Configurar uma interface do Private Service Connect para recursos da Vertex AI

Neste guia, mostramos como configurar uma interface do Private Service Connect para recursos da Vertex AI.

É possível configurar conexões de interface do Private Service Connect para determinados recursos na Vertex AI, incluindo:

Ao contrário das conexões de peering de VPC, as conexões de interface do Private Service Connect são transitivas. Isso requer menos endereços IP na rede VPC do consumidor. Isso permite mais flexibilidade na conexão com outras redes VPC no seu projeto Google Cloud e no ambiente local.

Este guia é destinado a administradores de rede familiarizados com os conceitos de rede Google Cloud .

Objetivos

Este guia abrange as seguintes tarefas:

  • Configure uma rede, uma sub-rede e um anexo de rede VPC do produtor .
  • Adicione regras de firewall ao projeto host da rede Google Cloud .
  • Crie um recurso da Vertex AI especificando o anexo de rede para usar uma interface do Private Service Connect.

Antes de começar

Use as instruções a seguir para criar ou selecionar um projeto Google Cloud e configurá-lo para uso com a Vertex AI e o Private Service Connect.

  1. Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Vertex AI, Compute Engine, and Cloud Storage APIs.

    Enable the APIs

  5. Install the Google Cloud CLI.

  6. Ao usar um provedor de identidade (IdP) externo, primeiro faça login na gcloud CLI com sua identidade federada.

  7. Para inicializar a gcloud CLI, execute o seguinte comando: 

    gcloud init

  8. Depois que a gcloud CLI é inicializada, ela precisa ser atualizada e os componentes necessários instalados: 

    gcloud components update
gcloud components install beta

  9. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  10. Verify that billing is enabled for your Google Cloud project.

  11. Enable the Vertex AI, Compute Engine, and Cloud Storage APIs.

    Enable the APIs

  12. Install the Google Cloud CLI.

  13. Ao usar um provedor de identidade (IdP) externo, primeiro faça login na gcloud CLI com sua identidade federada.

  14. Para inicializar a gcloud CLI, execute o seguinte comando: 

    gcloud init

  15. Depois que a gcloud CLI é inicializada, ela precisa ser atualizada e os componentes necessários instalados: 

    gcloud components update
gcloud components install beta
  16. Se você não for o proprietário do projeto e não tiver o papel de Administrador do IAM do projeto (roles/resourcemanager.projectIamAdmin), peça ao proprietário para conceder a você um papel do IAM que inclua a permissão compute.networkAttachments.update, por exemplo, o papel de Administrador de rede do Compute (roles/compute.networkAdmin), para gerenciar recursos de rede.
  17. Atribua o papel de administrador de rede do projeto host Google Cloud à conta do agente de serviço da AI Platform do projeto em que você está usando os serviços do Vertex AI Training ou do Vertex AI Agent Engine.

    18. Configurar uma rede e uma sub-rede VPC

    Siga as etapas de configuração para criar uma rede VPC se você não tiver uma.

    1. Crie uma rede VPC:

      gcloud compute networks create NETWORK \
    --subnet-mode=custom

      Substitua NETWORK por um nome para a rede VPC.

    2. Criar uma sub-rede:

      gcloud compute networks subnets create SUBNET_NAME \
    --network=NETWORK \
    --range=PRIMARY_RANGE \
    --region=REGION

      Substitua:

      • SUBNET_NAME: um nome para a sub-rede.

      • PRIMARY_RANGE: o intervalo IPv4 principal da nova sub-rede, em notação CIDR.

        Confira abaixo os requisitos e limitações de IP para a Vertex AI:

        • A Vertex AI recomenda uma sub-rede /28.
        • A sub-rede do anexo de rede é compatível com endereços RFC 1918 e não RFC 1918, exceto as sub-redes 100.64.0.0/10 e 240.0.0.0/4.
        • A Vertex AI só pode se conectar a intervalos de endereços IP RFC 1918 que podem ser roteados da rede especificada.

        • A Vertex AI não consegue acessar um endereço IP público usado de modo privado ou estes intervalos não RFC 1918:

          • 100.64.0.0/10
          • 192.0.0.0/24
          • 192.0.2.0/24
          • 198.18.0.0/15
          • 198.51.100.0/24
          • 203.0.113.0/24
          • 240.0.0.0/4

        Para mais informações, consulte Intervalos de sub-rede IPv4.

