Panduan ini menunjukkan cara menyiapkan antarmuka Private Service Connect untuk resource Vertex AI.
Anda dapat mengonfigurasi koneksi antarmuka Private Service Connect untuk resource tertentu di Vertex AI, termasuk:
Tidak seperti koneksi peering VPC, koneksi antarmuka Private Service Connect bersifat transitif. Hal ini memerlukan lebih sedikit alamat IP di jaringan VPC konsumen. Hal ini memberikan fleksibilitas yang lebih besar dalam menghubungkan ke jaringan VPC lain di project Google Cloud dan lokal Anda.
Panduan ini ditujukan bagi administrator jaringan yang sudah memahami konsep jaringan. Google Cloud
Tujuan
Panduan ini mencakup tugas-tugas berikut:
- Konfigurasi jaringan, subnet, dan lampiran jaringan VPC produsen .
- Tambahkan aturan firewall ke project host jaringan Google Cloud .
- Buat resource Vertex AI yang menentukan lampiran jaringan untuk menggunakan antarmuka Private Service Connect.
Sebelum memulai
Gunakan petunjuk berikut untuk membuat atau memilih Google Cloud project dan mengonfigurasinya untuk digunakan dengan Vertex AI dan Private Service Connect.
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Verify that billing is enabled for your Google Cloud project.
-
Enable the Vertex AI, Compute Engine, and Cloud Storage APIs.
-
Install the Google Cloud CLI.
-
Jika Anda menggunakan penyedia identitas (IdP) eksternal, Anda harus login ke gcloud CLI dengan identitas gabungan Anda terlebih dahulu.
-
Untuk melakukan inisialisasi gcloud CLI, jalankan perintah berikut:
gcloud init -
Setelah melakukan inisialisasi gcloud CLI, update dan instal komponen yang diperlukan:
gcloud components update gcloud components install beta
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Verify that billing is enabled for your Google Cloud project.
-
Enable the Vertex AI, Compute Engine, and Cloud Storage APIs.
-
Install the Google Cloud CLI.
-
Jika Anda menggunakan penyedia identitas (IdP) eksternal, Anda harus login ke gcloud CLI dengan identitas gabungan Anda terlebih dahulu.
-
Untuk melakukan inisialisasi gcloud CLI, jalankan perintah berikut:
gcloud init -
Setelah melakukan inisialisasi gcloud CLI, update dan instal komponen yang diperlukan:
gcloud components update gcloud components install beta
- Jika Anda bukan pemilik project dan tidak memiliki peran
Project IAM Admin (
roles/resourcemanager.projectIamAdmin), minta pemilik untuk memberi Anda peran IAM yang mencakup izincompute.networkAttachments.update, misalnya, peran Compute Network Admin (roles/compute.networkAdmin), untuk mengelola sumber daya jaringan. - Tetapkan peran Compute Network Admin dari project host Google Cloud jaringan ke akun AI Platform Service Agent dari project tempat Anda menggunakan layanan Vertex AI Training atau Vertex AI Agent Engine.
-
gcloud compute networks create NETWORK \ --subnet-mode=customGanti NETWORK dengan nama untuk jaringan VPC.
-
gcloud compute networks subnets create SUBNET_NAME \ --network=NETWORK \ --range=PRIMARY_RANGE \ --region=REGIONGanti kode berikut:
- SUBNET_NAME: nama untuk subnet.
PRIMARY_RANGE: rentang IPv4 utama untuk subnet baru, dalam notasi CIDR.
Berikut adalah persyaratan dan batasan IP untuk Vertex AI:
- Vertex AI merekomendasikan subnetwork
/28. - Subnet lampiran jaringan mendukung alamat RFC 1918 dan non-RFC 1918, kecuali subnet 100.64.0.0/10 dan 240.0.0.0/4.
- Vertex AI hanya dapat terhubung ke rentang alamat IP RFC 1918 yang dapat dirutekan dari jaringan yang ditentukan.
Vertex AI tidak dapat menjangkau alamat IP publik yang digunakan secara pribadi atau rentang non-RFC 1918 ini:
100.64.0.0/10192.0.0.0/24192.0.2.0/24198.18.0.0/15198.51.100.0/24203.0.113.0/24240.0.0.0/4
Untuk mengetahui informasi selengkapnya, lihat Rentang subnet IPv4.
- Vertex AI merekomendasikan subnetwork
REGION: Google Cloud region tempat Anda membuat subnet baru.
