Cette page a été traduite par l'API Cloud Translation.

Configurer un projet pour Vertex AI

Cette page vous explique comment configurer un projet pour exécuter les services Vertex AI sur Google Distributed Cloud (GDC) air-gapped. Il inclut des étapes pour configurer votre environnement de développement avec la CLI gdcloud, l'autorité de certification (CA) du bundle de confiance et vos comptes de service. Vous pouvez ainsi commencer à intégrer le machine learning à vos applications et workflows.

Cette page s'adresse aux développeurs d'applications appartenant à des groupes d'opérateurs d'applications et chargés d'optimiser les applications et les workflows isolés à l'aide de fonctionnalités d'IA. Pour en savoir plus, consultez la documentation sur les audiences pour GDC en mode air-gapped.

Demander à un administrateur de configurer un projet pour vous

La plupart des tâches de configuration d'un projet nécessitent un accès administrateur à la plate-forme. Un administrateur doit déterminer un nom et un ID de projet explicites pour identifier le projet. Si vous faites partie d'une organisation ou si vous prévoyez de créer plusieurs projets, déterminez les conventions de nommage et les entités reconnues sur Distributed Cloud. Pour plus d'informations, consultez la section Hiérarchie des ressources.

Si vous ne disposez pas des autorisations nécessaires, demandez à votre administrateur de configurer le projet à votre place.

Configurez un projet en suivant les instructions de ce document.

Avant de commencer

Pour obtenir les autorisations nécessaires pour créer un projet et configurer des comptes de service, demandez à votre administrateur IAM de l'organisation ou administrateur IAM du projet de vous accorder les rôles suivants dans l'espace de noms de votre projet :

Pour créer un projet, obtenez le rôle Créateur de projet (project-creator).
Pour créer des comptes de service, obtenez le rôle Administrateur IAM du projet (project-iam-admin).

Pour en savoir plus sur ces rôles, consultez Préparer les autorisations IAM. Pour savoir comment accorder des autorisations à un sujet, consultez Accorder et révoquer des accès.

Ensuite, créez un projet pour regrouper vos services Vertex AI. Vérifiez que la facturation est activée pour votre projet Distributed Cloud.

Installer la CLI gdcloud

Pour activer les services Distributed Cloud et accéder aux outils et composants, installez gdcloud CLI.

Procédez comme suit pour installer la CLI gdcloud et gérer les composants requis :

Téléchargez la gcloud CLI.
Initialisez la gdcloud CLI :
```
gdcloud init
```
Pour en savoir plus, consultez Installer la gdcloud CLI.
Installez les composants requis :
```
gdcloud components install COMPONENT_ID
```
Remplacez COMPONENT_ID par le nom du composant que vous souhaitez installer.

Pour en savoir plus, consultez Gérer les composants de gdcloud CLI.
Authentifiez-vous avec la gcloud CLI :
```
gdcloud auth login
```
Pour savoir comment vous authentifier auprès de votre fournisseur d'identité configuré et obtenir un fichier kubeconfig pour votre identité utilisateur et votre cluster Kubernetes, consultez l'authentification gdcloud CLI.

Configurer des comptes de service

Les comptes de service, également appelés identités de service, jouent un rôle essentiel dans la gestion de vos services Vertex AI. Il s'agit des comptes que vos charges de travail utilisent pour accéder aux services et aux modèles d'IA Vertex AI, et pour effectuer des appels d'API autorisés de manière programmatique. Par exemple, les comptes de service peuvent gérer votre notebook Vertex AI Workbench pour transcrire des fichiers audio à l'aide de l'API Speech-to-Text. Comme un compte utilisateur, les comptes de service peuvent se voir accorder des autorisations et des rôles, ce qui permet de créer un environnement sécurisé et contrôlé. Toutefois, ils ne peuvent pas se connecter comme un utilisateur humain.

Vous pouvez configurer des comptes de service pour les services Vertex AI en spécifiant le nom de votre compte de service, l'ID de votre projet et le nom d'un fichier JSON pour les paires de clés.

Pour savoir comment créer un compte de service, lui attribuer des liaisons de rôle, et créer et ajouter des paires de clés, consultez Gérer les comptes de service.

Pour configurer des comptes de service à l'aide de gcloud CLI, procédez comme suit :

Créez un compte de service :
```
gdcloud iam service-accounts create SERVICE_ACCOUNT --project=PROJECT_ID
```
Remplacez les éléments suivants :
- SERVICE_ACCOUNT : nom du compte de service. Le nom doit être unique dans l'espace de noms du projet.
- PROJECT_ID : ID du projet dans lequel vous souhaitez créer le compte de service. Si gdcloud init est déjà défini, vous pouvez omettre l'option --project.
Créez le fichier JSON des identifiants par défaut de l'application, ainsi que les paires de clés publique et privée :
```
gdcloud iam service-accounts keys create APPLICATION_DEFAULT_CREDENTIALS_FILENAME \
    --project=PROJECT_ID \
    --iam-account=SERVICE_ACCOUNT \
    --ca-cert-path=CA_CERTIFICATE_PATH
```
Remplacez les éléments suivants :
- APPLICATION_DEFAULT_CREDENTIALS_FILENAME : nom du fichier JSON, tel que my-service-key.json.
- PROJECT_ID : projet pour lequel créer la clé.
- SERVICE_ACCOUNT : nom du compte de service pour lequel ajouter la clé.
- CA_CERTIFICATE_PATH : indicateur facultatif pour le chemin d'accès au certificat de l'autorité de certification qui valide le point de terminaison d'authentification. Si vous ne spécifiez pas ce chemin, les certificats de l'autorité de certification du système sont utilisés. Vous devez installer l'autorité de certification dans les certificats d'autorité de certification du système.
Distributed Cloud ajoute la clé publique aux clés de compte de service que vous utilisez pour valider les jetons Web JSON (JWT) signés par la clé privée. La clé privée est écrite dans le fichier JSON des identifiants par défaut de l'application.
Accordez au compte de service l'accès aux ressources du projet en attribuant une liaison de rôle. Le nom du rôle dépend du service Vertex AI pour lequel vous souhaitez utiliser le compte de service.
```
gdcloud iam service-accounts add-iam-policy-binding \
    --project=PROJECT_ID \
    --iam-account=SERVICE_ACCOUNT \
    --role=ROLE
```
Remplacez les éléments suivants :
- PROJECT_ID : projet dans lequel créer l'association de rôle.
- SERVICE_ACCOUNT : nom du compte de service à utiliser.
- ROLE : rôle prédéfini à attribuer au compte de service. Spécifiez les rôles au format Role/name, où Role correspond au type Kubernetes, tel que Role ou ProjectRole, et name correspond au nom de ressource Kubernetes du rôle prédéfini. Par exemple, voici les rôles que vous pouvez attribuer aux comptes de service pour utiliser certaines des API Vertex AI pré-entraînées :
  - Pour attribuer le rôle Développeur AI OCR (ai-ocr-developer), définissez le rôle sur Role/ai-ocr-developer.
  - Pour attribuer le rôle Développeur Speech AI (ai-speech-developer), définissez le rôle sur Role/ai-speech-developer.
  - Pour attribuer le rôle Développeur de la traduction par IA (ai-translation-developer), définissez-le sur Role/ai-translation-developer.
  Remarque : Pour en savoir plus sur les rôles prédéfinis et les noms que vous devez attribuer en fonction du service ou du modèle Vertex AI que vous souhaitez utiliser, consultez Préparer les autorisations IAM.