      • REGION: a Google Cloud região em que você cria a nova sub-rede.

    Criar um anexo de rede

    Em uma implantação de VPC compartilhada, crie a sub-rede usada para o anexo de rede no projeto host e, em seguida, crie o anexo de rede do Private Service Connect no projeto de serviço.

    O exemplo a seguir mostra como criar um anexo de rede que aceite conexões manualmente.

       gcloud compute network-attachments create NETWORK_ATTACHMENT_NAME \
       --region=REGION \
       --connection-preference=ACCEPT_MANUAL \
       --subnets=SUBNET_NAME

    Substitua NETWORK_ATTACHMENT_NAME por um nome para o anexo de rede.

    Função obrigatória do agente de serviço da Vertex AI

    No projeto em que você cria o anexo de rede, verifique se a função compute.networkAdmin foi concedida ao agente de serviço da Vertex AI do mesmo projeto. Ative a API Vertex AI nesse projeto com antecedência se ele for diferente do projeto de serviço em que você usa a Vertex AI.

    Se você especificar uma rede VPC compartilhada para a Vertex AI usar e criar um anexo de rede em um projeto de serviço, conceda ao agente de serviço da Vertex AI no projeto de serviço em que você usa a Vertex AI a função compute.networkUser no projeto host da VPC.

    Configurar regras de firewall

    O sistema aplica regras de firewall de entrada na VPC do consumidor para permitir a comunicação com a sub-rede de anexo de rede da interface do Private Service Connect de endpoints de computação e locais.

    A configuração de regras de firewall é opcional. No entanto, recomendamos que você defina regras de firewall comuns, conforme mostrado nos exemplos a seguir.

    1. Crie uma regra de firewall que permita o acesso SSH na porta TCP 22:

      gcloud compute firewall-rules create NETWORK-firewall1 \
    --network NETWORK \
    --allow tcp:22

    2. Crie uma regra de firewall que permita o tráfego HTTPS na porta TCP 443:

      gcloud compute firewall-rules create NETWORK-firewall2 \
    --network NETWORK \
    --allow tcp:443

    3. Crie uma regra de firewall que permita o tráfego ICMP (como solicitações de ping):

      gcloud compute firewall-rules create NETWORK-firewall3 \
    --network NETWORK \
    --allow icmp

    Configurar um peering de DNS particular

    Para permitir que jobs do Vertex AI Training ou agentes do Vertex AI Agent Engine configurados com PSC-I resolvam registros DNS particulares em zonas do Cloud DNS gerenciadas pelo cliente, a API Vertex AI oferece um mecanismo configurável pelo usuário para especificar com quais domínios DNS fazer peering com recursos internos do Google. Faça as seguintes configurações adicionais:

    1. Atribua o papel de DNS Peer(roles/dns.peer) à conta do agente de serviço da AI Platform do projeto em que você está usando os serviços do Vertex AI Training ou do Vertex AI Agent Engine. Se você especificar uma rede de VPC compartilhada para a Vertex AI usar e criar um anexo de rede em um projeto de serviço, conceda ao Agente de serviço da AI Platform no projeto de serviço em que você usa a Vertex AI a função de DNS Peer(roles/dns.peer) no projeto host da VPC.

    2. Crie uma regra de firewall que permita todo o tráfego ICMP, TCP e UDP (opcional):

      gcloud compute firewall-rules create NETWORK-firewall4 \
    --network NETWORK
    --allow tcp:0-65535,udp:0-65535,icmp
    --source-ranges IP_RANGES

    3. Configure sua zona de DNS particular para resolução de DNS e roteamento de tráfego. Para adicionar registros DNS à sua zona DNS particular, consulte Adicionar um conjunto de registros de recursos.

    Solução de problemas

    Esta seção aborda alguns problemas comuns na configuração do Private Service Connect com a Vertex AI.

    Ao configurar a Vertex AI com uma VPC compartilhada, crie o anexo de rede no projeto de serviço em que você usa a Vertex AI. Essa abordagem ajuda a evitar determinadas mensagens de erro, como Verifique se a API Vertex AI está ativada para o projeto, garantindo que as permissões e APIs necessárias estejam ativadas no projeto correto.

    A seguir