Utilizzo di Controlli di servizio VPC con la previsione online

I Controlli di servizio VPC ti aiutano a mitigare il risico di esfiltrazione di dati da AI Platform Prediction. Controlli di servizio VPC garantisce che i tuoi dati non escano da un perimetro di servizio quando esegui le seguenti operazioni:

  • Crea modelli e versioni di modelli all'interno di un progetto all'interno del perimetro.
  • Invia richieste di previsione a queste risorse.

Previsione batch e Spiegazioni AI non sono supportate da Controlli di servizio VPC e, se segui questa guida per configurare un perimetro di servizio, non potrai utilizzare la previsione batch o le AI Explanations in nessun progetto Google Cloud all'interno di quel perimetro.

Creazione di un perimetro di servizio

Segui la guida ai Controlli di servizio VPC per creare un perimetro di servizio. Quando specifichi i servizi da limitare, assicurati di limitare tutti i seguenti servizi:

  • API AI Platform Training & Prediction (ml.googleapis.com)
  • API Pub/Sub (pubsub.googleapis.com)
  • API Cloud Storage (storage.googleapis.com)
  • API Google Kubernetes Engine (container.googleapis.com)
  • API Container Registry (containerregistry.googleapis.com)
  • API Cloud Logging (logging.googleapis.com)

Il perimetro di servizio deve limitare tutti questi servizi affinché AI Platform Training e AI Platform Prediction funzionino correttamente con i Controlli di servizio VPC.

Limitazioni

Dopo aver creato un perimetro di servizio e avervi aggiunto il tuo progetto Google Cloud, puoi utilizzare AI Platform Prediction senza alcuna configurazione aggiuntiva. Tuttavia, si applicano le seguenti limitazioni:

  • Non puoi utilizzare le previsioni in batch.

  • Non puoi utilizzare AI Explanations.

  • Ti consigliamo di creare un nuovo progetto Google Cloud per configurare l'integrazione con i Controlli di servizio VPC. Se invece configuri un perimetro di servizio per un progetto che contiene già risorse di AI Platform Prediction, devi tenere conto del seguente vincolo:

    Se hai creato modelli nel progetto prima di aggiungerlo al perimetro di servizio, non potrai più utilizzarli.

    Ad esempio, non puoi creare versioni del modello su modelli creati al di fuori del perimetro. Devi invece creare nuovi modelli all'interno del perimetro, quindi creare versioni dei modelli su questi nuovi modelli.

  • Se rimuovi il progetto dal perimetro di servizio, non puoi aggiornare o eliminare i modelli creati mentre il progetto era nel perimetro.

  • I tipi di macchine legacy (MLS1) non sono disponibili e non puoi utilizzare l'endpoint globale dell'API AI Platform Training and Prediction. Se provi a creare una versione del modello che utilizza un tipo di macchina legacy (MLS1), la creazione della versione non va a buon fine. Per la previsione online devi utilizzare tipi di macchine di Compute Engine (N1) e endpoint a livello di area geografica.

  • Se crei un modello o una versione del modello nei primi minuti dopo la creazione di un perimetro di servizio, l'operazione potrebbe non riuscire. Attendi circa 15 minuti affinché le limitazioni di Controlli di servizio VPC si propaghino a tutti i servizi Google Cloud pertinenti, quindi riprova.

  • Quando ml.googleapis.com è protetto, le versioni del modello non hanno accesso alle risorse al di fuori del perimetro. Possono accedere ai dati di Cloud Storage e ad altri servizi Google Cloud supportati da Controlli di servizio VPC nei progetti all'interno del perimetro, ma se inviano richieste a servizi al di fuori del perimetro, queste richieste non andranno a buon fine.

  • Senza una configurazione aggiuntiva, non puoi utilizzare la console Google Cloud per gestire le risorse di AI Platform Prediction di un progetto all'interno di un perimetro di servizio o per visualizzare i log di accesso e stream. Scopri come accedere alle risorse protette da un perimetro di servizio nella console Google Cloud.

AI Platform Training e AI Platform Vizier

Quando crei un perimetro di servizio che protegge l'API AI Platform Training e Prediction, Controlli di servizio VPC protegge sia AI Platform Training sia AI Platform Prediction. Scopri come utilizzare i Controlli di servizio VPC con la formazione di AI Platform.

AI Platform Vizier, che utilizza anche l'API AI Platform Training e Prediction, al momento non supporta completamente i Controlli di servizio VPC. Tuttavia, Vizier di AI Platform rimane abilitato quando configuri un perimetro di servizio per proteggere l'API AI Platform Training e Prediction.

Passaggi successivi