Configurare un'interfaccia Private Service Connect per le risorse Vertex AI

Questa guida mostra come configurare un'interfaccia Private Service Connect per le risorse Vertex AI.

Puoi configurare le connessioni dell'interfaccia Private Service Connect per determinate risorse in Vertex AI, tra cui:

A differenza delle connessioni peering VPC, le connessioni di interfaccia Private Service Connect possono essere transitive, richiedendo meno indirizzi IP nella rete VPC consumer. Ciò consente una maggiore flessibilità nella connessione ad altre reti VPC nel tuo progetto Google Cloud e on-premise.

Questa guida è consigliata agli amministratori di rete che hanno familiarità con i concetti di rete. Google Cloud

Obiettivi

Questa guida tratta le seguenti attività:

  • Configura una rete VPC producer, una subnet e un collegamento di rete.
  • Aggiungi regole firewall al tuo progetto host di rete Google Cloud .
  • Crea una risorsa Vertex AI specificando l'allegato di rete per utilizzare un'interfaccia Private Service Connect.

Prima di iniziare

Utilizza le seguenti istruzioni per creare o selezionare un Google Cloud progetto e configurarlo per l'utilizzo con Vertex AI e Private Service Connect.

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Enable the Vertex AI, Compute Engine, and Cloud Storage APIs.

    Enable the APIs

  5. Install the Google Cloud CLI.

  6. If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

  7. To initialize the gcloud CLI, run the following command: 

    gcloud init

  8. After initializing the gcloud CLI, update it and install the required components: 

    gcloud components update
gcloud components install beta

  9. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  10. Make sure that billing is enabled for your Google Cloud project.

  11. Enable the Vertex AI, Compute Engine, and Cloud Storage APIs.

    Enable the APIs

  12. Install the Google Cloud CLI.

  13. If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

  14. To initialize the gcloud CLI, run the following command: 

    gcloud init

  15. After initializing the gcloud CLI, update it and install the required components: 

    gcloud components update
gcloud components install beta
  16. Se non sei il proprietario del progetto e non disponi del ruolo Amministratore IAM progetto (roles/resourcemanager.projectIamAdmin), chiedi al proprietario di concederti il ruolo Amministratore di rete Compute (roles/compute.networkAdmin), che include i ruoli richiesti per gestire le risorse di rete.
  17. Assegna il ruolo Amministratore di rete Compute del progetto host Google Cloud di rete all'account agente di servizio AI Platform del progetto in cui utilizzi i servizi di Vertex AI Training.

    18. Configura una rete VPC e una subnet

    In questa sezione puoi utilizzare una rete VPC esistente o seguire i passaggi di configurazione per creare una nuova rete VPC se non ne hai una.

    1. Crea una rete VPC:

      gcloud compute networks create NETWORK \
    --subnet-mode=custom

      Sostituisci NETWORK con un nome per la rete VPC.

    2. Crea una subnet:

      gcloud compute networks subnets create SUBNET_NAME \
    --network=NETWORK \
    --range=PRIMARY_RANGE \
    --region=REGION

      Sostituisci quanto segue:

      • SUBNET_NAME: un nome per la subnet.

      • PRIMARY_RANGE: l'intervallo IPv4 principale per la nuova subnet, nella notazione CIDR. Per saperne di più, vedi Intervalli di subnet IPv4.

        Vertex AI richiede una subnet /28.

        Vertex AI può raggiungere solo gli intervalli RFC 1918 instradabili da NETWORK specificato. Consulta Intervalli IPv4 validi per l'elenco degli intervalli RFC 1918 validi. Vertex AI non può raggiungere i seguenti intervalli non conformi a RFC 1918:

        • 100.64.0.0/10
        • 192.0.0.0/24
        • 192.0.2.0/24
        • 198.18.0.0/15
        • 198.51.100.0/24
        • 203.0.113.0/24
        • 240.0.0.0/4

      • REGION: la regione Google Cloud in cui viene creata la nuova subnet.

    Crea un collegamento di rete

    In un deployment VPC condiviso, crea la subnet utilizzata per il collegamento di rete nel progetto host, quindi crea il collegamento di rete Private Service Connect nel progetto di servizio.

    Il seguente esempio mostra come creare un collegamento di rete che accetta manualmente le connessioni.

       gcloud compute network-attachments create NETWORK_ATTACHMENT_NAME \
       --region=REGION \
       --connection-preference=ACCEPT_MANUAL \
       --subnets=SUBNET_NAME

    Sostituisci NETWORK_ATTACHMENT_NAME con un nome per il collegamento di rete.

    Ruolo richiesto per l'agente di servizio Vertex AI

    Nel progetto in cui crei l'allegato di rete, verifica che il ruolo compute.networkAdmin sia concesso all'agente di servizio Vertex AI dello stesso progetto. Devi abilitare l'API Vertex AI in questo progetto in anticipo se è diverso dal progetto di servizio in cui utilizzi Vertex AI.

    Se specifichi una rete VPC condiviso da utilizzare per Vertex AI e crei un collegamento di rete in un progetto di servizio, assicurati di concedere il ruolo compute.networkUser all'agente di servizio Vertex AI nel progetto di servizio in cui utilizzi Vertex AI al progetto host VPC.

    Configurazione delle regole del firewall

    Le regole firewall in entrata vengono applicate nel VPC consumer per abilitare la comunicazione con la subnet di collegamento di rete dell'interfaccia Private Service Connect dagli endpoint di Compute e on-premise.

    La configurazione delle regole firewall è facoltativa. Tuttavia, ti consigliamo di impostare regole firewall comuni come mostrato negli esempi seguenti.

    1. Crea una regola firewall che consenta l'accesso SSH sulla porta TCP 22:

      gcloud compute firewall-rules create NETWORK-firewall1 \
    --network NETWORK \
    --allow tcp:22

    2. Crea una regola firewall che consenta il traffico HTTPS sulla porta TCP 443:

      gcloud compute firewall-rules create NETWORK-firewall2 \
    --network NETWORK \
    --allow tcp:443

    3. Crea una regola firewall che consenta il traffico ICMP (ad esempio le richieste ping)::

      gcloud compute firewall-rules create NETWORK-firewall3 \
    --network NETWORK \
    --allow icmp

    Configura un peering DNS privato

    Per consentire ai job di Vertex AI Training configurati con PSC-I di risolvere i record DNS privati nelle zone Cloud DNS gestite dal cliente, l'API Vertex AI offre un meccanismo configurabile dall'utente per specificare i domini DNS da sottoporre a peering. Dovrai apportare le seguenti configurazioni aggiuntive.

    1. Assegna il ruolo DNS Peer(roles/dns.peer) all'account agente di servizio AI Platform del progetto in cui utilizzi i servizi di Vertex AI Training. Se specifichi una rete VPC condivisa da utilizzare per Vertex AI e crei un collegamento di rete in un progetto di servizio, assicurati di concedere il ruolo DNS Peer(roles/dns.peer) all'agente di servizio AI Platform nel progetto di servizio in cui utilizzi Vertex AI nel progetto host VPC.

    2. (Facoltativo) Crea una regola firewall che consenta tutto il traffico ICMP, TCP e UDP:

      !gcloud compute firewall-rules create NETWORK-firewall4 \
    --network NETWORK
    --allow tcp:0-65535,udp:0-65535,icmp
    --source-ranges IP_RANGES

    3. Configura la zona DNS privata per la risoluzione DNS e il routing del traffico. Per aggiungere record DNS alla tua zona DNS privata, consulta Aggiungere un insieme di record di risorse.

    Passaggi successivi