Usa una instancia de notebook administrada por usuario de Vertex AI Workbench dentro de un perímetro de servicio

Usa una instancia de notebooks administrados por el usuario dentro de un perímetro de servicio

En esta página, se describe cómo usar los Controles del servicio de VPC para configurar una instancia de notebooks administrados por el usuario en un perímetro de servicio.

Antes de comenzar

1. Lee la Descripción general de los Controles del servicio de VPC.

2. Crea una instancia de notebooks administrados por el usuario. Esta instancia aún no se encuentra dentro de un perímetro de servicio.

3. Crea un perímetro de servicio mediante los Controles del servicio de VPC. Este perímetro de servicio protege los recursos administrados por Google de los servicios que especifiques. Mientras creas tu perímetro de servicio, haz lo siguiente:

   1. Cuando sea el momento de agregar proyectos al perímetro de servicio, agrega el proyecto que contiene la instancia de notebook administrada por el usuario.

   2. Cuando sea el momento de agregar servicios al perímetro de servicio, agrega la API de Notebooks.

   Si creaste el perímetro de servicio sin agregar los proyectos y los servicios que necesitas, consulta Administra los perímetros de servicio para obtener información sobre cómo actualizar el perímetro de servicio.

Configura tus entradas de DNS con Cloud DNS

Las instancias de notebooks administrados por el usuario de Vertex AI Workbench usan varios dominios que una red de nube privada virtual no controla de forma predeterminada. Para garantizar que la red de VPC maneje de forma correcta las solicitudes enviadas a esos dominios, usa Cloud DNS a fin de agregar registros DNS. Para obtener más información sobre las rutas de VPC, consulta Descripción general de las rutas.

Si deseas crear una zona administrada para un dominio, agregar una entrada de DNS que enrutará la solicitud y ejecutar la transacción, completa los siguientes pasos. Repite estos pasos con cada uno de los diferentes dominios para los que necesitas controlar las solicitudes, partiendo por *.notebooks.googleapis.com.

En Cloud Shell o cualquier entorno en el que esté instalada Google Cloud CLI, ingresa los siguientes comandos de Google Cloud CLI.

1. Crea una zona administrada privada para uno de los dominios que la red de VPC necesita controlar:

       gcloud dns managed-zones create ZONE_NAME \
           --visibility=private \
           --networks=https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME \
           --dns-name=DNS_NAME \
           --description="Description of your managed zone" \
           --target-network=TARGET_NETWORK \
           --target-project=TARGET_PROJECT
       

   Reemplaza lo siguiente:

   • ZONE_NAME: Es un nombre para la zona que se creará. Debes usar una zona separada para cada dominio. Este nombre de zona se usa en cada uno de los siguientes pasos.
   • PROJECT_ID: Es el ID del proyecto que aloja tu red de VPC.
   • NETWORK_NAME: Es el nombre de la red de VPC que creaste antes.
   • DNS_NAME: la parte del nombre de dominio que aparece después de *., con un punto al final. Por ejemplo, *.notebooks.googleapis.com tiene un DNS_NAME de notebooks.googleapis.com..
   • TARGET_NETWORK: Es el ID de la red privada a la que se reenviarán las consultas.
   • TARGET_PROJECT: Es el ID del proyecto de la red privada a la que se reenviarán las consultas.

2. Inicia una transacción.

       gcloud dns record-sets transaction start --zone=ZONE_NAME
       

3. Agrega el siguiente registro A de DNS. De este modo, se redirige el tráfico a las direcciones IP restringidas de Google.

       gcloud dns record-sets transaction add \
           --name=DNS_NAME. \
           --type=A 199.36.153.4 199.36.153.5 199.36.153.6 199.36.153.7 \
           --zone=ZONE_NAME \
           --ttl=300
       

4. Agrega el siguiente registro CNAME de DNS para que apunte al registro A que acabas de agregar. De este modo, se redirecciona todo el tráfico que coincide con el dominio a las direcciones IP enumeradas en el paso anterior.

       gcloud dns record-sets transaction add \
           --name=\*.DNS_NAME. \
           --type=CNAME DNS_NAME. \
           --zone=ZONE_NAME \
           --ttl=300
       

5. Ejecuta la transacción.

       gcloud dns record-sets transaction execute --zone=ZONE_NAME
       

6. Repite estos pasos para cada uno de los siguientes dominios. Para cada repetición, cambia ZONE_NAME y DNS_NAME a los valores adecuados para ese dominio. Mantén PROJECT_ID y NETWORK_NAME igual cada vez. Ya completaste estos pasos para *.notebooks.googleapis.com.

   • *.notebooks.googleapis.com
   • *.notebooks.cloud.google.com
   • *.notebooks.googleusercontent.com

Configurar el perímetro de servicio

Después de configurar los registros DNS, crea un perímetro de servicio o actualiza un perímetro existente para agregar tu proyecto al perímetro de servicio.

Usa Container Registry dentro del perímetro de servicio

Si deseas usar Container Registry dentro del perímetro de servicio, sigue estos pasos para configurar las entradas de DNS y el perímetro de servicio.

Usa la VPC compartida

Si usas una VPC compartida, debes agregar el host y los proyectos de servicio al perímetro de servicio. En el proyecto host, también debes otorgar los permisos de Rol de usuario de la red de Compute (roles/compute.networkUser) al Agente de servicio de Notebooks del proyecto de servicio. Para obtener más información, consulta Administra perímetros de servicio.

Accede a tu instancia de notebooks administrados por el usuario

Sigue los pasos para abrir un notebook.

Limitaciones

Tipo de identidad para las políticas de entrada y salida

Cuando especificas una política de entrada o salida para un perímetro de servicio, no puedes usar ANY_SERVICE_ACCOUNT ni ANY_USER_ACCOUNT como un tipo de identidad para todas las operaciones de Vertex AI Workbench.

En su lugar, usa ANY_IDENTITY como el tipo de identidad.

Accede al proxy de notebooks administrados por el usuario desde una estación de trabajo sin Internet

Para acceder a las instancias de notebooks administrados por el usuario desde una estación de trabajo con acceso limitado a Internet, verifica con tu administrador de TI que puedas acceder a los siguientes dominios:

• *.accounts.google.com
• *.accounts.youtube.com
• *.googleusercontent.com
• *.kernels.googleusercontent.com
• *.gstatic.com
• *.notebooks.cloud.google.com
• *.notebooks.googleapis.com

Debes tener acceso a estos dominios para la autenticación en Google Cloud. Consulta la sección anterior, Configura tus entradas de DNS con Cloud DNS, para obtener más información sobre la configuración.

¿Qué sigue?

• Instala dependencias en tu nueva instancia de notebooks administrados por el usuario.