Diese Seite wurde von der Cloud Translation API übersetzt.

Projekt für Vertex AI einrichten

Auf dieser Seite erfahren Sie, wie Sie ein Projekt einrichten, um Vertex AI-Dienste in Google Distributed Cloud (GDC) ohne Internetverbindung auszuführen. Darin finden Sie Schritte zum Konfigurieren Ihrer Entwicklungsumgebung mit der gdcloud-Befehlszeile, der Zertifizierungsstelle (CA) des Trust-Bundles und Ihren Dienstkonten, damit Sie mit der Integration von maschinellem Lernen in Ihre Anwendungen und Workflows beginnen können.

Diese Seite richtet sich an Anwendungsentwickler in Anwendungsbetreibergruppen, die für die Optimierung von Air-Gap-Anwendungen und ‑Workflows mit KI-Funktionen verantwortlich sind. Weitere Informationen finden Sie unter Zielgruppen für die GDC-Dokumentation für Air-Gap-Umgebungen.

Bitten Sie einen Administrator, ein Projekt für Sie einzurichten.

Für die meisten Aufgaben zum Einrichten eines Projekts ist Administratorzugriff auf die Plattform erforderlich. Ein Administrator muss einen aussagekräftigen Projektnamen und eine Projekt-ID festlegen, um das Projekt zu identifizieren. Wenn Sie Teil einer Organisation sind oder mehrere Projekte erstellen möchten, sollten Sie sich überlegen, welche Namenskonventionen und Entitäten in Distributed Cloud erkannt werden. Weitere Informationen finden Sie unter Ressourcenhierarchie.

Wenn Sie nicht über die erforderlichen Berechtigungen verfügen, bitten Sie Ihren Administrator, das Projekt für Sie einzurichten.

Richten Sie ein Projekt ein, indem Sie der Anleitung in diesem Dokument folgen.

Hinweise

Bitten Sie Ihren IAM-Administrator der Organisation oder des Projekts, Ihnen die folgenden Rollen in Ihrem Projekt-Namespace zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Erstellen eines Projekts und zum Konfigurieren von Dienstkonten benötigen:

Um ein Projekt zu erstellen, benötigen Sie die Rolle „Projektersteller“ (project-creator).
Um Dienstkonten zu erstellen, benötigen Sie die Rolle „Projekt-IAM-Administrator“ (project-iam-admin).

Informationen zu diesen Rollen finden Sie unter IAM-Berechtigungen vorbereiten. Informationen zum Zuweisen von Berechtigungen zu einem Subjekt finden Sie unter Zugriff gewähren und widerrufen.

Erstellen Sie dann ein Projekt, um Ihre Vertex AI-Dienste zu gruppieren. Prüfen Sie, ob die Abrechnung für Ihr Distributed Cloud-Projekt aktiviert ist.

gcloud CLI installieren

Wenn Sie Distributed Cloud-Dienste aktivieren und auf Tools und Komponenten zugreifen möchten, installieren Sie die gdcloud CLI.

So installieren Sie die gcloud CLI und verwalten die erforderlichen Komponenten:

Laden Sie die gcloud CLI herunter.
Initialisieren Sie die gcloud CLI:
```
gdcloud init
```
Weitere Informationen finden Sie unter gcloud CLI installieren.
Installieren Sie die erforderlichen Komponenten:
```
gdcloud components install COMPONENT_ID
```
Ersetzen Sie COMPONENT_ID durch den Namen der Komponente, die Sie installieren möchten.

Weitere Informationen finden Sie unter Komponenten der gcloud CLI verwalten.
Authentifizieren Sie sich mit der gdcloud CLI:
```
gdcloud auth login
```
Weitere Informationen zur Authentifizierung mit Ihrem konfigurierten Identitätsanbieter und zum Abrufen einer kubeconfig-Datei für Ihre Nutzeridentität und Ihren Kubernetes-Cluster finden Sie unter gcloud CLI-Authentifizierung.

Dienstkonten einrichten

Dienstkonten, auch als Dienstidentitäten bezeichnet, spielen eine entscheidende Rolle bei der Verwaltung Ihrer Vertex AI-Dienste. Das sind die Konten, die Ihre Arbeitslasten verwenden, um auf Vertex AI-Dienste und KI-Modelle zuzugreifen und autorisierte API-Aufrufe programmatisch auszuführen. Dienstkonten können beispielsweise Ihr Vertex AI Workbench-Notebook verwalten, um Audiodateien mit der Speech-to-Text API zu transkribieren. Ähnlich wie bei einem Nutzerkonto können Dienstkonten Berechtigungen und Rollen zugewiesen werden, wodurch eine sichere und kontrollierte Umgebung entsteht. Sie können sich jedoch nicht wie ein menschlicher Nutzer anmelden.

