Ce guide explique comment configurer une interface Private Service Connect pour les ressources Vertex AI.
Vous pouvez configurer des connexions d'interface Private Service Connect pour certaines ressources dans Vertex AI, y compris :
Contrairement aux connexions d'appairage de VPC, les connexions d'interface Private Service Connect sont transitives. Cela nécessite moins d'adresses IP dans le réseau VPC consommateur. Cela vous permet de vous connecter plus facilement à d'autres réseaux VPC dans votre projet Google Cloud et sur site.
Ce guide s'adresse aux administrateurs réseau qui connaissent les concepts de mise en réseau Google Cloud .
Objectifs
Ce guide couvre les tâches suivantes :
- Configurez un réseau, un sous-réseau et un rattachement de réseau VPC producteur .
- Ajoutez des règles de pare-feu à votre projet hôte de réseau Google Cloud .
- Créez une ressource Vertex AI en spécifiant le rattachement de réseau pour utiliser une interface Private Service Connect.
Avant de commencer
Suivez les instructions ci-dessous pour créer ou sélectionner un projet Google Cloud et le configurer pour l'utiliser avec Vertex AI et Private Service Connect.
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
-
Enable the Vertex AI, Compute Engine, and Cloud Storage APIs.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (
roles/serviceusage.serviceUsageAdmin), which contains theserviceusage.services.enablepermission. Learn how to grant roles. -
Install the Google Cloud CLI.
-
Si vous utilisez un fournisseur d'identité (IdP) externe, vous devez d'abord vous connecter à la gcloud CLI avec votre identité fédérée.
-
Pour initialiser la gcloud CLI, exécutez la commande suivante :
gcloud init -
Après avoir initialisé la gcloud CLI, mettez-la à jour et installez les composants requis :
gcloud components update gcloud components install beta
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
-
Enable the Vertex AI, Compute Engine, and Cloud Storage APIs.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (
roles/serviceusage.serviceUsageAdmin), which contains theserviceusage.services.enablepermission. Learn how to grant roles. -
Install the Google Cloud CLI.
-
Si vous utilisez un fournisseur d'identité (IdP) externe, vous devez d'abord vous connecter à la gcloud CLI avec votre identité fédérée.
-
Pour initialiser la gcloud CLI, exécutez la commande suivante :
gcloud init -
Après avoir initialisé la gcloud CLI, mettez-la à jour et installez les composants requis :
gcloud components update gcloud components install beta
- Si vous n'êtes pas le propriétaire du projet et que vous ne disposez pas du rôle Administrateur de projet IAM (
roles/resourcemanager.projectIamAdmin), demandez au propriétaire de vous accorder un rôle IAM incluant l'autorisationcompute.networkAttachments.update, par exemple le rôle Administrateur de réseaux Compute (roles/compute.networkAdmin), pour gérer les ressources réseau. - Attribuez le rôle d'administrateur du réseau Compute du projet hôte Google Cloud au compte Agent de service AI Platform du projet dans lequel vous utilisez les services Vertex AI Training ou Vertex AI Agent Engine.
-
gcloud compute networks create NETWORK \ --subnet-mode=customRemplacez NETWORK par le nom du réseau VPC.
-
gcloud compute networks subnets create SUBNET_NAME \ --network=NETWORK \ --range=PRIMARY_RANGE \ --region=REGIONRemplacez les éléments suivants :
- SUBNET_NAME : nom du sous-réseau.
PRIMARY_RANGE : plage d'adresses IPv4 principales pour le nouveau sous-réseau, au format CIDR.
Voici les exigences et les limites concernant les adresses IP pour Vertex AI :
- Vertex AI recommande un sous-réseau
/28. - Le sous-réseau du rattachement réseau est compatible avec les adresses RFC 1918 et non RFC 1918, à l'exception des sous-réseaux 100.64.0.0/10 et 240.0.0.0/4.
- Vertex AI ne peut se connecter qu'aux plages d'adresses IP RFC 1918 routables à partir du réseau spécifié.
Vertex AI ne peut pas accéder à une adresse IP publique utilisée en mode privé ni à ces plages non-RFC 1918 :
100.64.0.0/10192.0.0.0/24192.0.2.0/24198.18.0.0/15198.51.100.0/24203.0.113.0/24240.0.0.0/4
Pour en savoir plus, consultez la section sur les plages de sous-réseaux IPv4.
- Vertex AI recommande un sous-réseau
REGION : Google Cloud région dans laquelle vous créez le nouveau sous-réseau.
