Halaman ini diterjemahkan oleh Cloud Translation API.

Menyiapkan antarmuka Private Service Connect untuk resource Vertex AI

Panduan ini menunjukkan cara menyiapkan antarmuka Private Service Connect untuk resource Vertex AI.

Anda dapat mengonfigurasi koneksi antarmuka Private Service Connect untuk resource tertentu di Vertex AI, termasuk:

Tidak seperti koneksi peering VPC, koneksi antarmuka Private Service Connect dapat bersifat transitif, sehingga memerlukan lebih sedikit alamat IP di jaringan VPC konsumen. Hal ini memberikan fleksibilitas yang lebih besar dalam menghubungkan ke jaringan VPC lain di project Google Cloud dan lokal Anda.

Panduan ini direkomendasikan bagi administrator jaringan yang sudah memahami konsep jaringan. Google Cloud

Tujuan

Panduan ini mencakup tugas-tugas berikut:

Konfigurasi jaringan VPC, subnet, dan lampiran jaringan produsen.
Tambahkan aturan firewall ke project host jaringan Google Cloud .
Buat resource Vertex AI yang menentukan lampiran jaringan untuk menggunakan antarmuka Private Service Connect.

Sebelum memulai

Gunakan petunjuk berikut untuk membuat atau memilih Google Cloud project dan mengonfigurasinya untuk digunakan dengan Vertex AI dan Private Service Connect.

Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Make sure that billing is enabled for your Google Cloud project.

Enable the Vertex AI, Compute Engine, and Cloud Storage APIs.

Enable the APIs

Install the Google Cloud CLI.

If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

To initialize the gcloud CLI, run the following command:

gcloud init

After initializing the gcloud CLI, update it and install the required components:

gcloud components update
gcloud components install beta

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Make sure that billing is enabled for your Google Cloud project.

Enable the Vertex AI, Compute Engine, and Cloud Storage APIs.

Enable the APIs

Install the Google Cloud CLI.

If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

To initialize the gcloud CLI, run the following command:

gcloud init

After initializing the gcloud CLI, update it and install the required components:

gcloud components update
gcloud components install beta

Jika Anda bukan pemilik project, dan Anda tidak memiliki peran Project IAM Admin (roles/resourcemanager.projectIamAdmin), minta pemilik untuk memberi Anda peran Compute Network Admin (roles/compute.networkAdmin), yang mencakup peran yang diperlukan untuk mengelola sumber daya jaringan.
Tetapkan peran Compute Network Admin dari project host jaringan Google Cloud ke akun AI Platform Service Agent dari project tempat Anda menggunakan layanan Vertex AI Training.

Menyiapkan jaringan dan subnet VPC

Di bagian ini, Anda dapat menggunakan jaringan VPC yang sudah ada atau mengikuti langkah-langkah konfigurasi untuk membuat jaringan VPC baru jika Anda tidak memiliki jaringan yang sudah ada.

Buat jaringan VPC:

gcloud compute networks create NETWORK \
    --subnet-mode=custom

Ganti NETWORK dengan nama untuk jaringan VPC.

Buat subnet:
```
gcloud compute networks subnets create SUBNET_NAME \
    --network=NETWORK \
    --range=PRIMARY_RANGE \
    --region=REGION
```
Ganti kode berikut:
- SUBNET_NAME: nama untuk subnet.
- PRIMARY_RANGE: rentang IPv4 utama untuk subnet baru, dalam notasi CIDR. Untuk mengetahui informasi selengkapnya, lihat Rentang subnet IPv4.
  
  Vertex AI memerlukan subnetwork /28.
  
  Vertex AI hanya dapat menjangkau rentang RFC 1918 yang dapat dirutekan dari NETWORK yang ditentukan. Lihat Rentang IPv4 yang valid untuk mengetahui daftar rentang RFC 1918 yang valid. Vertex AI tidak dapat menjangkau rentang non-RFC 1918 berikut:
  - 100.64.0.0/10
  - 192.0.0.0/24
  - 192.0.2.0/24
  - 198.18.0.0/15
  - 198.51.100.0/24
  - 203.0.113.0/24
  - 240.0.0.0/4
- REGION: Google Cloud region tempat subnet baru dibuat.

