En esta guía se muestra cómo configurar una interfaz de Private Service Connect para recursos de Vertex AI.
Puedes configurar conexiones de interfaz de Private Service Connect para determinados recursos de Vertex AI, como los siguientes:
A diferencia de las conexiones de peerings de VPC, las conexiones de interfaz de Private Service Connect son transitivas. Esto requiere menos direcciones IP en la red de VPC de consumidor. Esto permite una mayor flexibilidad a la hora de conectarse a otras redes de VPC de tu proyecto de Google Cloud y a tu red local.
Esta guía está dirigida a administradores de redes que estén familiarizados con los conceptos de Google Cloud redes.
Objetivos
En esta guía se explican las siguientes tareas:
- Configura una red, una subred y un acoplamiento de red de VPC de productor .
- Añade reglas de cortafuegos a tu Google Cloud proyecto host de red.
- Crea un recurso de Vertex AI que especifique el adjunto de red para usar una interfaz de Private Service Connect.
Antes de empezar
Sigue estas instrucciones para crear o seleccionar un Google Cloud proyecto y configurarlo para usarlo con Vertex AI y Private Service Connect.
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
-
Enable the Vertex AI, Compute Engine, and Cloud Storage APIs.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (
roles/serviceusage.serviceUsageAdmin), which contains theserviceusage.services.enablepermission. Learn how to grant roles. -
Install the Google Cloud CLI.
-
Si utilizas un proveedor de identidades (IdP) externo, primero debes iniciar sesión en la CLI de gcloud con tu identidad federada.
-
Para inicializar gcloud CLI, ejecuta el siguiente comando:
gcloud init -
Después de inicializar gcloud CLI, actualízala e instala los componentes necesarios:
gcloud components update gcloud components install beta
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
-
Enable the Vertex AI, Compute Engine, and Cloud Storage APIs.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (
roles/serviceusage.serviceUsageAdmin), which contains theserviceusage.services.enablepermission. Learn how to grant roles. -
Install the Google Cloud CLI.
-
Si utilizas un proveedor de identidades (IdP) externo, primero debes iniciar sesión en la CLI de gcloud con tu identidad federada.
-
Para inicializar gcloud CLI, ejecuta el siguiente comando:
gcloud init -
Después de inicializar gcloud CLI, actualízala e instala los componentes necesarios:
gcloud components update gcloud components install beta
- Si no eres el propietario del proyecto y no tienes el rol Administrador de gestión de identidades y accesos de proyectos (
roles/resourcemanager.projectIamAdmin), pide al propietario que te conceda un rol de gestión de identidades y accesos que incluya el permisocompute.networkAttachments.update, como el rol Administrador de red de Compute (roles/compute.networkAdmin), para gestionar los recursos de red. - Asigna el rol Administrador de redes de Compute del proyecto host de la red Google Cloud a la cuenta Agente de servicio de AI Platform del proyecto en el que uses los servicios Vertex AI Training o Vertex AI Agent Engine.
-
gcloud compute networks create NETWORK \ --subnet-mode=customSustituye NETWORK por el nombre de la red de VPC.
-
gcloud compute networks subnets create SUBNET_NAME \ --network=NETWORK \ --range=PRIMARY_RANGE \ --region=REGIONHaz los cambios siguientes:
- SUBNET_NAME: nombre de la subred.
PRIMARY_RANGE: el intervalo IPv4 principal de la nueva subred, en notación CIDR.
A continuación se indican los requisitos y las limitaciones de IP de Vertex AI:
- Vertex AI recomienda una subred
/28. - La subred del adjunto de red admite direcciones RFC 1918 y no RFC 1918, excepto las subredes 100.64.0.0/10 y 240.0.0.0/4.
- Vertex AI solo puede conectarse a intervalos de direcciones IP RFC 1918 que se puedan enrutar desde la red especificada.
Vertex AI no puede acceder a una dirección IP pública de uso privado ni a estos intervalos que no son RFC 1918:
100.64.0.0/10192.0.0.0/24192.0.2.0/24198.18.0.0/15198.51.100.0/24203.0.113.0/24240.0.0.0/4
Para obtener más información, consulta la sección sobre los intervalos de subredes IPv4.
- Vertex AI recomienda una subred
REGION: la Google Cloud región en la que creas la nueva subred.
