Usar una instancia dentro de un perímetro de servicio

En esta página se describe cómo usar Controles de Servicio de VPC para configurar una instancia de Vertex AI Workbench dentro de un perímetro de servicio.

Antes de empezar

1. Consulta la información general sobre Controles de Servicio de VPC.

2. Crea una instancia de Vertex AI Workbench. Esta instancia aún no está dentro de un perímetro de servicio.

3. Crea un perímetro de servicio con Controles de Servicio de VPC. Este perímetro de servicio protege los recursos gestionados por Google de los servicios que especifiques. Mientras creas el perímetro de servicio, haz lo siguiente:

   1. Cuando llegue el momento de añadir proyectos a tu perímetro de servicio, añade el proyecto que contenga tu instancia de Vertex AI Workbench.

   2. Cuando sea el momento de añadir servicios a tu perímetro de servicio, añade la API Notebooks.

   Si has creado tu perímetro de servicio sin añadir los proyectos y servicios que necesitas, consulta Gestionar perímetros de servicio para saber cómo actualizarlo.

Configurar las entradas DNS con Cloud DNS

Las instancias de Vertex AI Workbench usan varios dominios que una red de nube privada virtual no gestiona de forma predeterminada. Para asegurarte de que tu red VPC gestione correctamente las solicitudes enviadas a esos dominios, usa Cloud DNS para añadir registros DNS. Para obtener más información sobre las rutas de VPC, consulta Rutas.

Para crear una zona gestionada para un dominio, añade una entrada DNS que enrute la solicitud y ejecuta la transacción. Para ello, sigue estos pasos. Repite estos pasos con cada uno de los varios dominios para los que tengas que gestionar solicitudes, empezando por *.notebooks.googleapis.com.

En Cloud Shell o en cualquier entorno en el que esté instalada Google Cloud CLI, introduce los siguientes comandos de Google Cloud CLI.

1. Para crear una zona gestionada privada para uno de los dominios que debe gestionar tu red de VPC, sigue estos pasos:

       gcloud dns managed-zones create ZONE_NAME \
           --visibility=private \
           --networks=https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME \
           --dns-name=DNS_NAME \
           --description="Description of your managed zone"
       

   Haz los cambios siguientes:

   • ZONE_NAME: el nombre de la zona que quieres crear. Debe usar una zona independiente para cada dominio. Este nombre de zona se usa en cada uno de los pasos siguientes.
   • PROJECT_ID: el ID del proyecto que aloja tu red de VPC
   • NETWORK_NAME: el nombre de la red VPC que has creado anteriormente
   • DNS_NAME: la parte del nombre de dominio que va después de *., con un punto al final. Por ejemplo, *.notebooks.googleapis.com tiene un DNS_NAME de notebooks.googleapis.com..

2. Inicia una transacción.

       gcloud dns record-sets transaction start --zone=ZONE_NAME
       

3. Añade el siguiente registro A de DNS. De esta forma, se redirige el tráfico a las direcciones IP restringidas de Google.

       gcloud dns record-sets transaction add \
           --name=DNS_NAME. \
           --type=A 199.36.153.4 199.36.153.5 199.36.153.6 199.36.153.7 \
           --zone=ZONE_NAME \
           --ttl=300
       

4. Añade el siguiente registro CNAME de DNS para que apunte al registro A que acabas de añadir. De esta forma, se redirige todo el tráfico que coincida con el dominio a las direcciones IP que se indican en el paso anterior.

       gcloud dns record-sets transaction add \
           --name=\*.DNS_NAME. \
           --type=CNAME DNS_NAME. \
           --zone=ZONE_NAME \
           --ttl=300
       

5. Ejecuta la transacción.

       gcloud dns record-sets transaction execute --zone=ZONE_NAME
       

6. Repite estos pasos con cada uno de los siguientes dominios. En cada repetición, cambia ZONE_NAME y DNS_NAME por los valores correspondientes a ese dominio. Mantén PROJECT_ID y NETWORK_NAME iguales cada vez. Ya has completado estos pasos para *.notebooks.googleapis.com.

   • *.notebooks.googleapis.com
   • *.notebooks.cloud.google.com
   • *.notebooks.googleusercontent.com
   • *.googleapis.com para ejecutar código que interactúe con otras APIs y servicios de Google

Configurar el perímetro de servicio

Después de configurar los registros DNS, crea un perímetro de servicio o actualiza uno que ya tengas para añadir tu proyecto al perímetro de servicio.

En la red VPC, añade una ruta para el intervalo 199.36.153.4/30 con un salto siguiente de Default internet gateway.

Usar Artifact Registry dentro de un perímetro de servicio

Si quieres usar Artifact Registry en tu perímetro de servicio, consulta Configurar el acceso restringido para clústeres privados de GKE.

Usar VPC compartida

Si usas la VPC compartida, debes añadir los proyectos host y de servicio al perímetro de servicio. En el proyecto host, también debes conceder el rol Usuario de red de Compute (roles/compute.networkUser) a la cuenta de servicio del agente de Notebooks del proyecto de servicio. Para obtener más información, consulta Gestionar perímetros de servicio.

Acceder a una instancia de Vertex AI Workbench

Para abrir un cuaderno de Jupyter en tu nueva instancia, sigue estos pasos:

1. En la Google Cloud consola, ve a la página Instancias.

   Ir a Instancias

2. Junto al nombre de la instancia, haz clic en Abrir JupyterLab.

3. En JupyterLab, selecciona Archivo > Nuevo > Cuaderno.

4. En el cuadro de diálogo Seleccionar kernel, elige un kernel y haz clic en Seleccionar.

   Se abrirá el archivo del nuevo cuaderno.

Limitaciones

Se aplican las siguientes limitaciones al usar Controles de Servicio de VPC con Vertex AI Workbench:

Tipo de identidad de las políticas de entrada y salida

Cuando especifiques una política de entrada o salida para un perímetro de servicio, no podrás usar ANY_SERVICE_ACCOUNT ni ANY_USER_ACCOUNT como tipo de identidad para todas las operaciones de Vertex AI Workbench.

En su lugar, use ANY_IDENTITY como tipo de identidad.

Acceder al proxy de Vertex AI Workbench desde una estación de trabajo sin conexión a Internet

Para acceder a las instancias de Vertex AI Workbench desde una estación de trabajo con acceso a Internet limitado, pide a tu administrador de TI que verifique que puedes acceder a los siguientes dominios:

• *.accounts.google.com
• *.accounts.youtube.com
• *.googleusercontent.com
• *.kernels.googleusercontent.com
• *.gstatic.com
• *.notebooks.cloud.google.com
• *.notebooks.googleapis.com

Debes tener acceso a estos dominios para la autenticación de Google Cloud. Consulta la sección anterior, Configurar las entradas de DNS con Cloud DNS, para obtener más información sobre la configuración.