Sie können Dienstkonten für Vertex AI-Dienste einrichten, indem Sie den Namen Ihres Dienstkontos, Ihre Projekt-ID und den Namen einer JSON-Datei für Schlüsselpaare angeben.

Weitere Informationen zum Erstellen eines Dienstkontos, zum Zuweisen von Rollenbindungen und zum Erstellen und Hinzufügen von Schlüsselpaaren finden Sie unter Dienstkonten verwalten.

So richten Sie Dienstkonten mit der gcloud CLI ein:

Erstellen Sie ein Dienstkonto:
```
gdcloud iam service-accounts create SERVICE_ACCOUNT --project=PROJECT_ID
```
Ersetzen Sie Folgendes:
- SERVICE_ACCOUNT ist der Name des Dienstkontos. Der Name muss innerhalb des Projektnamespace eindeutig sein.
- PROJECT_ID: die Projekt-ID, unter der Sie das Dienstkonto erstellen möchten. Wenn gdcloud init bereits festgelegt ist, können Sie das Flag --project weglassen.
Erstellen Sie die JSON-Datei für die Standardanmeldedaten der Anwendung und die Paare aus öffentlichen und privaten Schlüsseln:
```
gdcloud iam service-accounts keys create APPLICATION_DEFAULT_CREDENTIALS_FILENAME \
    --project=PROJECT_ID \
    --iam-account=SERVICE_ACCOUNT \
    --ca-cert-path=CA_CERTIFICATE_PATH
```
Ersetzen Sie Folgendes:
- APPLICATION_DEFAULT_CREDENTIALS_FILENAME: Der Name der JSON-Datei, z. B. my-service-key.json.
- PROJECT_ID: Das Projekt, für das der Schlüssel erstellt werden soll.
- SERVICE_ACCOUNT: Der Name des Dienstkontos, für das der Schlüssel hinzugefügt werden soll.
- CA_CERTIFICATE_PATH: Ein optionales Flag für den Pfad zum Zertifikat der Zertifizierungsstelle (Certificate Authority, CA), mit dem der Authentifizierungsendpunkt überprüft wird. Wenn Sie diesen Pfad nicht angeben, werden die System-CA-Zertifikate verwendet. Sie müssen die CA in den System-CA-Zertifikaten installieren.
Distributed Cloud fügt den öffentlichen Schlüssel den Dienstkontoschlüsseln hinzu, die Sie zum Überprüfen der JSON-Webtokens (JWTs) verwenden, die mit dem privaten Schlüssel signiert werden. Der private Schlüssel wird in die JSON-Datei mit den Standardanmeldedaten der Anwendung geschrieben.
Gewähren Sie dem Dienstkonto Zugriff auf Projektressourcen, indem Sie eine Rollenbindung zuweisen. Der Name der Rolle hängt vom Vertex AI-Dienst ab, für den Sie das Dienstkonto verwenden möchten.
```
gdcloud iam service-accounts add-iam-policy-binding \
    --project=PROJECT_ID \
    --iam-account=SERVICE_ACCOUNT \
    --role=ROLE
```
Ersetzen Sie Folgendes:
- PROJECT_ID: Das Projekt, in dem die Rollenbindung erstellt werden soll.
- SERVICE_ACCOUNT: der Name des zu verwendenden Dienstkontos.
- ROLE: Die vordefinierte Rolle, die dem Dienstkonto zugewiesen werden soll. Geben Sie Rollen im Format Role/name an, wobei Role der Kubernetes-Typ ist, z. B. Role oder ProjectRole, und name der Kubernetes-Ressourcenname der vordefinierten Rolle. Beispiele für Rollen, die Sie Dienstkonten zuweisen können, um einige der vortrainierten Vertex AI-APIs zu verwenden:
  - Um die Rolle „AI OCR Developer“ (ai-ocr-developer) zuzuweisen, legen Sie die Rolle auf Role/ai-ocr-developer fest.
  - Um die Rolle „AI Speech Developer“ (ai-speech-developer) zuzuweisen, legen Sie die Rolle auf Role/ai-speech-developer fest.
  - Wenn Sie die Rolle „AI Translation Developer“ (ai-translation-developer) zuweisen möchten, legen Sie die Rolle auf Role/ai-translation-developer fest.
  Hinweis :Weitere Informationen zu vordefinierten Rollen und den Namen, die Sie je nach dem Vertex AI-Dienst oder -Modell, das Sie verwenden möchten, zuweisen müssen, finden Sie unter IAM-Berechtigungen vorbereiten.