Private Service Connect-Schnittstelle für Vertex AI-Ressourcen einrichten

In diesem Leitfaden wird beschrieben, wie Sie eine Private Service Connect-Schnittstelle für Vertex AI-Ressourcen einrichten.

Sie können Private Service Connect-Schnittstellenverbindungen für bestimmte Ressourcen in Vertex AI konfigurieren, darunter:

• Ray in Vertex AI
• Benutzerdefiniertes Training
• Vertex AI Pipelines

Im Gegensatz zu VPC-Peering-Verbindungen können Private Service Connect-Schnittstellenverbindungen transitive sein, sodass weniger IP-Adressen im Nutzer-VPC-Netzwerk erforderlich sind. So können Sie flexibler eine Verbindung zu anderen VPC-Netzwerken in Ihrem Google Cloud-Projekt herstellen.

Dieser Leitfaden wird Netzwerkadministratoren empfohlen, die mit den Netzwerkkonzepten von Google Cloud vertraut sind.

Lernziele

In diesem Leitfaden werden folgende Aufgaben behandelt:

• Konfigurieren Sie ein VPC-Netzwerk, ein Subnetz und einen Netzwerkanhang für den Ersteller.
• Fügen Sie Ihrem Google Cloud-Netzwerk-Hostprojekt Firewallregeln hinzu.
• Erstellen Sie eine Vertex AI-Ressource, in der der Netzwerkanhang für die Verwendung von PSC-I angegeben ist.

Hinweise

Führen Sie die folgenden Schritte aus, um ein Google Cloud-Projekt zu erstellen oder auszuwählen und für die Verwendung mit Vertex AI und Private Service Connect zu konfigurieren.

1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

   Go to project selector

3. Make sure that billing is enabled for your Google Cloud project.

4. Enable the Vertex AI, Compute Engine, and Cloud Storage APIs.

   Enable the APIs

5. Install the Google Cloud CLI.

6. To initialize the gcloud CLI, run the following command:

   gcloud init

7. Update and install gcloud components:

   gcloud components update
   gcloud components install beta

8. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

   Go to project selector

9. Make sure that billing is enabled for your Google Cloud project.

10. Enable the Vertex AI, Compute Engine, and Cloud Storage APIs.

    Enable the APIs

11. Install the Google Cloud CLI.

12. To initialize the gcloud CLI, run the following command:

    gcloud init

13. Update and install gcloud components:

    gcloud components update
    gcloud components install beta

14. Wenn Sie nicht der Projektinhaber sind und nicht die Rolle IAM-Administrator für das Projekt (roles/resourcemanager.projectIamAdmin) haben, bitten Sie den Inhaber, Ihnen die Rolle Compute-Netzwerkadministrator (roles/compute.networkAdmin) zuzuweisen. Diese Rolle enthält die erforderlichen Rollen zum Verwalten von Netzwerkressourcen.
15. Weisen Sie dem AI Platform-Dienst-Agent des Projekts, in dem Sie Vertex AI-Trainingsdienste verwenden, die Rolle „Compute Network Admin“ des Google Cloud-Projekts des Netzwerkhosts zu.

VPC-Netzwerk und Subnetz einrichten

In diesem Abschnitt können Sie ein vorhandenes VPC-Netzwerk verwenden, sofern es nicht mit einem anderen VPC-Netzwerk gepeert ist. Die folgenden Konfigurationsschritte sind nur erforderlich, wenn Sie kein VPC-Netzwerk haben.

1. VPC-Netzwerk erstellen:

   gcloud compute networks create NETWORK \
       --subnet-mode=custom
   

   Ersetzen Sie NETWORK durch einen Namen für das VPC-Netzwerk.

2. Subnetz erstellen:

   gcloud compute networks subnets create SUBNET_NAME \
       --network=NETWORK \
       --range=PRIMARY_RANGE \
       --region=REGION
   

   Ersetzen Sie Folgendes:

   • SUBNET_NAME: Ein Name für das Subnetz.

   • PRIMARY_RANGE: der primäre IPv4-Bereich für das neue Subnetz in CIDR-Notation. Weitere Informationen finden Sie unter IPv4-Subnetzbereiche.

     Vertex AI kann nur die in der erforderlichen PRIMARY_RANGE angegebenen RFC 1918-Bereiche erreichen. Eine Liste der gültigen RFC 1918-Bereiche finden Sie unter Gültige IPv4-Bereiche. Vertex AI kann die folgenden Bereiche außerhalb von RFC 1918 nicht erreichen:

     • 100.64.0.0/10
     • 192.0.0.0/24
     • 192.0.2.0/24
     • 198.18.0.0/15
     • 198.51.100.0/24
     • 203.0.113.0/24
     • 240.0.0.0/4

   • REGION: die Google Cloud-Region, in der das neue Subnetz erstellt wird.

Netzwerkanhänge erstellen und Ihrem Projekt Firewallregeln hinzufügen

1. Erstellen Sie einen Netzwerkanhang, der Verbindungen manuell akzeptiert:

   gcloud compute network-attachments create NETWORK_ATTACHMENT_NAME \
       --region=REGION \
       --connection-preference=ACCEPT_MANUAL \
       --subnets=SUBNET_NAME
   

   Ersetzen Sie NETWORK_ATTACHMENT_NAME durch einen Namen für den Netzwerkanhang.

2. Erstellen Sie eine Firewallregel, die TCP-Traffic über Port 22 zulässt:

   gcloud compute firewall-rules create NETWORK-firewall1 \
       --network NETWORK \
       --allow tcp:22
   

3. Erstellen Sie eine Firewallregel, die TCP-Traffic über Port 3389 zulässt:

   gcloud compute firewall-rules create NETWORK-firewall2 \
       --network NETWORK \
       --allow tcp:3389
   

4. Erstellen Sie eine Firewallregel, die ICMP-Traffic zulässt:

   gcloud compute firewall-rules create NETWORK-firewall3 \
       --network NETWORK \
       --allow icmp
   

Nächste Schritte

• Informationen zum Verwenden des Private Service Connect-Interface-Ausgangs für Ray in Vertex AI
• Weitere Informationen zum ausgehenden Traffic über Private Service Connect-Schnittstellen für benutzerdefiniertes Training
• Informationen zum Verwenden des Private Service Connect-Interface-Ausgangs für Vertex AI-Pipelines