Nutzerverwaltete Notebookinstanz innerhalb eines Dienstperimeters verwenden
Auf dieser Seite wird beschrieben, wie Sie VPC Service Controls zum Einrichten einer nutzerverwalteten Notebookinstanz innerhalb eines Dienstperimeters verwenden.
Hinweis
Lesen Sie VPC Service Controls.
Nutzerverwaltete Notebookinstanz erstellen Diese Instanz befindet sich noch nicht in einem Dienstperimeter.
Erstellen Sie mit VPC Service Controls einen Dienstperimeter. Er schützt die von Google verwalteten Ressourcen der von Ihnen angegebenen Dienste. Gehen Sie beim Erstellen des Dienstperimeters so vor:
Wenn das Hinzufügen von Projekten in den Dienstperimeter ansteht, fügen Sie das Projekt hinzu, das Ihre nutzerverwaltete Notebookinstanz enthält.
Wenn das Hinzufügen von Diensten in den Dienstperimeter ansteht, fügen Sie die Notebooks API hinzu.
Wenn Sie Ihren Dienstperimeter erstellt haben, ohne die benötigten Projekte und Dienste hinzuzufügen, erfahren Sie unter Dienstperimeter verwalten, wie Sie Ihren Dienstperimeter aktualisieren.
DNS-Einträge mit Cloud DNS konfigurieren
Von Nutzern verwaltete Vertex AI Workbench-Notebookinstanzen verwenden mehrere Domains, die ein Virtual Private Cloud-Netzwerk standardmäßig nicht verarbeitet. Verwenden Sie Cloud DNS, um DNS-Einträge hinzuzufügen, damit Ihr VPC-Netzwerk Anfragen korrekt verarbeitet, die an diese Domains gesendet werden. Weitere Informationen zu VPC-Routen finden Sie unter Routen.
Fügen Sie einen DNS-Eintrag hinzu, der die Anfrage weiterleitet, und führen Sie die Transaktion aus, um die verwaltete Zone für eine Domain zu erstellen. Gehen Sie dabei so vor:
Wiederholen Sie diese Schritte für jede einzelne Domain, für die Sie Anfragen bearbeiten müssen. Beginnen Sie mit *.notebooks.googleapis.com
.
Geben Sie in Cloud Shell oder in einer Umgebung, in der die Google Cloud CLI installiert ist, die folgenden Google Cloud CLI-Befehle ein.
-
So erstellen Sie eine private verwaltete Zone für eine der Domains, die Ihr VPC-Netzwerk verwalten muss:
gcloud dns managed-zones create ZONE_NAME \ --visibility=private \ --networks=https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME \ --dns-name=DNS_NAME \ --description="Description of your managed zone"
Ersetzen Sie Folgendes:
-
ZONE_NAME
: ein Name für die zu erstellende Zone. Sie müssen für jede Domain eine separate Zone verwenden. Dieser Zonenname wird in den folgenden Schritten verwendet. PROJECT_ID
: die ID des Projekts, in dem Ihr VPC-Netzwerk gehostet wird.NETWORK_NAME
: der Name des VPC-Netzwerks, das Sie zuvor erstellt haben.-
DNS_NAME
: der Teil des Domainnamens, der nach*.
steht, mit einem Punkt am Ende. Beispiel:*.notebooks.googleapis.com
hat einenDNS_NAME
vonnotebooks.googleapis.com.
.
-
-
Starten Sie eine Transaktion.
gcloud dns record-sets transaction start --zone=ZONE_NAME
-
Fügen Sie den folgenden DNS-A-Eintrag hinzu. Dadurch wird der Traffic an die eingeschränkten IP-Adressen von Google umgeleitet.
gcloud dns record-sets transaction add \ --name=DNS_NAME. \ --type=A 199.36.153.4 199.36.153.5 199.36.153.6 199.36.153.7 \ --zone=ZONE_NAME \ --ttl=300
-
Geben Sie den folgenden DNS-CNAME-Eintrag an, um auf den gerade hinzugefügten A-Eintrag zu verweisen. Dadurch wird der gesamte Traffic, der mit der Domain übereinstimmt, an die im vorherigen Schritt aufgeführten IP-Adressen umgeleitet.
gcloud dns record-sets transaction add \ --name=\*.DNS_NAME. \ --type=CNAME DNS_NAME. \ --zone=ZONE_NAME \ --ttl=300
-
Führen Sie die Transaktion aus.
gcloud dns record-sets transaction execute --zone=ZONE_NAME
-
Wiederholen Sie diese Schritte für jede der folgenden Domains. Ersetzen Sie für jede Wiederholung ZONE_NAME und DNS_NAME durch die entsprechenden Werte für diese Domain. Behalten Sie PROJECT_ID und NETWORK_NAME immer unverändert bei. Sie haben diese Schritte für
*.notebooks.googleapis.com
bereits ausgeführt.*.notebooks.googleapis.com
*.notebooks.cloud.google.com
*.notebooks.googleusercontent.com
*.googleapis.com
zum Ausführen von Code, der mit anderen Google APIs und Diensten interagiert
Dienstperimeter konfigurieren
Nachdem Sie die DNS-Einträge konfiguriert haben, können Sie entweder einen Dienstperimeter erstellen oder einen vorhandenen Perimeter aktualisieren, um Ihr Projekt zum Dienstperimeter hinzuzufügen.
Fügen Sie im VPC-Netzwerk eine Route für den Bereich 199.36.153.4/30
mit dem nächsten Hop Default internet gateway
hinzu.
Artifact Registry im Dienstperimeter verwenden
Wenn Sie Artifact Registry in Ihrem Dienstperimeter verwenden möchten, finden Sie weitere Informationen unter Eingeschränkten Zugriff für private GKE-Cluster konfigurieren.
Freigegebene VPC verwenden
Wenn Sie eine freigegebene VPC verwenden, müssen Sie den Host und die Dienstprojekte in den Dienstperimeter einfügen. Im Hostprojekt müssen Sie dem Notebooks-Dienst-Agent auch die Rolle Compute-Netzwerknutzer (roles/compute.networkUser
) aus dem Dienstprojekt zuweisen. Weitere Informationen finden Sie unter Dienstperimeter verwalten.
Auf Ihre nutzerverwaltete Notebookinstanz zugreifen
Folgen Sie der Anleitung zum Öffnen eines Notebooks.
Beschränkungen
Identitätstyp für Richtlinien für ein- und ausgehenden Traffic
Wenn Sie eine Richtlinie für eingehenden oder ausgehenden Traffic für einen Dienstperimeter angeben, können Sie ANY_SERVICE_ACCOUNT
oder ANY_USER_ACCOUNT
nicht als Identitätstyp für alle Vertex AI Workbench-Vorgänge nutzen.
Verwenden Sie stattdessen ANY_IDENTITY
als Identitätstyp.
Zugriff auf den Proxy für nutzerverwaltete Notebooks von einer Workstation ohne Internet
Um von einer Workstation mit eingeschränktem Internetzugriff auf nutzerverwaltete Notebookinstanzen zuzugreifen, wenden Sie sich an Ihren IT-Administrator, damit Sie auf die folgenden Domains zugreifen können:
*.accounts.google.com
*.accounts.youtube.com
*.googleusercontent.com
*.kernels.googleusercontent.com
*.gstatic.com
*.notebooks.cloud.google.com
*.notebooks.googleapis.com
Für die Authentifizierung bei Google Cloud benötigen Sie Zugriff auf diese Domains. Weitere Konfigurationsinformationen finden Sie im vorherigen Abschnitt DNS-Einträge mit Cloud DNS konfigurieren.