Utiliser une instance de notebooks gérés par l'utilisateur dans un périmètre de service

Cette page explique comment utiliser VPC Service Controls pour configurer une instance de notebooks gérés par l'utilisateur dans un périmètre de service.

Avant de commencer

1. Consultez la présentation de VPC Service Controls.

2. Créer une instance de notebooks gérés par l'utilisateur. Cette instance ne fait pas encore partie d'un périmètre de service.

3. Créez un périmètre de service à l'aide de VPC Service Controls. Ce périmètre de service protège les ressources de services gérées par Google que vous spécifiez. Lors de la création du périmètre de service, procédez comme suit :

   1. Au moment de l'ajout des projets au périmètre de service, ajoutez le projet qui contient votre instance de notebooks gérés par l'utilisateur.

   2. Au moment de l'ajout des services au périmètre de service, ajoutez l'API Notebooks.

   Si vous avez créé le périmètre de service sans ajouter les projets et services nécessaires, consultez la section Gérer les périmètres de service et mettez le périmètre de service à jour.

Configurer les entrées DNS à l'aide de Cloud DNS

Les instances de notebooks Vertex AI Workbench gérés par l'utilisateur utilisent plusieurs domaines qu'un réseau cloud privé virtuel ne gère pas par défaut. À l'aide de Cloud DNS, ajoutez des enregistrements DNS pour faire en sorte que votre réseau VPC gère correctement les requêtes envoyées à ces domaines. Pour en savoir plus sur les routes VPC, consultez Routes.

Pour créer une zone gérée pour un domaine, ajouter une entrée DNS qui acheminera la requête, et exécuter la transaction, procédez comme suit : Répétez ces étapes pour chacun des différents domaines devant être capable de gérer les requêtes, en commençant par *.notebooks.googleapis.com.

Dans Cloud Shell ou dans tout environnement dans lequel Google Cloud CLI est installé, saisissez les commandes suivantes de Google Cloud CLI.

1. Créez une zone gérée privée pour l'un des domaines que votre réseau VPC doit gérer :

       gcloud dns managed-zones create ZONE_NAME \
           --visibility=private \
           --networks=https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME \
           --dns-name=DNS_NAME \
           --description="Description of your managed zone"
       

   Remplacez les éléments suivants :

   • ZONE_NAME : nom de la zone à créer. Vous devez utiliser une zone distincte pour chaque domaine. Cette zone est utilisée dans chacune des étapes suivantes.
   • PROJECT_ID : ID du projet hébergeant votre réseau VPC.
   • NETWORK_NAME : nom du réseau VPC que vous avez créé précédemment.
   • DNS_NAME : partie du nom de domaine qui suit *., avec un point à la fin. Par exemple, le DNS_NAME de *.notebooks.googleapis.com est notebooks.googleapis.com.

2. Lancez une transaction.

       gcloud dns record-sets transaction start --zone=ZONE_NAME
       

3. Ajoutez l'enregistrement DNS A suivant afin de rediriger le trafic vers les adresses IP restreintes de Google.

       gcloud dns record-sets transaction add \
           --name=DNS_NAME. \
           --type=A 199.36.153.4 199.36.153.5 199.36.153.6 199.36.153.7 \
           --zone=ZONE_NAME \
           --ttl=300
       

4. Ajoutez l'enregistrement DNS CNAME suivant pour pointer vers l'enregistrement A que vous venez d'ajouter. Ainsi, tout le trafic correspondant au domaine est redirigé vers les adresses IP mentionnées à l'étape précédente.

       gcloud dns record-sets transaction add \
           --name=\*.DNS_NAME. \
           --type=CNAME DNS_NAME. \
           --zone=ZONE_NAME \
           --ttl=300
       

5. Exécutez la transaction.

       gcloud dns record-sets transaction execute --zone=ZONE_NAME
       

6. Répétez ces étapes pour chacun des domaines suivants. À chaque fois, remplacez ZONE_NAME et DNS_NAME par les valeurs appropriées pour le domaine. Les valeurs de PROJECT_ID et NETWORK_NAME doivent rester inchangées. N'oubliez pas que vous avez déjà effectué la configuration pour *.notebooks.googleapis.com.

   • *.notebooks.googleapis.com
   • *.notebooks.cloud.google.com
   • *.notebooks.googleusercontent.com
   • *.googleapis.com pour exécuter du code qui interagit avec d'autres API et services Google

Configurer le périmètre de service

Après la configuration des enregistrements DNS, créez un périmètre de service ou mettez à jour un périmètre existant pour ajouter votre projet au périmètre de service.

Dans le réseau VPC, ajoutez une route pour la plage 199.36.153.4/30 avec un prochain saut de Default internet gateway.

Utiliser Artifact Registry dans votre périmètre de service

Si vous souhaitez utiliser Artifact Registry dans votre périmètre de service, consultez Configurer un accès limité pour les clusters privés GKE.

Utiliser un VPC partagé

Si vous utilisez un VPC partagé, vous devez ajouter le projet hôte et les projets de service au périmètre de service. Dans le projet hôte, vous devez également attribuer le rôle Utilisateur de réseau Compute (roles/compute.networkUser) à l'agent de service Notebooks du projet de service. Pour en savoir plus, consultez la page Gérer les périmètres de service.

Accéder à votre instance de notebooks gérés par l'utilisateur

Veuillez suivre la procédure d'ouverture d'un notebook.

Limites

Type d'identité pour les règles d'entrée et de sortie

Lorsque vous spécifiez une règle d'entrée ou de sortie pour un périmètre de service, vous ne pouvez pas utiliser ANY_SERVICE_ACCOUNT ou ANY_USER_ACCOUNT en tant que type d'identité pour toutes les opérations Vertex AI Workbench.

Utilisez plutôt ANY_IDENTITY comme type d'identité.

Accéder au proxy de notebooks gérés par l'utilisateur depuis un poste de travail sans Internet

Pour accéder aux instances de notebooks gérés par l'utilisateur depuis un poste de travail disposant d'un accès Internet limité, vérifiez auprès de votre administrateur informatique que vous pouvez accéder aux domaines suivants :

• *.accounts.google.com
• *.accounts.youtube.com
• *.googleusercontent.com
• *.kernels.googleusercontent.com
• *.gstatic.com
• *.notebooks.cloud.google.com
• *.notebooks.googleapis.com

Vous devez avoir accès à ces domaines pour vous authentifier auprès de Google Cloud. Pour plus d'informations sur la configuration, consultez la section précédente : Configurer vos entrées DNS à l'aide de Cloud DNS.

Étapes suivantes

• Installez des dépendances sur votre nouvelle instance de notebooks gérés par l'utilisateur.