Buat aturan firewall yang mengizinkan akses SSH di TCP port 22:
gcloud compute firewall-rules create NETWORK-firewall1 \ --network NETWORK \ --allow tcp:22Buat aturan firewall yang mengizinkan traffic HTTPS di port TCP 443:
gcloud compute firewall-rules create NETWORK-firewall2 \ --network NETWORK \ --allow tcp:443Buat aturan firewall yang mengizinkan traffic ICMP (seperti permintaan ping):
gcloud compute firewall-rules create NETWORK-firewall3 \ --network NETWORK \ --allow icmpTetapkan peran DNS
Peer(roles/dns.peer)ke akun AI Platform Service Agent project tempat Anda menggunakan layanan Vertex AI Training atau Vertex AI Agent Engine. Jika Anda menentukan jaringan VPC Bersama untuk digunakan oleh Vertex AI dan membuat lampiran jaringan dalam project layanan, berikan peran AI Platform Service Agent di project layanan tempat Anda menggunakan Vertex AI peran DNSPeer(roles/dns.peer)di project host VPC Anda.Buat aturan firewall yang mengizinkan semua traffic ICMP, TCP, dan UDP (opsional):
gcloud compute firewall-rules create NETWORK-firewall4 \ --network NETWORK --allow tcp:0-65535,udp:0-65535,icmp --source-ranges IP_RANGESSiapkan zona DNS pribadi Anda untuk resolusi DNS dan perutean traffic. Untuk menambahkan data DNS ke zona DNS pribadi, lihat Menambahkan set data resource.
- Pelajari cara menggunakan keluar antarmuka Private Service Connect untuk Ray on Vertex AI.
- Pelajari cara menggunakan egress antarmuka Private Service Connect untuk pelatihan kustom.
- Pelajari cara menggunakan keluar antarmuka Private Service Connect untuk Vertex AI Pipelines.
- Pelajari cara menggunakan keluar antarmuka Private Service Connect untuk Vertex AI Agent Engine
Menyiapkan jaringan dan subnet VPC
Ikuti langkah-langkah konfigurasi untuk membuat jaringan VPC baru jika Anda tidak memiliki jaringan yang sudah ada.
Membuat lampiran jaringan
Dalam deployment VPC Bersama, buat subnet yang digunakan untuk Lampiran Jaringan di Project Host, lalu buat Lampiran Jaringan Private Service Connect di Project Layanan.
Contoh berikut menunjukkan cara Membuat lampiran jaringan yang menerima koneksi secara manual.
gcloud compute network-attachments create NETWORK_ATTACHMENT_NAME \
--region=REGION \
--connection-preference=ACCEPT_MANUAL \
--subnets=SUBNET_NAME
Ganti NETWORK_ATTACHMENT_NAME dengan nama untuk lampiran jaringan.
Peran yang diperlukan agen layanan Vertex AI
Di project tempat Anda membuat lampiran jaringan, pastikan peran compute.networkAdmin diberikan kepada
agen layanan Vertex AI
dari project yang sama. Aktifkan Vertex AI API di project ini terlebih dahulu jika berbeda dengan project layanan tempat Anda menggunakan Vertex AI.
Jika Anda menentukan jaringan VPC Bersama untuk digunakan oleh Vertex AI dan membuat lampiran jaringan di project layanan, berikan peran agen layanan Vertex AI di project layanan tempat Anda menggunakan Vertex AI peran compute.networkUser ke project host VPC Anda.
Mengonfigurasi aturan firewall
Sistem menerapkan aturan firewall Ingress di VPC konsumen untuk mengaktifkan komunikasi dengan subnet lampiran jaringan antarmuka Private Service Connect dari endpoint lokal dan komputasi.
Mengonfigurasi aturan firewall bersifat opsional. Namun, sebaiknya tetapkan aturan firewall umum seperti yang ditunjukkan dalam contoh berikut.
Menyiapkan peering DNS pribadi
Untuk mengaktifkan tugas Vertex AI Training atau agen Vertex AI Agent Engine yang dikonfigurasi dengan PSC-I agar dapat me-resolve data DNS pribadi di zona DNS Cloud yang dikelola pelanggan, Vertex AI API menawarkan mekanisme yang dapat dikonfigurasi pengguna untuk menentukan domain DNS mana yang akan di-peering dengan resource internal Google. Lakukan konfigurasi tambahan berikut:
Pemecahan masalah
Bagian ini membahas beberapa masalah umum dalam mengonfigurasi Private Service Connect dengan Vertex AI.
Saat mengonfigurasi Vertex AI dengan VPC Bersama, buat lampiran jaringan di project layanan tempat Anda menggunakan Vertex AI. Pendekatan ini membantu mencegah pesan error tertentu, seperti Pastikan Vertex AI API diaktifkan untuk project, dengan memastikan izin dan API yang diperlukan diaktifkan di project yang benar.