Crea una regla de cortafuegos que permita el acceso SSH en el puerto TCP 22:
gcloud compute firewall-rules create NETWORK-firewall1 \ --network NETWORK \ --allow tcp:22Crea una regla de cortafuegos que permita el tráfico HTTPS en el puerto TCP 443:
gcloud compute firewall-rules create NETWORK-firewall2 \ --network NETWORK \ --allow tcp:443Crea una regla de cortafuegos que permita el tráfico ICMP (como las solicitudes ping):
gcloud compute firewall-rules create NETWORK-firewall3 \ --network NETWORK \ --allow icmpAsigna el rol
Peer(roles/dns.peer)de DNS a la cuenta Agente de servicio de AI Platform del proyecto en el que uses los servicios Vertex AI Training o Vertex AI Agent Engine. Si especificas una red de VPC compartida para que la use Vertex AI y creas una vinculación de red en un proyecto de servicio, concede el rol Agente de servicio de AI Platform en el proyecto de servicio en el que uses Vertex AI el rolPeer(roles/dns.peer)de DNS en tu proyecto del host de VPC.Crea una regla de cortafuegos que permita todo el tráfico ICMP, TCP y UDP (opcional):
gcloud compute firewall-rules create NETWORK-firewall4 \ --network NETWORK --allow tcp:0-65535,udp:0-65535,icmp --source-ranges IP_RANGESConfigura tu zona DNS privada para la resolución de DNS y el enrutamiento del tráfico. Para añadir registros DNS a tu zona DNS privada, consulta Añadir un conjunto de registros de recursos.
- Consulta cómo usar la salida de la interfaz de Private Service Connect para Ray en Vertex AI.
- Consulta cómo usar la salida de interfaces de Private Service Connect para el entrenamiento personalizado.
- Consulta cómo usar la salida de interfaz de Private Service Connect para Vertex AI Pipelines.
- Consulta cómo usar la salida de interfaz de Private Service Connect para Vertex AI Agent Engine.
Configurar una red de VPC y una subred
Sigue los pasos de configuración para crear una red de VPC si no tienes ninguna.
Crear un archivo adjunto de red
En una implementación de VPC compartida, crea la subred que se va a usar para la vinculación de red en el proyecto del host y, a continuación, crea la vinculación de red de Private Service Connect en el proyecto de servicio.
En el siguiente ejemplo se muestra cómo crear un archivo adjunto de red que acepte conexiones manualmente.
gcloud compute network-attachments create NETWORK_ATTACHMENT_NAME \
--region=REGION \
--connection-preference=ACCEPT_MANUAL \
--subnets=SUBNET_NAME
Sustituye NETWORK_ATTACHMENT_NAME por el nombre de la vinculación de red.
Rol obligatorio del agente de servicio de Vertex AI
En el proyecto en el que crees la conexión de red, comprueba que el rol compute.networkAdmin se haya asignado al agente de servicio de Vertex AI del mismo proyecto. Habilita la API Vertex AI en este proyecto con antelación si es diferente del proyecto de servicio en el que usas Vertex AI.
Si especificas una red de VPC compartida para que la use Vertex AI y creas una vinculación de red en un proyecto de servicio, concede el rol compute.networkUser a la cuenta de servicio de Vertex AI en el proyecto del host de la VPC.
Configurar reglas de cortafuegos
El sistema aplica reglas de cortafuegos de entrada en la VPC del consumidor para habilitar la comunicación con la subred de la vinculación de red de la interfaz de Private Service Connect desde los endpoints de proceso y los endpoints locales.
Configurar reglas de cortafuegos es opcional. Sin embargo, te recomendamos que definas reglas de firewall comunes, como se muestra en los siguientes ejemplos.
Configurar un emparejamiento de DNS privado
Para habilitar los trabajos de entrenamiento de Vertex AI o los agentes de Vertex AI Agent Engine configurados con PSC-I para resolver registros DNS privados en zonas de Cloud DNS gestionadas por el cliente, la API de Vertex AI ofrece un mecanismo configurable por el usuario para especificar con qué dominios DNS se va a emparejar con los recursos internos de Google. Realiza las siguientes configuraciones adicionales:
Solución de problemas
En esta sección se tratan algunos problemas habituales al configurar Private Service Connect con Vertex AI.
Cuando configures Vertex AI con una VPC compartida, crea la vinculación de red en el proyecto de servicio en el que uses Vertex AI. Este enfoque ayuda a evitar ciertos mensajes de error, como Asegúrate de que la API Vertex AI esté habilitada en el proyecto, ya que garantiza que los permisos y las APIs necesarios estén habilitados en el proyecto correcto.