devi utilizzare una zona separata per ogni dominio. Questo nome zona viene utilizzato in ognuno dei passaggi seguenti. -
PROJECT_ID: l'ID del progetto che ospita la tua rete VPC -
NETWORK_NAME: il nome della rete VPC creata in precedenza -
DNS_NAME: la parte del nome di dominio che segue*., con un punto alla fine. Ad esempio,*.notebooks.googleapis.comha unDNS_NAMEdinotebooks.googleapis.com.
-
-
Avvia una transazione.
gcloud dns record-sets transaction start --zone=ZONE_NAME
-
Aggiungi il seguente record A DNS. In questo modo, il traffico viene reindirizzato agli indirizzi IP con limitazioni di Google.
gcloud dns record-sets transaction add \ --name=DNS_NAME. \ --type=A 199.36.153.4 199.36.153.5 199.36.153.6 199.36.153.7 \ --zone=ZONE_NAME \ --ttl=300
-
Aggiungi il seguente record CNAME DNS in modo che punti al record A che hai appena aggiunto. In questo modo, tutto il traffico corrispondente al dominio viene reindirizzato agli indirizzi IP elencati nel passaggio precedente.
gcloud dns record-sets transaction add \ --name=\*.DNS_NAME. \ --type=CNAME DNS_NAME. \ --zone=ZONE_NAME \ --ttl=300
-
Esegui la transazione.
gcloud dns record-sets transaction execute --zone=ZONE_NAME
-
Ripeti questi passaggi per ciascuno dei seguenti domini. Per ogni ripetizione, modifica ZONE_NAME e DNS_NAME con i valori appropriati per quel dominio. Mantieni PROJECT_ID e NETWORK_NAME sempre uguali. Hai già completato questi passaggi per
*.notebooks.googleapis.com.*.notebooks.googleapis.com*.notebooks.cloud.google.com*.notebooks.googleusercontent.com*.googleapis.comper eseguire codice che interagisce con altri servizi e API di Google
Configura il perimetro di servizio
Dopo aver configurato i record DNS, puoi creare un perimetro di servizio o aggiornare un perimetro esistente per aggiungere il tuo progetto al perimetro di servizio.
Nella rete VPC, aggiungi una route per l'intervallo 199.36.153.4/30 con un
hop successivo di Default internet gateway.
Utilizzare Artifact Registry all'interno del perimetro di servizio
Se vuoi utilizzare Artifact Registry nel tuo perimetro di servizio, consulta Configurare l'accesso limitato per i cluster privati GKE.
Utilizzare il VPC condiviso
Se utilizzi un VPC condiviso,
devi aggiungere il progetto host e i progetti di servizio al perimetro di servizio. Nel progetto host, devi anche concedere il
ruolo Utente di rete Compute
(roles/compute.networkUser) all'agente di servizio
Notebooks
dal progetto di servizio. Per saperne di più, consulta Gestione dei perimetri di servizio.
Accedere all'istanza di blocchi note gestiti dall'utente
Segui i passaggi per aprire un notebook.
Limitazioni
Tipo di identità per i criteri in entrata e in uscita
Quando specifichi un criterio di ingresso o di uscita per un perimetro di servizio, non puoi utilizzare ANY_SERVICE_ACCOUNT o ANY_USER_ACCOUNT come tipo di identità per tutte le operazioni di Vertex AI Workbench.
Utilizza invece ANY_IDENTITY come tipo di identità.
Accesso al proxy dei blocchi note gestiti dall'utente da una workstation senza internet
Per accedere alle istanze di notebook gestiti dall'utente da una workstation con accesso a internet limitato, verifica con il tuo amministratore IT di poter accedere ai seguenti domini:
*.accounts.google.com*.accounts.youtube.com*.googleusercontent.com*.kernels.googleusercontent.com*.gstatic.com*.notebooks.cloud.google.com*.notebooks.googleapis.com
Devi avere accesso a questi domini per l'autenticazione a Google Cloud. Per ulteriori informazioni sulla configurazione, consulta la sezione precedente, Configurare le voci DNS utilizzando Cloud DNS.
Passaggi successivi
- Installa le dipendenze nella nuova istanza di blocchi note gestiti dall'utente.