Configurar uma interface do Private Service Connect para recursos da Vertex AI

Neste guia, mostramos como configurar uma interface do Private Service Connect para recursos da Vertex AI.

É possível configurar conexões de interface do Private Service Connect para determinados recursos na Vertex AI, incluindo:

Ao contrário das conexões de peering de VPC, as conexões de interface do Private Service Connect podem ser transitivas, exigindo menos endereços IP na rede VPC do consumidor. Isso permite mais flexibilidade na conexão com outras redes VPC no seu projeto Google Cloud e no ambiente local.

Este guia é recomendado para administradores de rede que conhecem os conceitos de rede Google Cloud .

Objetivos

Este guia abrange as seguintes tarefas:

  • Configure uma rede VPC, uma sub-rede e um anexo de rede do produtor.
  • Adicione regras de firewall ao projeto host da rede Google Cloud .
  • Crie um recurso da Vertex AI especificando o anexo de rede para usar uma interface do Private Service Connect.

Antes de começar

Use as instruções a seguir para criar ou selecionar um projeto Google Cloud e configurá-lo para uso com a Vertex AI e o Private Service Connect.

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Make sure that billing is enabled for your Google Cloud project.

  4. Enable the Vertex AI, Compute Engine, and Cloud Storage APIs.

    Enable the APIs

  5. Install the Google Cloud CLI.

  6. If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

  7. To initialize the gcloud CLI, run the following command: 

    gcloud init

  8. After initializing the gcloud CLI, update it and install the required components: 

    gcloud components update
gcloud components install beta

  9. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  10. Make sure that billing is enabled for your Google Cloud project.

  11. Enable the Vertex AI, Compute Engine, and Cloud Storage APIs.

    Enable the APIs

  12. Install the Google Cloud CLI.

  13. If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

  14. To initialize the gcloud CLI, run the following command: 

    gcloud init

  15. After initializing the gcloud CLI, update it and install the required components: 

    gcloud components update
gcloud components install beta
  16. Se você não for o proprietário do projeto e não tiver o papel de Administrador do IAM do projeto (roles/resourcemanager.projectIamAdmin), peça ao proprietário para conceder a você o papel de Administrador da rede do Compute (roles/compute.networkAdmin), que inclui as permissões necessárias para gerenciar recursos de rede.
  17. Atribua o papel de administrador da rede do projeto host Google Cloud à conta do agente de serviço da AI Platform do projeto em que você está usando os serviços do Vertex AI Training.

    18. Configurar uma rede e uma sub-rede VPC

    Nesta seção, você pode usar uma rede VPC atual ou seguir as etapas de configuração para criar uma nova rede VPC, caso não tenha uma.

    1. Crie uma rede VPC:

      gcloud compute networks create NETWORK \
    --subnet-mode=custom

      Substitua NETWORK por um nome para a rede VPC.

    2. Criar uma sub-rede:

      gcloud compute networks subnets create SUBNET_NAME \
    --network=NETWORK \
    --range=PRIMARY_RANGE \
    --region=REGION

      Substitua:

      • SUBNET_NAME: um nome para a sub-rede.

      • PRIMARY_RANGE: o intervalo IPv4 principal da nova sub-rede, em notação CIDR. Para mais informações, consulte Intervalos de sub-rede IPv4.

        A Vertex AI exige uma sub-rede /28.

        A Vertex AI só pode acessar intervalos RFC 1918 roteáveis do NETWORK especificado. Consulte Intervalos IPv4 válidos para ver a lista de intervalos RFC 1918 válidos. A Vertex AI não consegue acessar os seguintes intervalos não RFC 1918:

        • 100.64.0.0/10
        • 192.0.0.0/24
        • 192.0.2.0/24
        • 198.18.0.0/15
        • 198.51.100.0/24
        • 203.0.113.0/24
        • 240.0.0.0/4

      • REGION: a Google Cloud região em que a nova sub-rede é criada.

    Criar um anexo de rede

    Em uma implantação de VPC compartilhada, crie a sub-rede usada para o anexo de rede no projeto host e, em seguida, crie o anexo de rede do Private Service Connect no projeto de serviço.

    O exemplo a seguir mostra como criar um anexo de rede que aceite conexões manualmente.

       gcloud compute network-attachments create NETWORK_ATTACHMENT_NAME \
       --region=REGION \
       --connection-preference=ACCEPT_MANUAL \
       --subnets=SUBNET_NAME

    Substitua NETWORK_ATTACHMENT_NAME por um nome para o anexo de rede.

    Função obrigatória do agente de serviço da Vertex AI

    No projeto em que você cria o anexo de rede, verifique se a função compute.networkAdmin foi concedida ao agente de serviço da Vertex AI do mesmo projeto. Ative a API Vertex AI nesse projeto com antecedência se ele for diferente do projeto de serviço em que você usa a Vertex AI.

    Se você especificar uma rede de VPC compartilhada para a Vertex AI usar e criar um anexo de rede em um projeto de serviço, conceda ao agente de serviço da Vertex AI no projeto de serviço em que você usa a Vertex AI a função compute.networkUser no projeto host da VPC.

    Configurar regras de firewall

    As regras de firewall de entrada são aplicadas na VPC do consumidor para permitir a comunicação com a sub-rede de anexo de rede da interface do Private Service Connect de endpoints de computação e locais.

    A configuração de regras de firewall é opcional. No entanto, recomendamos que você defina regras de firewall comuns, conforme mostrado nos exemplos a seguir.

    1. Crie uma regra de firewall que permita o acesso SSH na porta TCP 22:

      gcloud compute firewall-rules create NETWORK-firewall1 \
    --network NETWORK \
    --allow tcp:22

    2. Crie uma regra de firewall que permita o tráfego HTTPS na porta TCP 443:

      gcloud compute firewall-rules create NETWORK-firewall2 \
    --network NETWORK \
    --allow tcp:443

    3. Crie uma regra de firewall que permita o tráfego ICMP (como solicitações de ping):

      gcloud compute firewall-rules create NETWORK-firewall3 \
    --network NETWORK \
    --allow icmp

    Configurar um peering de DNS particular

    Para permitir que jobs de treinamento da Vertex AI configurados com PSC-I resolvam registros DNS particulares em zonas do Cloud DNS gerenciadas pelo cliente, a API Vertex AI oferece um mecanismo configurável pelo usuário para especificar quais domínios DNS precisam de peering. Você precisará fazer as seguintes configurações adicionais.

    1. Atribua a função DNS Peer(roles/dns.peer) à conta do agente de serviço da AI Platform do projeto em que você está usando os serviços do Vertex AI Training. Se você especificar uma rede de VPC compartilhada para a Vertex AI usar e criar um anexo de rede em um projeto de serviço, conceda ao Agente de serviço do AI Platform no projeto de serviço em que você usa a Vertex AI o papel DNS Peer(roles/dns.peer) no projeto host da VPC.

    2. Crie uma regra de firewall que permita todo o tráfego ICMP, TCP e UDP (opcional):

      !gcloud compute firewall-rules create NETWORK-firewall4 \
    --network NETWORK
    --allow tcp:0-65535,udp:0-65535,icmp
    --source-ranges IP_RANGES

    3. Configure sua zona de DNS particular para resolução de DNS e roteamento de tráfego. Para adicionar registros DNS à sua zona DNS particular, consulte Adicionar um conjunto de registros de recursos.

    A seguir