Sie können Vertex AI für das Peering mit Virtual Private Cloud (VPC) konfigurieren, um eine direkte Verbindung zu bestimmten Ressourcen in Vertex AI herzustellen, darunter:
- Benutzerdefiniertes Training
- NFS-Freigaben für benutzerdefiniertes Training
- Private Vorhersageendpunkte
- Ray in Vertex AI
- Onlineabfragen für Vektorabgleich
- Pipelines
- Instanzen verwalteter Notebooks
In dieser Anleitung wird beschrieben, wie Sie VPC-Netzwerk-Peering einrichten, um Ihr Netzwerk mit Vertex AI-Ressourcen zu verbinden. Dieser Leitfaden wird Netzwerkadministratoren empfohlen, die bereits mit den Netzwerkkonzepten von Google Cloud vertraut sind.
Übersicht
In diesem Leitfaden werden folgende Aufgaben behandelt:
- Zugriff auf private Dienste für die VPC konfigurieren. Dadurch wird eine Peering-Verbindung zwischen Ihrer VPC und dem freigegebenen VPC-Netzwerk von Google hergestellt.
- Denken Sie über den IP-Bereich nach, den Sie für Vertex AI reservieren müssen.
- Exportieren Sie gegebenenfalls benutzerdefinierte Routen, damit Vertex AI sie importieren kann.
Hinweis
- Wählen Sie eine VPC aus, die Sie mit Vertex AI-Ressourcen verbinden möchten. Vertex AI kann jeweils nur mit einem Netzwerk pro Region verbunden werden.
- Wählen Sie ein Google Cloud-Projekt aus oder erstellen Sie eines, um es für Vertex AI zu verwenden.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Compute Engine API, Vertex AI API, and Service Networking APIs.
- Optional können Sie eine freigegebene VPC verwenden. Wenn Sie eine freigegebene VPC verwenden, verwenden Sie in der Regel Vertex AI in einem anderen Google Cloud-Projekt als Ihr VPC-Hostprojekt. Aktivieren Sie die Compute Engine API und die Service Networking APIs in beiden Projekten. Freigegebene VPC bereitstellen
- Installieren Sie die gcloud CLI, wenn Sie die
gcloud
-Beispiele in dieser Anleitung ausführen möchten.
Erforderliche Rollen
Wenn Sie kein Projektinhaber oder -bearbeiter sind, benötigen Sie die Rolle Compute-Netzwerkadministrator (roles/compute.networkAdmin
), die die erforderlichen Rollen zum Verwalten von Netzwerkressourcen enthält.
Peering mit einem lokalen Netzwerk
Für VPC-Netzwerk-Peering mit einem lokalen Netzwerk sind zusätzliche Schritte erforderlich:
- Verbinden Sie Ihr lokales Netzwerk mit Ihrer VPC. Sie können einen VPN-Tunnel oder Interconnect verwenden.
- Richten Sie benutzerdefinierte Routen von der VPC zu Ihrem lokalen Netzwerk ein.
- Exportieren Sie Ihre benutzerdefinierten Routen, damit Vertex AI sie importieren kann.
Zugriff auf private Dienste für Ihre VPC einrichten
Wenn Sie den Zugriff auf private Dienste einrichten, stellen Sie eine private Verbindung zwischen Ihrem Netzwerk und einem Netzwerk von Google oder einem Drittanbieterdienst (Dienstersteller) her. In diesem Fall ist Vertex AI ein Dienstersteller. Zum Einrichten des Zugriffs auf private Dienste reservieren Sie einen IP-Bereich für Dienstersteller und erstellen dann eine Peering-Verbindung mit Vertex AI.
Wenn Sie bereits eine VPC mit Zugriff auf private Dienste konfiguriert haben, fahren Sie mit dem Exportieren benutzerdefinierter Routen fort.
- Legen Sie Umgebungsvariablen für Ihre Projekt-ID, den Namen des reservierten Bereichs und den Namen Ihres Netzwerks fest. Wenn Sie eine freigegebene VPC verwenden, verwenden Sie die Projekt-ID Ihres VPC-Hostprojekts. Andernfalls verwenden Sie die Projekt-ID des Google Cloud-Projekts, das Sie für Vertex AI verwenden.
- Aktivieren Sie die erforderlichen APIs. Wenn Sie eine freigegebene VPC verwenden, finden Sie weitere Informationen unter Freigegebene VPC mit Vertex AI verwenden.
