Usa una instancia de notebooks administrados dentro de un perímetro de servicio

En esta página, se describe cómo usar los Controles del servicio de VPC para configurar una instancia de notebooks administrados dentro de un perímetro de servicio.

Antes de comenzar

  1. Lee la Descripción general de los Controles del servicio de VPC.

  2. Crea una instancia de notebooks administrada Esta instancia aún no se encuentra dentro de un perímetro de servicio.

  3. Crea una red de VPC o usa la red de VPC predeterminada de tu proyecto.

Crea y configura el perímetro de servicio

Para crear y configurar el perímetro de servicio, haz lo siguiente:

  1. Crea un perímetro de servicio mediante los Controles del servicio de VPC. Este perímetro de servicio protege los recursos administrados por Google de los servicios que especifiques. Mientras creas tu perímetro de servicio, haz lo siguiente:

    1. Cuando sea el momento de agregar proyectos al perímetro de servicio, agrega el proyecto que contiene la instancia de Notebooks administrados.

    2. Cuando sea el momento de agregar servicios al perímetro de servicio, agrega la API de Notebooks.

Si creaste el perímetro de servicio sin agregar los proyectos y los servicios que necesitas, consulta Administra los perímetros de servicio para obtener información sobre cómo actualizar el perímetro de servicio.

Configura tus entradas de DNS con Cloud DNS

Las instancias de notebooks administrados por Vertex AI Workbench usan varios dominios que una red de nube privada virtual no controla de forma predeterminada. Para garantizar que la red de VPC maneje de forma correcta las solicitudes enviadas a esos dominios, usa Cloud DNS a fin de agregar registros DNS. Para obtener más información sobre las rutas de VPC, consulta Rutas.

Si deseas crear una zona administrada para un dominio, agregar una entrada de DNS que enrutará la solicitud y ejecutar la transacción, completa los siguientes pasos. Repite estos pasos con cada uno de los diferentes dominios para los que necesitas controlar las solicitudes, partiendo por *.notebooks.googleapis.com.

En Cloud Shell o cualquier entorno en el que esté instalada Google Cloud CLI, ingresa los siguientes comandos de Google Cloud CLI.

  1. Crea una zona administrada privada para uno de los dominios que la red de VPC necesita controlar:

        gcloud dns managed-zones create ZONE_NAME \
            --visibility=private \
            --networks=https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME \
            --dns-name=DNS_NAME \
            --description="Description of your managed zone"
        

    Reemplaza lo siguiente:

    • ZONE_NAME: Es un nombre para la zona que se creará. Debes usar una zona separada para cada dominio. Este nombre de zona se usa en cada uno de los siguientes pasos.
    • PROJECT_ID: Es el ID del proyecto que aloja tu red de VPC.
    • NETWORK_NAME: Es el nombre de la red de VPC que creaste antes.
    • DNS_NAME: la parte del nombre de dominio que aparece después de *., con un punto al final. Por ejemplo, *.notebooks.googleapis.com tiene un DNS_NAME de notebooks.googleapis.com..
  2. Inicia una transacción.

        gcloud dns record-sets transaction start --zone=ZONE_NAME
        
  3. Agrega el siguiente registro A de DNS. De este modo, se redirige el tráfico a las direcciones IP restringidas de Google.

        gcloud dns record-sets transaction add \
            --name=DNS_NAME. \
            --type=A 199.36.153.4 199.36.153.5 199.36.153.6 199.36.153.7 \
            --zone=ZONE_NAME \
            --ttl=300
        
  4. Agrega el siguiente registro CNAME de DNS para que apunte al registro A que acabas de agregar. De este modo, se redirecciona todo el tráfico que coincide con el dominio a las direcciones IP enumeradas en el paso anterior.

        gcloud dns record-sets transaction add \
            --name=\*.DNS_NAME. \
            --type=CNAME DNS_NAME. \
            --zone=ZONE_NAME \
            --ttl=300
        
  5. Ejecuta la transacción.

        gcloud dns record-sets transaction execute --zone=ZONE_NAME
        
  6. Repite estos pasos para cada uno de los siguientes dominios. Para cada repetición, cambia ZONE_NAME y DNS_NAME a los valores adecuados para ese dominio. Mantén PROJECT_ID y NETWORK_NAME igual cada vez. Ya completaste estos pasos para *.notebooks.googleapis.com.

    • *.notebooks.googleapis.com
    • *.notebooks.cloud.google.com
    • *.notebooks.googleusercontent.com
    • *.googleapis.com para ejecutar código que interactúe con otras APIs y servicios de Google

Usa Artifact Registry dentro del perímetro de servicio

Si quieres usar Artifact Registry en el perímetro de servicio, consulta Configura el acceso restringido para clústeres privados de GKE.

Usa la VPC compartida

Si usas una VPC compartida, debes agregar el host y los proyectos de servicio al perímetro de servicio. En el proyecto host, también debes otorgar los permisos del rol de usuario de la red de Compute (roles/compute.networkUser) al Agente de servicio de Notebooks del proyecto de servicio. Para obtener más información, consulta Administra perímetros de servicio.

Accede a tu instancia de notebooks administrados

  1. En la consola de Google Cloud, ve a la página Notebooks administrados.

    Ir a Notebooks administrados

  2. Junto al nombre de la instancia de notebooks administrados, haz clic en Abrir JupyterLab.

  3. Si es la primera vez que accedes a la interfaz de usuario de JupyterLab de la instancia de notebooks administrados, debes otorgar permiso para acceder a tus datos y autenticar la instancia de notebooks administrados.

    1. En el cuadro de diálogo Authenticate your managed notebook, haz clic en el botón para obtener un código de autenticación.

    2. Elige una cuenta y haz clic en Permitir. Copia el código de autenticación.

    3. En el cuadro de diálogo Autenticar tu notebook administrado, pega el código de autenticación y, luego, haz clic en Autenticar.

Tu instancia de notebooks administrados abre JupyterLab.

Limitaciones

Tipo de identidad para las políticas de entrada y salida

Cuando especificas una política de entrada o salida para un perímetro de servicio, no puedes usar ANY_SERVICE_ACCOUNT ni ANY_USER_ACCOUNT como un tipo de identidad para todas las operaciones de Vertex AI Workbench.

En su lugar, usa ANY_IDENTITY como el tipo de identidad.

Accede al proxy de notebooks administrados desde una estación de trabajo sin Internet

Para acceder a las instancias de notebooks administrados desde una estación de trabajo con acceso limitado a Internet, verifica con tu administrador de TI que puedas acceder a los siguientes dominios:

  • *.accounts.google.com
  • *.accounts.youtube.com
  • *.googleusercontent.com
  • *.kernels.googleusercontent.com
  • *.gstatic.com
  • *.notebooks.cloud.google.com
  • *.notebooks.googleapis.com

Debes tener acceso a estos dominios para la autenticación en Google Cloud. Consulta la sección anterior, Configura tus entradas de DNS con Cloud DNS, para obtener más información sobre la configuración.

¿Qué sigue?