Esta página se ha traducido con Cloud Translation API.

Configurar un proyecto para Vertex AI

En esta página se explica cómo configurar un proyecto para ejecutar servicios de Vertex AI en un entorno aislado de Google Distributed Cloud (GDC). Incluye los pasos para configurar tu entorno de desarrollo con la CLI de gdcloud, la autoridad de certificación (CA) del paquete de confianza y tus cuentas de servicio, de modo que puedas empezar a integrar el aprendizaje automático en tus aplicaciones y flujos de trabajo.

Esta página está dirigida a los desarrolladores de aplicaciones que forman parte de grupos de operadores de aplicaciones y que se encargan de optimizar aplicaciones y flujos de trabajo aislados con funciones de IA. Para obtener más información, consulta Audiencias de la documentación de GDC air-gapped.

Pedir a un administrador que configure un proyecto

Para llevar a cabo la mayoría de las tareas de configuración de un proyecto, se necesita acceso de administrador de la plataforma. Un administrador debe determinar un nombre y un ID de proyecto significativos para identificar el proyecto. Si formas parte de una organización o tienes previsto crear varios proyectos, ten en cuenta qué convenciones de nomenclatura y entidades se reconocen en Distributed Cloud. Para obtener más información, consulta Jerarquía de recursos.

Si no tienes los permisos necesarios, pide a tu administrador que configure el proyecto por ti.

Configura un proyecto siguiendo las instrucciones de este documento.

Antes de empezar

Para obtener los permisos que necesitas para crear un proyecto y configurar cuentas de servicio, pide al administrador de gestión de identidades y accesos de tu organización o proyecto que te conceda los siguientes roles en el espacio de nombres de tu proyecto:

Para crear un proyecto, obtén el rol de creador de proyectos (project-creator).
Para crear cuentas de servicio, obtén el rol Administrador de gestión de identidades y accesos de proyectos (project-iam-admin).

Para obtener información sobre estos roles, consulta Preparar permisos de gestión de identidades y accesos. Para saber cómo conceder permisos a un sujeto, consulta Conceder y revocar el acceso.

A continuación, crea un proyecto para agrupar tus servicios de Vertex AI. Asegúrate de que la facturación esté habilitada en tu proyecto de Distributed Cloud.

Instalar la CLI de gdcloud

Para activar los servicios de Distributed Cloud y acceder a herramientas y componentes, instala la CLI de gdcloud.

Sigue estos pasos para instalar la CLI de gdcloud y gestionar los componentes necesarios:

Descarga la CLI de gdcloud.
Inicializa la CLI de gdcloud:
```
gdcloud init
```
Para obtener más información, consulta Instalar la CLI de gdcloud.
Instala los componentes necesarios:
```
gdcloud components install COMPONENT_ID
```
Sustituye COMPONENT_ID por el nombre del componente que quieras instalar.

Para obtener más información, consulta Gestionar componentes de la CLI de gdcloud.
Autentícate con la CLI de gdcloud:
```
gdcloud auth login
```
Para obtener más información sobre cómo autenticarte con tu proveedor de identidades configurado y obtener un archivo kubeconfig para tu identidad de usuario y tu clúster de Kubernetes, consulta la autenticación de la CLI de gdcloud.

Configurar cuentas de servicio

Las cuentas de servicio, también denominadas identidades de servicio, desempeñan un papel fundamental en la gestión de tus servicios de Vertex AI. Son las cuentas que usan tus cargas de trabajo para acceder a los servicios y modelos de IA de Vertex AI, así como para hacer llamadas a APIs autorizadas de forma programática. Por ejemplo, las cuentas de servicio pueden gestionar tu cuaderno de Vertex AI Workbench para transcribir archivos de audio mediante la API Speech-to-Text. Al igual que las cuentas de usuario, las cuentas de servicio pueden tener permisos y roles, lo que proporciona un entorno seguro y controlado, pero no pueden iniciar sesión como un usuario humano.

Puedes configurar cuentas de servicio para los servicios de Vertex AI especificando el nombre de tu cuenta de servicio, tu ID de proyecto y el nombre de un archivo JSON para los pares de claves.

Para obtener más información sobre cómo crear una cuenta de servicio, asignarle enlaces de roles y crear y añadir pares de claves, consulta Gestionar cuentas de servicio.

Sigue estos pasos para configurar cuentas de servicio con la CLI de gdcloud:

Crea una cuenta de servicio:
```
gdcloud iam service-accounts create SERVICE_ACCOUNT --project=PROJECT_ID
```
Haz los cambios siguientes:
- SERVICE_ACCOUNT: el nombre de la cuenta de servicio. El nombre debe ser único en el espacio de nombres del proyecto.
- PROJECT_ID: el ID del proyecto en el que quieres crear la cuenta de servicio. Si gdcloud init ya está configurado, puedes omitir la marca --project.
Crea el archivo JSON de credenciales predeterminadas de la aplicación y los pares de claves pública y privada:
```
gdcloud iam service-accounts keys create APPLICATION_DEFAULT_CREDENTIALS_FILENAME \
    --project=PROJECT_ID \
    --iam-account=SERVICE_ACCOUNT \
    --ca-cert-path=CA_CERTIFICATE_PATH
```
Haz los cambios siguientes:
- APPLICATION_DEFAULT_CREDENTIALS_FILENAME: el nombre del archivo JSON, como my-service-key.json.
- PROJECT_ID: el proyecto para el que se va a crear la clave.
- SERVICE_ACCOUNT: el nombre de la cuenta de servicio a la que se va a añadir la clave.
- CA_CERTIFICATE_PATH: una marca opcional para la ruta al certificado de la autoridad de certificación (CA) que verifica el endpoint de autenticación. Si no especifica esta ruta, se usarán los certificados de CA del sistema. Debes instalar la CA en los certificados de CA del sistema.
Distributed Cloud añade la clave pública a las claves de la cuenta de servicio que usas para verificar los tokens web JSON (JWT) que firma la clave privada. La clave privada se escribe en el archivo JSON de las credenciales predeterminadas de la aplicación.
Concede a la cuenta de servicio acceso a los recursos del proyecto asignando un enlace de rol. El nombre del rol depende del servicio de Vertex AI para el que quieras usar la cuenta de servicio.
```
gdcloud iam service-accounts add-iam-policy-binding \
    --project=PROJECT_ID \
    --iam-account=SERVICE_ACCOUNT \
    --role=ROLE
```
Haz los cambios siguientes:
- PROJECT_ID: el proyecto en el que se va a crear la vinculación de roles.
- SERVICE_ACCOUNT: el nombre de la cuenta de servicio que se va a usar.
- ROLE: el rol predefinido que se asignará a la cuenta de servicio. Especifica los roles en el formato Role/name, donde Role es el tipo de Kubernetes, como Role o ProjectRole, y name es el nombre del recurso de Kubernetes del rol predefinido. Por ejemplo, estos son algunos de los roles que puedes asignar a cuentas de servicio para usar algunas de las APIs preentrenadas de Vertex AI:
  - Para asignar el rol Desarrollador de OCR con IA (ai-ocr-developer), define el rol como Role/ai-ocr-developer.
  - Para asignar el rol de desarrollador de voz de IA (ai-speech-developer), selecciona Role/ai-speech-developer.
  - Para asignar el rol de desarrollador de traducción con IA (ai-translation-developer), selecciona Role/ai-translation-developer.
  Nota: Para obtener más información sobre los roles predefinidos y los nombres que debes asignar en función del servicio o modelo de Vertex AI que quieras usar, consulta Preparar permisos de gestión de identidades y accesos.