In diesem Leitfaden wird beschrieben, wie Sie eine Private Service Connect-Schnittstelle für Vertex AI-Ressourcen einrichten.
Sie können Private Service Connect-Schnittstellenverbindungen für bestimmte Ressourcen in Vertex AI konfigurieren, darunter:
Im Gegensatz zu VPC-Peering-Verbindungen können Private Service Connect-Schnittstellenverbindungen transitiv sein, sodass weniger IP-Adressen im Nutzer-VPC-Netzwerk erforderlich sind. So können Sie flexibler Verbindungen zu anderen VPC-Netzwerken in Ihrem Google Cloud -Projekt und lokal herstellen.
Dieser Leitfaden wird für Netzwerkadministratoren empfohlen, die mit Google Cloud Netzwerkkonzepten vertraut sind.
Lernziele
In diesem Leitfaden werden folgende Aufgaben behandelt:
- Konfigurieren Sie ein Ersteller-VPC-Netzwerk, ein Subnetz und einen Netzwerkanhang.
- Fügen Sie Ihrem Hostprojekt für das Google Cloud -Netzwerk Firewallregeln hinzu.
- Erstellen Sie eine Vertex AI-Ressource, in der der Netzwerkanhang angegeben ist, um eine Private Service Connect-Schnittstelle zu verwenden.
Hinweise
Führen Sie die folgenden Schritte aus, um ein Google Cloud -Projekt zu erstellen oder auszuwählen und für die Verwendung mit Vertex AI und Private Service Connect zu konfigurieren.
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Vertex AI, Compute Engine, and Cloud Storage APIs.
-
Install the Google Cloud CLI.
-
If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.
-
To initialize the gcloud CLI, run the following command:
gcloud init -
After initializing the gcloud CLI, update it and install the required components:
gcloud components update gcloud components install beta
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Vertex AI, Compute Engine, and Cloud Storage APIs.
-
Install the Google Cloud CLI.
-
If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.
-
To initialize the gcloud CLI, run the following command:
gcloud init -
After initializing the gcloud CLI, update it and install the required components:
gcloud components update gcloud components install beta
- Wenn Sie nicht der Projektinhaber sind und nicht die Rolle Projekt-IAM-Administrator (
roles/resourcemanager.projectIamAdmin) haben, bitten Sie den Inhaber, Ihnen die Rolle Compute-Netzwerkadministrator (roles/compute.networkAdmin) zuzuweisen. Diese Rolle enthält die erforderlichen Rollen zum Verwalten von Netzwerkressourcen. - Weisen Sie dem AI Platform-Dienst-Agent des Projekts, in dem Sie Vertex AI Training-Dienste verwenden, die Rolle „Compute Network Admin“ des Netzwerk-Hostprojekts Google Cloud zu.
-
gcloud compute networks create NETWORK \ --subnet-mode=customErsetzen Sie NETWORK durch einen Namen für das VPC-Netzwerk.
-
gcloud compute networks subnets create SUBNET_NAME \ --network=NETWORK \ --range=PRIMARY_RANGE \ --region=REGIONErsetzen Sie Folgendes:
- SUBNET_NAME: Ein Name für das Subnetz.
PRIMARY_RANGE: der primäre IPv4-Bereich für das neue Subnetz in CIDR-Notation. Weitere Informationen finden Sie unter IPv4-Subnetzbereiche.
Für Vertex AI ist ein
/28-Subnetzwerk erforderlich.Vertex AI kann nur RFC 1918-Bereiche erreichen, die über die angegebene NETWORK geroutet werden können. Eine Liste der gültigen RFC 1918-Bereiche finden Sie unter Gültige IPv4-Bereiche. Vertex AI kann die folgenden Bereiche außerhalb von RFC 1918 nicht erreichen:
100.64.0.0/10192.0.0.0/24192.0.2.0/24198.18.0.0/15198.51.100.0/24203.0.113.0/24240.0.0.0/4
REGION: die Google Cloud Region, in der das neue Subnetz erstellt wird.
