Private Service Connect-Schnittstelle für Vertex AI-Ressourcen einrichten

In diesem Leitfaden wird beschrieben, wie Sie eine Private Service Connect-Schnittstelle für Vertex AI-Ressourcen einrichten.

Sie können Private Service Connect-Schnittstellenverbindungen für bestimmte Ressourcen in Vertex AI konfigurieren, darunter:

Im Gegensatz zu VPC-Peering-Verbindungen sind Private Service Connect-Schnittstellenverbindungen transitiv. Dafür sind weniger IP-Adressen im VPC-Netzwerk des Nutzers erforderlich. So können Sie flexibler Verbindungen zu anderen VPC-Netzwerken in Ihrem Google Cloud -Projekt und lokal herstellen.

Dieser Leitfaden richtet sich an Netzwerkadministratoren, die mit Google Cloud Netzwerkkonzepten vertraut sind.

Ziele

In diesem Leitfaden werden folgende Aufgaben behandelt:

  • Konfigurieren Sie ein Produzenten-VPC -Netzwerk, ein Subnetz und einen Netzwerkanhang.
  • Fügen Sie Ihrem Hostprojekt für das Google Cloud -Netzwerk Firewallregeln hinzu.
  • Erstellen Sie eine Vertex AI-Ressource, in der der Netzwerkanhang angegeben ist, um eine Private Service Connect-Schnittstelle zu verwenden.

Hinweise

Führen Sie die folgenden Schritte aus, um ein Google Cloud -Projekt zu erstellen oder auszuwählen und für die Verwendung mit Vertex AI und Private Service Connect zu konfigurieren.

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Vertex AI, Compute Engine, and Cloud Storage APIs.

    Enable the APIs

  5. Install the Google Cloud CLI.

  6. Wenn Sie einen externen Identitätsanbieter (IdP) verwenden, müssen Sie sich zuerst mit Ihrer föderierten Identität in der gcloud CLI anmelden.

  7. Führen Sie folgenden Befehl aus, um die gcloud CLI zu initialisieren: 

    gcloud init

  8. Aktualisieren Sie die gcloud CLI nach der Initialisierung und installieren Sie die erforderlichen Komponenten: 

    gcloud components update
gcloud components install beta

  9. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  10. Verify that billing is enabled for your Google Cloud project.

  11. Enable the Vertex AI, Compute Engine, and Cloud Storage APIs.

    Enable the APIs

  12. Install the Google Cloud CLI.

  13. Wenn Sie einen externen Identitätsanbieter (IdP) verwenden, müssen Sie sich zuerst mit Ihrer föderierten Identität in der gcloud CLI anmelden.

  14. Führen Sie folgenden Befehl aus, um die gcloud CLI zu initialisieren: 

    gcloud init

  15. Aktualisieren Sie die gcloud CLI nach der Initialisierung und installieren Sie die erforderlichen Komponenten: 

    gcloud components update
gcloud components install beta
  16. Wenn Sie nicht der Projektinhaber sind und nicht die Rolle Projekt-IAM-Administrator (roles/resourcemanager.projectIamAdmin) haben, bitten Sie den Inhaber, Ihnen eine IAM-Rolle mit der Berechtigung compute.networkAttachments.update zuzuweisen, z. B. die Rolle „Compute-Netzwerkadministrator“ (roles/compute.networkAdmin), um Netzwerkressourcen zu verwalten.
  17. Weisen Sie dem AI Platform-Dienst-Agent-Konto des Projekts, in dem Sie Vertex AI Training-Dienste verwenden, die Rolle „Compute Network Admin“ des Netzwerk-Hostprojekts Google Cloud zu.

    18. VPC-Netzwerk und Subnetz einrichten

    Folgen Sie der Anleitung, um ein neues VPC-Netzwerk zu erstellen, falls Sie noch keines haben.

    1. VPC-Netzwerk erstellen:

      gcloud compute networks create NETWORK \
    --subnet-mode=custom

      Ersetzen Sie NETWORK durch einen Namen für das VPC-Netzwerk.

    2. Subnetz erstellen:

      gcloud compute networks subnets create SUBNET_NAME \
    --network=NETWORK \
    --range=PRIMARY_RANGE \
    --region=REGION

      Ersetzen Sie Folgendes:

      • SUBNET_NAME: Ein Name für das Subnetz.

      • PRIMARY_RANGE: der primäre IPv4-Bereich für das neue Subnetz in CIDR-Notation. Weitere Informationen finden Sie unter IPv4-Subnetzbereiche.

        Vertex AI empfiehlt ein /28-Subnetzwerk.

        Vertex AI kann nur RFC 1918-Bereiche erreichen, die über die angegebene NETWORK geroutet werden können. Das bedeutet, dass Subnetze für Netzwerkverbindungen keine IP-Bereiche außerhalb von RFC 1918 sein können. Eine Liste der gültigen RFC 1918-Bereiche finden Sie unter Gültige IPv4-Bereiche. Vertex AI kann die folgenden Bereiche außerhalb von RFC 1918 nicht erreichen:

        • 100.64.0.0/10
        • 192.0.0.0/24
        • 192.0.2.0/24
        • 198.18.0.0/15
        • 198.51.100.0/24
        • 203.0.113.0/24
        • 240.0.0.0/4

      • REGION: die Google Cloud Region, in der Sie das neue Subnetz erstellen.