- Legen Sie mit
gcloud compute addresses create
einen reservierten Bereich fest. Stellen Sie mithilfe von
gcloud services vpc-peerings connect
eine Peering-Verbindung zwischen Ihrem VPC-Hostprojekt und dem Google-Dienstnetzwerk her.Für private Vorhersageendpunkte empfehlen wir, für das Modellhosting mindestens einen
/21
-Block für das Subnetz zu reservieren. Das Reservieren eines kleineren Blocks kann aufgrund unzureichender IP-Adressen zu Bereitstellungsfehlern führen.PROJECT_ID=YOUR_PROJECT_ID gcloud config set project $PROJECT_ID # This is for display only; you can name the range anything. PEERING_RANGE_NAME=google-reserved-range NETWORK=YOUR_NETWORK_NAME # NOTE: `prefix-length=16` means a CIDR block with mask /16 will be # reserved for use by Google services, such as Vertex AI. gcloud compute addresses create $PEERING_RANGE_NAME \ --global \ --prefix-length=16 \ --description="peering range for Google service" \ --network=$NETWORK \ --purpose=VPC_PEERING # Create the VPC connection. gcloud services vpc-peerings connect \ --service=servicenetworking.googleapis.com \ --network=$NETWORK \ --ranges=$PEERING_RANGE_NAME \ --project=$PROJECT_ID
Weitere Informationen zum Zugriff auf private Dienste
Freigegebene VPC mit Vertex AI verwenden
Wenn Sie in Ihrem Projekt eine freigegebene VPC verwenden, gehen Sie wie unter Freigegebene VPC bereitstellen beschrieben vor und führen Sie die folgenden Schritte aus:
Aktivieren Sie die Compute Engine API und die Service Networking APIs im Host- und Dienstprojekt. Die Vertex AI API muss für das Dienstprojekt aktiviert sein.
Erstellen Sie die VPC-Netzwerk-Peering-Verbindung zwischen Ihrer VPC und den Google-Diensten innerhalb des Hostprojekts.
Während der Erstellung von Vertex AI müssen Sie den Namen des Netzwerks angeben, auf das Vertex AI Zugriff auf Shared VPC haben soll.
Prüfen Sie, ob der verwendete Dienst oder das Nutzerkonto die Rolle „Compute-Netzwerknutzer“ (
roles/compute.networkUser
) hat.
IP-Bereiche für Vertex AI reservieren
Wenn Sie einen IP-Bereich für Dienstersteller reservieren, kann der Bereich von AI Platform und anderen Diensten verwendet werden. Wenn Sie eine Verbindung zu mehreren Diensterstellern herstellen, die denselben Bereich verwenden, weisen Sie diesen einen größeren Bereich zu, um die IP-Auslastung zu vermeiden.
Informieren Sie sich über geschätzte IP-Bereiche, die für die Verwendung privater IP-Adressen mit verschiedenen Arten von benutzerdefinierten Trainingsjobs reserviert werden sollen.
Wenn ein Job mit dem folgenden Parameter gestartet wird, wird er in einem von Google verwalteten Netzwerk gestartet, das eine Peering-Verbindung zu Ihrer VPC und anderen damit verbundenen Netzwerken herstellt:
--network = "projects/${host_project}/global/networks/${network}"
Alle Jobs, die nicht auf Ihre Netzwerke zugreifen müssen, können ohne diese Angabe gestartet werden, wodurch Ihre IP-Zuweisungen erhalten bleiben.
Benutzerdefinierte Routen exportieren
Wenn Sie benutzerdefinierte Routen verwenden, müssen Sie diese exportieren, damit Vertex AI sie importieren kann. Wenn Sie keine benutzerdefinierten Routen verwenden, überspringen Sie diesen Abschnitt.
Zum Exportieren benutzerdefinierter Routen aktualisieren Sie die Peering-Verbindung in Ihrer VPC. Beim Exportieren von benutzerdefinierten Routen werden alle aktiven statischen und dynamischen Routen, die sich in Ihrem VPC-Netzwerk befinden, z. B. Routen zu Ihrem lokalen Netzwerk, an die Netzwerke der Dienstersteller gesendet (in diesem Fall Vertex AI). Dadurch werden die erforderlichen Verbindungen hergestellt und Trainingsjobs können Traffic an Ihr lokales Netzwerk zurücksenden.
Achten Sie darauf, dass Ihr lokales Netzwerk Routen zurück zu den IP-Adressbereichen hat, die für Vertex AI zugewiesen sind, damit Antworten korrekt an Vertex AI zurückgeleitet werden. Verwenden Sie beispielsweise benutzerdefinierte Cloud Router-Routen-Anzeigen, die die IP-Adressbereiche von Vertex AI enthalten.
Weitere Informationen zu privaten Verbindungen mit lokalen Netzwerken
Console
- Rufen Sie in der Google Cloud Console die Seite „VPC-Netzwerk-Peering“ auf.
Zur Seite "VPC-Netzwerk-Peering" - Wählen Sie die zu aktualisierende Peering-Verbindung aus.