Erstellen Sie eine Firewallregel, die den SSH-Zugriff über den TCP-Port 22 zulässt:
gcloud compute firewall-rules create NETWORK-firewall1 \ --network NETWORK \ --allow tcp:22Erstellen Sie eine Firewallregel, die HTTPS-Traffic an TCP-Port 443 zulässt:
gcloud compute firewall-rules create NETWORK-firewall2 \ --network NETWORK \ --allow tcp:443Erstellen Sie eine Firewallregel, die ICMP-Traffic (z. B. Ping-Anfragen) zulässt::
gcloud compute firewall-rules create NETWORK-firewall3 \ --network NETWORK \ --allow icmpWeisen Sie dem AI Platform-Dienst-Agent-Konto des Projekts, in dem Sie Vertex AI Training-Dienste verwenden, die DNS-Rolle
Peer(roles/dns.peer)zu. Wenn Sie ein freigegebenes VPC-Netzwerk angeben, das von Vertex AI verwendet werden soll, und eine Netzwerkverbindung in einem Dienstprojekt erstellen, müssen Sie dem AI Platform-Dienst-Agent im Dienstprojekt, in dem Sie Vertex AI verwenden, die DNS-RollePeer(roles/dns.peer)in Ihrem VPC-Hostprojekt zuweisen.Erstellen Sie eine Firewallregel, die den gesamten ICMP-, TCP- und UDP-Traffic zulässt (optional):
!gcloud compute firewall-rules create NETWORK-firewall4 \ --network NETWORK --allow tcp:0-65535,udp:0-65535,icmp --source-ranges IP_RANGESRichten Sie Ihre private DNS-Zone für die DNS-Auflösung und das Traffic-Routing ein. Informationen zum Hinzufügen von DNS-Einträgen zu Ihrer privaten DNS-Zone finden Sie unter Ressourcendatensatz hinzufügen.
- Informationen zum Verwenden von Private Service Connect-Schnittstellenausgang für Ray on Vertex AI
- Informationen zum Verwenden von ausgehendem Traffic über Private Service Connect-Schnittstellen für benutzerdefiniertes Training
- Informationen zur Verwendung von Private Service Connect-Schnittstellen-Egress für Vertex AI Pipelines
VPC-Netzwerk und Subnetz einrichten
In diesem Abschnitt können Sie ein vorhandenes VPC-Netzwerk verwenden oder der Konfigurationsanleitung folgen, um ein neues VPC-Netzwerk zu erstellen, falls Sie noch keines haben.
Netzwerkanhang erstellen
Erstellen Sie in einer Bereitstellung mit freigegebene VPC zuerst das Subnetz, das für den Netzwerk-Anhang verwendet wird, im Hostprojekt und dann den Private Service Connect-Netzwerk-Anhang im Dienstprojekt.
Das folgende Beispiel zeigt, wie Sie einen Netzwerkanhang erstellen, der Verbindungen manuell akzeptiert.
gcloud compute network-attachments create NETWORK_ATTACHMENT_NAME \
--region=REGION \
--connection-preference=ACCEPT_MANUAL \
--subnets=SUBNET_NAME
Ersetzen Sie NETWORK_ATTACHMENT_NAME durch einen Namen für den Netzwerkanhang.
Erforderliche Rolle für den Vertex AI-Dienst-Agent
Prüfen Sie in dem Projekt, in dem Sie die Netzwerkverbindung erstellen, ob dem Vertex AI-Dienst-Agent desselben Projekts die Rolle compute.networkAdmin zugewiesen ist. Sie müssen die Vertex AI API in diesem Projekt vorab aktivieren, wenn es sich von dem Dienstprojekt unterscheidet, in dem Sie Vertex AI verwenden.
Wenn Sie ein freigegebenes VPC-Netzwerk für Vertex AI angeben und eine Netzwerkverbindung in einem Dienstprojekt erstellen, müssen Sie dem Vertex AI-Dienst-Agent im Dienstprojekt, in dem Sie Vertex AI verwenden, die Rolle compute.networkUser für Ihr VPC-Hostprojekt zuweisen.
Firewallregeln konfigurieren
Eingangs-Firewallregeln werden in der VPC des Nutzers angewendet, um die Kommunikation mit dem Subnetz für die Netzwerkanbindung der Private Service Connect-Schnittstelle von Compute- und lokalen Endpunkten aus zu ermöglichen.
Die Konfiguration von Firewallregeln ist optional. Wir empfehlen jedoch, allgemeine Firewallregeln festzulegen, wie in den folgenden Beispielen gezeigt.
Privates DNS-Peering einrichten
Damit Vertex AI-Trainingsjobs, die mit PSC-I konfiguriert sind, private DNS-Einträge in vom Kunden verwalteten Cloud DNS-Zonen auflösen können, bietet die Vertex AI API einen vom Nutzer konfigurierbaren Mechanismus zum Angeben der DNS-Domains, die per Peering verbunden werden sollen. Sie müssen die folgenden zusätzlichen Konfigurationen vornehmen.