    Netzwerkanhang erstellen

    Erstellen Sie in einer Bereitstellung mit freigegebene VPC das Subnetz, das für den Netzwerk-Anhang verwendet wird, im Hostprojekt und erstellen Sie dann den Private Service Connect-Netzwerk-Anhang im Dienstprojekt.

    Das folgende Beispiel zeigt, wie Sie einen Netzwerkanhang erstellen, der Verbindungen manuell akzeptiert.

       gcloud compute network-attachments create NETWORK_ATTACHMENT_NAME \
       --region=REGION \
       --connection-preference=ACCEPT_MANUAL \
       --subnets=SUBNET_NAME

    Ersetzen Sie NETWORK_ATTACHMENT_NAME durch einen Namen für den Netzwerkanhang.

    Erforderliche Rolle für den Vertex AI-Dienst-Agent

    Prüfen Sie in dem Projekt, in dem Sie die Netzwerkverbindung erstellen, ob dem Vertex AI-Dienst-Agent desselben Projekts die Rolle compute.networkAdmin zugewiesen ist. Aktivieren Sie die Vertex AI API in diesem Projekt im Voraus, wenn es sich vom Dienstprojekt unterscheidet, in dem Sie Vertex AI verwenden.

    Wenn Sie ein freigegebenes VPC-Netzwerk für die Verwendung durch Vertex AI angeben und eine Netzwerkverbindung in einem Dienstprojekt erstellen, weisen Sie dem Vertex AI-Dienst-Agent im Dienstprojekt, in dem Sie Vertex AI verwenden, die Rolle compute.networkUser für Ihr VPC-Hostprojekt zu.

    Firewallregeln konfigurieren

    Das System wendet Firewallregeln für eingehenden Traffic im VPC-Netzwerk des Nutzers an, um die Kommunikation mit dem Subnetz des Netzwerkanhangs der Private Service Connect-Schnittstelle von Compute- und lokalen Endpunkten aus zu ermöglichen.

    Die Konfiguration von Firewallregeln ist optional. Wir empfehlen jedoch, allgemeine Firewallregeln festzulegen, wie in den folgenden Beispielen gezeigt.

    1. Erstellen Sie eine Firewallregel, die den SSH-Zugriff über den TCP-Port 22 zulässt:

      gcloud compute firewall-rules create NETWORK-firewall1 \
    --network NETWORK \
    --allow tcp:22

    2. Erstellen Sie eine Firewallregel, die HTTPS-Traffic an TCP-Port 443 zulässt:

      gcloud compute firewall-rules create NETWORK-firewall2 \
    --network NETWORK \
    --allow tcp:443

    3. Erstellen Sie eine Firewallregel, die ICMP-Traffic (z. B. Ping-Anfragen) zulässt:

      gcloud compute firewall-rules create NETWORK-firewall3 \
    --network NETWORK \
    --allow icmp

    Privates DNS-Peering einrichten

    Damit Vertex AI Training-Jobs, die mit PSC-I konfiguriert sind, private DNS-Einträge in von Kunden verwalteten Cloud DNS-Zonen auflösen können, bietet die Vertex AI API einen vom Nutzer konfigurierbaren Mechanismus, mit dem angegeben werden kann, mit welchen DNS-Domains Google-interne Ressourcen per Peering verbunden werden sollen. Sie müssen die folgenden zusätzlichen Konfigurationen vornehmen.

    1. Weisen Sie dem AI Platform-Dienst-Agent-Konto des Projekts, in dem Sie Vertex AI Training-Dienste verwenden, die DNS-Rolle Peer(roles/dns.peer) zu. Wenn Sie ein freigegebenes VPC-Netzwerk angeben, das von Vertex AI verwendet werden soll, und eine Netzwerkverbindung in einem Dienstprojekt erstellen, weisen Sie dem AI Platform-Dienstkonto im Dienstprojekt, in dem Sie Vertex AI verwenden, die DNS-Rolle Peer(roles/dns.peer) in Ihrem VPC-Hostprojekt zu.

    2. Erstellen Sie eine Firewallregel, die den gesamten ICMP-, TCP- und UDP-Traffic zulässt (optional):

      gcloud compute firewall-rules create NETWORK-firewall4 \
    --network NETWORK
    --allow tcp:0-65535,udp:0-65535,icmp
    --source-ranges IP_RANGES

    3. Richten Sie Ihre private DNS-Zone für die DNS-Auflösung und das Traffic-Routing ein. Informationen zum Hinzufügen von DNS-Einträgen zu Ihrer privaten DNS-Zone finden Sie unter Ressourcendatensatz hinzufügen.

    Fehlerbehebung

    In diesem Abschnitt werden einige häufige Probleme bei der Konfiguration von Private Service Connect mit Vertex AI behandelt.

    Wenn Sie Vertex AI mit einer freigegebene VPC konfigurieren, erstellen Sie die Netzwerkverbindung in dem Dienstprojekt, in dem Sie Vertex AI verwenden. So lassen sich bestimmte Fehlermeldungen wie Achten Sie darauf, dass die Vertex AI API für das Projekt aktiviert ist vermeiden, da die erforderlichen Berechtigungen und APIs im richtigen Projekt aktiviert sind.

    Nächste Schritte