Utilizzo di un'istanza di blocchi note gestiti dall'utente all'interno di un perimetro di servizio
In questa pagina viene descritto come utilizzare i Controlli di servizio VPC per configurare per un'istanza di blocchi note gestiti dall'utente all'interno di un perimetro di servizio.
Prima di iniziare
Leggi la Panoramica di Controlli di servizio VPC.
Creazione di blocchi note gestiti dall'utente in esecuzione. Questa istanza non è all'interno di un servizio perimetrale.
Crea un perimetro di servizio utilizzando Controlli di servizio VPC. Questo perimetro di servizio protegge le risorse dei servizi gestite da Google da te specificati. Durante la creazione del perimetro di servizio, segui questi passaggi:
Quando è il momento di aggiungere progetti al perimetro di servizio, aggiungi contenente l'istanza di blocchi note gestiti dall'utente.
Quando è il momento di aggiungere servizi al perimetro di servizio, aggiungi API Notebooks.
Se hai creato il perimetro di servizio senza aggiungere ai progetti e ai servizi necessari, consulta Gestione del servizio perimetri per scoprire come aggiornare il perimetro di servizio.
Configura le voci DNS utilizzando Cloud DNS
Le istanze di blocchi note gestiti dall'utente di Vertex AI Workbench utilizzano diversi domini che La rete Virtual Private Cloud non gestisce per impostazione predefinita. Per assicurarti che la tua rete VPC gestisca correttamente le richieste inviate a questi domini, usa Cloud DNS per aggiungere i record DNS. Per ulteriori informazioni per informazioni sulle route VPC, consulta Route.
Per creare una zona gestita per
un dominio, aggiungere una voce DNS che instrada la richiesta ed eseguire
la transazione, completa i seguenti passaggi.
Ripeti questi passaggi per
domini per cui devi gestire le richieste, iniziando
con *.notebooks.googleapis.com.
In Cloud Shell o in qualsiasi ambiente in cui Google Cloud CLI inserisci i seguenti comandi Google Cloud CLI.
-
Per creare una zona gestita privata per uno dei domini La rete VPC deve gestire:
gcloud dns managed-zones create ZONE_NAME \ --visibility=private \ --networks=https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME \ --dns-name=DNS_NAME \ --description="Description of your managed zone"Sostituisci quanto segue:
-
ZONE_NAME: un nome per la zona da creare. Devi utilizzare una zona separata per ciascun dominio. Questo nome di zona è utilizzato in ognuno dei seguenti passaggi. -
PROJECT_ID: l'ID del progetto che ospita il tuo Rete VPC -
NETWORK_NAME: il nome del VPC che hai creato in precedenza -
DNS_NAME: la parte del nome di dominio che corrisponde dopo il giorno*., con un punto alla fine. Ad esempio,*.notebooks.googleapis.comha unDNS_NAMEdinotebooks.googleapis.com.
-
-
Avvia una transazione.
gcloud dns record-sets transaction start --zone=ZONE_NAME -
Aggiungi il seguente record A DNS. Questo reindirizza il traffico a Indirizzi IP limitati di Google.
gcloud dns record-sets transaction add \ --name=DNS_NAME. \ --type=A 199.36.153.4 199.36.153.5 199.36.153.6 199.36.153.7 \ --zone=ZONE_NAME \ --ttl=300 -
Aggiungi il seguente record DNS CNAME in modo che punti al record A che hai appena aggiunto. Questa operazione reindirizza tutto il traffico corrispondente dominio agli indirizzi IP elencati nel passaggio precedente.
gcloud dns record-sets transaction add \ --name=\*.DNS_NAME. \ --type=CNAME DNS_NAME. \ --zone=ZONE_NAME \ --ttl=300 -
Esegui la transazione.
gcloud dns record-sets transaction execute --zone=ZONE_NAME -
Ripeti questi passaggi per ciascuno dei seguenti domini. Per ogni ripetizione, modifica ZONE_NAME e DNS_NAME ai valori appropriati dominio. Mantieni PROJECT_ID e NETWORK_NAME sempre lo stesso. Hai già completato questi passaggi per
*.notebooks.googleapis.com.*.notebooks.googleapis.com*.notebooks.cloud.google.com*.notebooks.googleusercontent.com*.googleapis.comper eseguire codice che interagisce con altre API di Google e servizi
configura il perimetro di servizio
Dopo aver configurato i record DNS, crea un servizio perimetro o aggiorna un modello esistente perimetro per aggiungere il tuo progetto al perimetro di servizio.
Nella rete VPC, aggiungi una route per l'intervallo 199.36.153.4/30 con un
hop successivo di Default internet gateway.
Utilizza Artifact Registry all'interno del tuo perimetro di servizio
Se vuoi utilizzare Artifact Registry nel tuo perimetro di servizio, consulta Configurare l'accesso limitato per GKE cluster privati.
Usa VPC condiviso
Se utilizzi un VPC condiviso,
devi aggiungere al servizio i progetti host e di servizio
perimetrale. Nel progetto host, devi anche concedere
Ruolo Utente di rete Compute
(roles/compute.networkUser) al servizio Notebooks
Agente
del progetto di servizio. Per ulteriori informazioni, vedi Gestione
perimetri di servizio.
Accedi all'istanza di blocchi note gestiti dall'utente
Segui la procedura per aprire un un blocco note personalizzato.
Limitazioni
Tipo di identità per i criteri di traffico in entrata e in uscita
Quando specifichi un criterio in entrata o in uscita per un perimetro di servizio,
non puoi usare ANY_SERVICE_ACCOUNT
o ANY_USER_ACCOUNT come tipo di identità per
tutti i prodotti Vertex AI Workbench
operations.
Utilizza invece ANY_IDENTITY come tipo di identità.
Accesso al proxy dei blocchi note gestiti dall'utente da una workstation senza internet
Per accedere alle istanze di blocchi note gestiti dall'utente da una workstation con accesso limitato a internet, verifica con il tuo amministratore IT che puoi accedere ai seguenti domini:
*.accounts.google.com*.accounts.youtube.com*.googleusercontent.com*.kernels.googleusercontent.com*.gstatic.com*.notebooks.cloud.google.com*.notebooks.googleapis.com
Devi avere accesso a questi domini per eseguire l'autenticazione in Google Cloud. Vedi la sezione precedente, Configura le voci DNS utilizzando Cloud DNS, per ulteriori informazioni sulla configurazione.
Passaggi successivi
- Installa le dipendenze sul tuo nuovo di blocchi note gestiti dall'utente.