Membuat lampiran jaringan

Dalam deployment VPC Bersama, buat subnet yang digunakan untuk Lampiran Jaringan di Project Host, lalu buat Lampiran Jaringan Private Service Connect di Project Layanan.

Contoh berikut menunjukkan cara Membuat lampiran jaringan yang menerima koneksi secara manual.

   gcloud compute network-attachments create NETWORK_ATTACHMENT_NAME \
       --region=REGION \
       --connection-preference=ACCEPT_MANUAL \
       --subnets=SUBNET_NAME

Ganti NETWORK_ATTACHMENT_NAME dengan nama untuk lampiran jaringan.

Peran yang diperlukan agen layanan Vertex AI

Di project tempat Anda membuat lampiran jaringan, pastikan peran compute.networkAdmin diberikan kepada agen layanan Vertex AI dari project yang sama. Anda perlu mengaktifkan Vertex AI API di project ini terlebih dahulu jika project ini berbeda dengan project layanan tempat Anda menggunakan Vertex AI.

Jika Anda menentukan jaringan VPC Bersama untuk digunakan oleh Vertex AI dan Anda membuat lampiran jaringan di project layanan, pastikan untuk memberikan peran agen layanan Vertex AI di project layanan tempat Anda menggunakan Vertex AI, yaitu peran compute.networkUser, ke project host VPC Anda.

Mengonfigurasi aturan firewall

Aturan firewall masuk diterapkan di VPC konsumen untuk mengaktifkan komunikasi dengan subnet lampiran jaringan antarmuka Private Service Connect dari endpoint komputasi dan lokal.

Mengonfigurasi aturan firewall bersifat opsional. Namun, sebaiknya tetapkan aturan firewall umum seperti yang ditunjukkan dalam contoh berikut.

Buat aturan firewall yang mengizinkan akses SSH di TCP port 22:

gcloud compute firewall-rules create NETWORK-firewall1 \
    --network NETWORK \
    --allow tcp:22

Buat aturan firewall yang mengizinkan traffic HTTPS di port TCP 443:

gcloud compute firewall-rules create NETWORK-firewall2 \
    --network NETWORK \
    --allow tcp:443

Buat aturan firewall yang mengizinkan traffic ICMP (seperti permintaan ping)::

gcloud compute firewall-rules create NETWORK-firewall3 \
    --network NETWORK \
    --allow icmp

Menyiapkan peering DNS pribadi

Untuk mengaktifkan tugas Vertex AI Training yang dikonfigurasi dengan PSC-I agar dapat me-resolve data DNS pribadi di zona Cloud DNS yang dikelola pelanggan, Vertex AI API menawarkan mekanisme yang dapat dikonfigurasi pengguna untuk menentukan domain DNS mana yang harus di-peering. Anda harus melakukan konfigurasi tambahan berikut.

Tetapkan peran DNS Peer(roles/dns.peer) ke akun AI Platform Service Agent project tempat Anda menggunakan layanan Vertex AI Training. Jika Anda menentukan jaringan VPC Bersama untuk digunakan oleh Vertex AI dan membuat lampiran jaringan dalam project layanan, pastikan untuk memberikan peran AI Platform Service Agent di project layanan tempat Anda menggunakan Vertex AI, peran DNS Peer(roles/dns.peer) di project host VPC Anda.

Buat aturan firewall yang mengizinkan semua traffic ICMP, TCP, dan UDP (opsional):

!gcloud compute firewall-rules create NETWORK-firewall4 \
    --network NETWORK
    --allow tcp:0-65535,udp:0-65535,icmp
    --source-ranges IP_RANGES

Siapkan zona DNS pribadi Anda untuk resolusi DNS dan perutean traffic. Untuk menambahkan data DNS ke zona DNS pribadi, lihat Menambahkan set data resource.

Langkah berikutnya

Pelajari cara menggunakan keluar antarmuka Private Service Connect untuk Ray on Vertex AI.
Pelajari cara menggunakan egress antarmuka Private Service Connect untuk pelatihan kustom.
Pelajari cara menggunakan keluar antarmuka Private Service Connect untuk Vertex AI Pipelines.

Menyiapkan antarmuka Private Service Connect untuk resource Vertex AI Tetap teratur dengan koleksi Simpan dan kategorikan konten berdasarkan preferensi Anda.