- Klicken Sie auf Bearbeiten.
- Wählen Sie Benutzerdefinierte Routen exportieren aus.
gcloud
Suchen Sie den Namen der zu aktualisierenden Peering-Verbindung. Wenn Sie mehrere Peering-Verbindungen haben, lassen Sie das Flag
--format
weg.gcloud services vpc-peerings list \ --network=$NETWORK \ --service=servicenetworking.googleapis.com \ --project=$PROJECT_ID \ --format "value(peering)"
Aktualisieren Sie die Peering-Verbindung, um benutzerdefinierte Routen zu exportieren.
gcloud compute networks peerings update PEERING-NAME \ --network=$NETWORK \ --export-custom-routes \ --project=$PROJECT_ID
Status der Peering-Verbindungen prüfen
Wenn Sie sehen möchten, dass Peering-Verbindungen aktiv sind, können Sie sie mit dem folgenden Befehl auflisten:
gcloud compute networks peerings list --network $NETWORK
Der Status des gerade erstellten Peerings sollte ACTIVE
lauten.
Weitere Informationen zu aktiven Peering-Verbindungen
Fehlerbehebung
In diesem Abschnitt werden einige häufige Probleme bei der Konfiguration von VPC-Netzwerk-Peering mit Vertex AI aufgelistet.
Wenn Sie Vertex AI für die Verwendung eines freigegebene VPC-Netzwerks konfigurieren, geben Sie die Netzwerk-URI so an:
"projects/YOUR_SHARED_VPC_HOST_PROJECT/global/network/YOUR_SHARED_VPC_NETWORK"
Wenn Sie ein freigegebenes VPC-Netzwerk angeben, das Vertex AI verwenden soll, achten Sie darauf, dass allen Nutzern oder Dienstkontonutzern für Vertex AI im Dienstprojekt die Rolle
compute.networkUser
im Hostprojekt zugewiesen ist.Achten Sie darauf, dass Sie allen Diensterstellern, mit denen Ihr Netzwerk verbunden ist, einen ausreichenden IP-Bereich zugewiesen haben, einschließlich Vertex AI.
Wenn die Fehlermeldungen
IP_SPACE_EXHAUSTED
,RANGES_EXHAUSTED
oderPEERING_RANGE_EXHAUSTED
auftreten, müssen Sie die Anzahl der verfügbaren IP-Adressen für die Reservierungservicenetworking
in Ihrem Netzwerk erhöhen. Sie können der vorhandenen VPC-Netzwerk-Peering-Konfiguration einen neuen Bereich hinzufügen oder einige Vertex AI-Ressourcen löschen, um zugewiesene IP-Adressen freizugeben.Zeitüberschreitungen bei der Verbindung: Nach dem Export benutzerdefinierter Routen werden Verbindungen von Vertex AI über Ihr Netzwerk weitergeleitet, um Endpunkte in anderen Netzwerken zu erreichen. Diese Endpunkte werden jedoch möglicherweise nicht über Ihr Netzwerk weitergeleitet, um Antworten an Vertex AI zurückzugeben. Achten Sie darauf, dass Sie in diesen Netzwerken auch statische oder dynamische Routen für den Rückgabepfad zum zugewiesenen Vertex AI-IP-Bereich hinzufügen.
Fehler „Verbindungszeitüberschreitung“ / „Host nicht erreichbar“: Da transaktives Peering nicht unterstützt wird, können Verbindungen von Vertex AI keine Endpunkte in anderen Netzwerken erreichen, die direkt mit Ihrem Netzwerk verbunden sind. Dies gilt auch, wenn „Benutzerdefinierte Routen exportieren“ aktiviert ist. Sorgen Sie mit Ihrem Netzwerkadministrator dafür, dass nicht versucht wird, Ihr Netzwerk direkt von einem mit Peering verbundenen Netzwerk zu einem anderen zu leiten. Bei Bedarf können Sie einen dieser Peering-Hops durch eine Lösung ersetzen, die statische oder dynamische Routen unterstützt.
DNS-Fehler bezüglich nicht erreichbarem Host: Wenn Ihr Vertex AI-Job Hostnamen in Ihrer VPC auflösen muss, müssen Sie die Konfiguration zum Freigeben privater DNS-Zonen für Dienstersteller abschließen.
Weitere Informationen zur Fehlerbehebung finden Sie in der Anleitung zur Fehlerbehebung für VPC-Netzwerk-Peering.
Nächste Schritte
- Private IP-Adresse für benutzerdefiniertes Training verwenden
- Private Endpunkte für Vorhersagen verwenden
- Weitere Informationen zum VPC-Netzwerk-Peering
- Informationen zum VPC-Design finden Sie unter Referenzarchitekturen und Best Practices.