Créez une règle de pare-feu qui autorise l'accès SSH sur le port TCP 22 :
gcloud compute firewall-rules create NETWORK-firewall1 \ --network NETWORK \ --allow tcp:22Créez une règle de pare-feu qui autorise le trafic HTTPS sur le port TCP 443 :
gcloud compute firewall-rules create NETWORK-firewall2 \ --network NETWORK \ --allow tcp:443Créez une règle de pare-feu qui autorise le trafic ICMP (comme les requêtes ping) :
gcloud compute firewall-rules create NETWORK-firewall3 \ --network NETWORK \ --allow icmpAttribuez le rôle DNS
Peer(roles/dns.peer)au compte Agent de service AI Platform du projet dans lequel vous utilisez les services Vertex AI Training ou Vertex AI Agent Engine. Si vous spécifiez un réseau VPC partagé à utiliser pour Vertex AI et que vous créez un rattachement réseau dans un projet de service, accordez le rôle DNSPeer(roles/dns.peer)à l'agent de service AI Platform dans le projet de service où vous utilisez Vertex AI, dans votre projet hôte VPC.Créez une règle de pare-feu qui autorise tout le trafic ICMP, TCP et UDP (facultatif) :
gcloud compute firewall-rules create NETWORK-firewall4 \ --network NETWORK --allow tcp:0-65535,udp:0-65535,icmp --source-ranges IP_RANGESConfigurez votre zone DNS privée pour la résolution DNS et le routage du trafic. Pour ajouter des enregistrements DNS à votre zone DNS privée, consultez Ajouter un jeu d'enregistrements de ressources.
- Découvrez comment utiliser la sortie d'interface Private Service Connect pour Ray sur Vertex AI.
- Découvrez comment utiliser la sortie d'interface Private Service Connect pour l'entraînement personnalisé.
- Découvrez comment utiliser la sortie d'interface Private Service Connect pour Vertex AI Pipelines.
- Découvrez comment utiliser la sortie d'interface Private Service Connect pour Vertex AI Agent Engine.
Configurer un réseau et un sous-réseau VPC
Suivez les étapes de configuration pour créer un réseau VPC si vous n'en avez pas déjà un.
Créer un rattachement de réseau
Dans un déploiement de VPC partagé, créez le sous-réseau utilisé pour le rattachement réseau dans le projet hôte, puis créez le rattachement réseau Private Service Connect dans le projet de service.
L'exemple suivant montre comment créer un rattachement réseau qui accepte les connexions manuellement.
gcloud compute network-attachments create NETWORK_ATTACHMENT_NAME \
--region=REGION \
--connection-preference=ACCEPT_MANUAL \
--subnets=SUBNET_NAME
Remplacez NETWORK_ATTACHMENT_NAME par le nom du rattachement de réseau.
Rôle requis de l'agent de service Vertex AI
Dans le projet où vous créez le rattachement réseau, vérifiez que le rôle compute.networkAdmin est attribué à l'agent de service Vertex AI du même projet. Activez l'API Vertex AI dans ce projet à l'avance s'il diffère du projet de service dans lequel vous utilisez Vertex AI.
Si vous spécifiez un réseau VPC partagé à utiliser pour Vertex AI et que vous créez un rattachement réseau dans un projet de service, accordez le rôle compute.networkUser à l'agent de service Vertex AI dans le projet de service où vous utilisez Vertex AI pour votre projet hôte VPC.
Configurer des règles de pare-feu
Le système applique des règles de pare-feu d'entrée dans le VPC du consommateur pour permettre la communication avec le sous-réseau de rattachement réseau de l'interface Private Service Connect à partir des points de terminaison de calcul et sur site.
La configuration des règles de pare-feu est facultative. Toutefois, nous vous recommandons de définir des règles de pare-feu courantes, comme indiqué dans les exemples suivants.
Configurer un appairage DNS privé
Pour permettre aux jobs Vertex AI Training ou aux agents Vertex AI Agent Engine configurés avec PSC-I de résoudre les enregistrements DNS privés dans les zones Cloud DNS gérées par le client, l'API Vertex AI propose un mécanisme configurable par l'utilisateur pour spécifier les domaines DNS à associer aux ressources internes de Google. Effectuez les configurations supplémentaires suivantes :
Dépannage
Cette section aborde certains problèmes courants liés à la configuration de Private Service Connect avec Vertex AI.
Lorsque vous configurez Vertex AI avec un VPC partagé, créez l'association de réseau dans le projet de service où vous utilisez Vertex AI. Cette approche permet d'éviter certains messages d'erreur, tels que Veuillez vous assurer que l'API Vertex AI est activée pour le projet, en s'assurant que les autorisations et les API nécessaires sont activées dans le bon projet.