Gunakan instance notebook yang dikelola pengguna dalam perimeter layanan
Halaman ini menjelaskan cara menggunakan Kontrol Layanan VPC untuk menyiapkan instance notebook yang dikelola pengguna dalam perimeter layanan.
Sebelum memulai
Membuat instance notebook yang dikelola pengguna. Instance ini belum berada dalam perimeter layanan.
Buat perimeter layanan menggunakan Kontrol Layanan VPC. Perimeter layanan ini melindungi resource layanan yang dikelola Google yang Anda tentukan. Saat membuat perimeter layanan, lakukan hal berikut:
Saat tiba waktunya menambahkan project ke perimeter layanan Anda, tambahkan project yang berisi instance notebook yang dikelola pengguna.
Saat tiba waktunya menambahkan layanan ke perimeter layanan Anda, tambahkan Notebooks API.
Jika Anda telah membuat perimeter layanan tanpa menambahkan project dan layanan yang Anda butuhkan, lihat Mengelola perimeter layanan untuk mempelajari cara mengupdate perimeter layanan.
Mengonfigurasi entri DNS Anda menggunakan Cloud DNS
Instance notebook yang dikelola pengguna pada Vertex AI Workbench menggunakan beberapa domain yang tidak ditangani oleh jaringan Virtual Private Cloud secara default. Untuk memastikan bahwa jaringan VPC Anda menangani permintaan yang dikirim ke domain tersebut dengan benar, gunakan Cloud DNS untuk menambahkan data DNS. Untuk mengetahui informasi selengkapnya tentang rute VPC, lihat Ringkasan rute.
Guna membuat zona terkelola untuk
sebuah domain, tambahkan entri DNS yang akan mengarahkan permintaan, lalu menjalankan
transaksi, selesaikan langkah-langkah berikut.
Ulangi langkah-langkah berikut untuk masing-masing kelompok
domain yang permintaannya perlu Anda tangani, dimulai
dengan *.notebooks.googleapis.com
.
Di Cloud Shell atau lingkungan mana pun tempat Google Cloud CLI diinstal, masukkan perintah Google Cloud CLI berikut.
-
Untuk membuat zona terkelola pribadi bagi salah satu domain yang perlu ditangani oleh jaringan VPC Anda:
gcloud dns managed-zones create ZONE_NAME \ --visibility=private \ --networks=https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME \ --dns-name=DNS_NAME \ --description="Description of your managed zone"
Ganti kode berikut:
-
ZONE_NAME
: nama untuk zona yang akan dibuat. Anda harus menggunakan zona terpisah untuk setiap domain. Nama zona ini digunakan di setiap langkah berikut. -
PROJECT_ID
: ID project yang menghosting jaringan VPC Anda -
NETWORK_NAME
: nama jaringan VPC yang Anda buat sebelumnya -
DNS_NAME
: bagian dari nama domain yang muncul setelah*.
, dengan titik di akhir. Misalnya,*.notebooks.googleapis.com
memilikiDNS_NAME
darinotebooks.googleapis.com.
-
-
Mulai transaksi.
gcloud dns record-sets transaction start --zone=ZONE_NAME
-
Tambahkan data A DNS berikut. Tindakan ini akan mengalihkan traffic ke alamat IP yang dibatasi Google.
gcloud dns record-sets transaction add \ --name=DNS_NAME. \ --type=A 199.36.153.4 199.36.153.5 199.36.153.6 199.36.153.7 \ --zone=ZONE_NAME \ --ttl=300
-
Tambahkan data DNS CNAME berikut untuk mengarah ke data A yang baru saja Anda tambahkan. Tindakan ini akan mengalihkan semua traffic yang cocok dengan domain tersebut ke alamat IP yang tercantum dalam langkah sebelumnya.
gcloud dns record-sets transaction add \ --name=\*.DNS_NAME. \ --type=CNAME DNS_NAME. \ --zone=ZONE_NAME \ --ttl=300
-
Jalankan transaksi.
gcloud dns record-sets transaction execute --zone=ZONE_NAME
-
Ulangi langkah ini untuk setiap domain berikut. Untuk setiap pengulangan, ubah ZONE_NAME dan DNS_NAME ke nilai yang sesuai untuk domain tersebut. Buat PROJECT_ID dan NETWORK_NAME tetap sama setiap saat. Anda telah menyelesaikan langkah-langkah tersebut untuk
*.notebooks.googleapis.com
.*.notebooks.googleapis.com
*.notebooks.cloud.google.com
*.notebooks.googleusercontent.com
*.googleapis.com
untuk menjalankan kode yang berinteraksi dengan layanan dan API Google lainnya
Mengonfigurasi perimeter layanan
Setelah mengonfigurasi catatan DNS, Anda dapat membuat perimeter layanan atau memperbarui perimeter yang ada untuk menambahkan project Anda ke perimeter layanan.
Di jaringan VPC, tambahkan rute untuk rentang 199.36.153.4/30
dengan hop berikutnya sebesar Default internet gateway
.
Gunakan Artifact Registry dalam perimeter layanan Anda
Jika Anda ingin menggunakan Artifact Registry di perimeter layanan, lihat Mengonfigurasi akses terbatas untuk cluster pribadi GKE.
Menggunakan VPC Bersama
Jika menggunakan VPC Bersama,
Anda harus menambahkan host dan project layanan ke perimeter
layanan. Dalam project host, Anda juga harus memberikan
Peran Pengguna Jaringan Compute
(roles/compute.networkUser
) ke Agen Layanan
Notebooks
dari project layanan. Untuk mengetahui informasi selengkapnya, lihat Mengelola perimeter layanan.
Mengakses instance notebook yang dikelola pengguna
Ikuti langkah-langkah untuk membuka notebook.
Batasan
Jenis identitas untuk kebijakan masuk dan keluar
Saat menentukan kebijakan traffic masuk atau keluar untuk perimeter layanan,
Anda tidak dapat menggunakan ANY_SERVICE_ACCOUNT
atau ANY_USER_ACCOUNT
sebagai jenis identitas untuk
semua operasi Vertex AI
Workbench.
Sebagai gantinya, gunakan ANY_IDENTITY
sebagai jenis identitas.
Mengakses proxy notebook yang dikelola pengguna dari workstation tanpa internet
Untuk mengakses instance notebook yang dikelola pengguna dari workstation dengan akses internet terbatas, verifikasi dengan admin IT bahwa Anda dapat mengakses domain berikut:
*.accounts.google.com
*.accounts.youtube.com
*.googleusercontent.com
*.kernels.googleusercontent.com
*.gstatic.com
*.notebooks.cloud.google.com
*.notebooks.googleapis.com
Anda harus memiliki akses ke domain ini untuk autentikasi ke Google Cloud. Lihat bagian sebelumnya, Mengonfigurasi entri DNS menggunakan Cloud DNS, untuk informasi konfigurasi lebih lanjut.
Langkah selanjutnya
- Instal dependensi pada instance notebook yang dikelola pengguna baru Anda.