Esta página se ha traducido con Cloud Translation API.

Usar una instancia de cuadernos gestionados dentro de un perímetro de servicio

En esta página se describe cómo usar Controles de Servicio de VPC para configurar una instancia de cuadernos gestionados dentro de un perímetro de servicio.

Antes de empezar

Consulta la información general sobre Controles de Servicio de VPC.
Crea una instancia de cuadernos gestionados. Esta instancia aún no está dentro de un perímetro de servicio.
Crea una red de VPC o usa la red de VPC predeterminada de tu proyecto.

Crear y configurar el perímetro de servicio

Para crear y configurar el perímetro de servicio, sigue estos pasos:

Crea un perímetro de servicio con Controles de Servicio de VPC. Este perímetro de servicio protege los recursos gestionados por Google de los servicios que especifiques. Mientras creas el perímetro de servicio, haz lo siguiente:
1. Cuando llegue el momento de añadir proyectos a tu perímetro de servicio, añade el proyecto que contenga tu instancia de cuaderno gestionado.
2. Cuando sea el momento de añadir servicios a tu perímetro de servicio, añade la API Notebooks.

Si has creado tu perímetro de servicio sin añadir los proyectos y servicios que necesitas, consulta Gestionar perímetros de servicio para saber cómo actualizarlo.

Configurar las entradas DNS con Cloud DNS

Las instancias de notebooks gestionados de Vertex AI Workbench usan varios dominios que una red de nube privada virtual no gestiona de forma predeterminada. Para asegurarte de que tu red VPC gestione correctamente las solicitudes enviadas a esos dominios, usa Cloud DNS para añadir registros DNS. Para obtener más información sobre las rutas de VPC, consulta Rutas.

Para crear una zona gestionada para un dominio, añade una entrada DNS que enrute la solicitud y ejecuta la transacción. Para ello, sigue estos pasos. Repite estos pasos con cada uno de los varios dominios para los que tengas que gestionar solicitudes, empezando por *.notebooks.googleapis.com.

En Cloud Shell o en cualquier entorno en el que esté instalada Google Cloud CLI, introduce los siguientes comandos de Google Cloud CLI.

Para crear una zona gestionada privada para uno de los dominios que debe gestionar tu red de VPC, sigue estos pasos:
```
    gcloud dns managed-zones create ZONE_NAME \
        --visibility=private \
        --networks=https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME \
        --dns-name=DNS_NAME \
        --description="Description of your managed zone"
    
```
Haz los cambios siguientes:
- ZONE_NAME: el nombre de la zona que quieres crear. Debe usar una zona independiente para cada dominio. Este nombre de zona se usa en cada uno de los pasos siguientes.
- PROJECT_ID: el ID del proyecto que aloja tu red de VPC
- NETWORK_NAME: el nombre de la red VPC que has creado anteriormente
- DNS_NAME: la parte del nombre de dominio que va después de *., con un punto al final. Por ejemplo, *.notebooks.googleapis.com tiene un DNS_NAME de notebooks.googleapis.com..

Inicia una transacción.

    gcloud dns record-sets transaction start --zone=ZONE_NAME

Añade el siguiente registro A de DNS. De esta forma, se redirige el tráfico a las direcciones IP restringidas de Google.

    gcloud dns record-sets transaction add \
        --name=DNS_NAME. \
        --type=A 199.36.153.4 199.36.153.5 199.36.153.6 199.36.153.7 \
        --zone=ZONE_NAME \
        --ttl=300

Añade el siguiente registro CNAME de DNS para que apunte al registro A que acabas de añadir. De esta forma, se redirige todo el tráfico que coincida con el dominio a las direcciones IP que se indican en el paso anterior.
```
    gcloud dns record-sets transaction add \
        --name=\*.DNS_NAME. \
        --type=CNAME DNS_NAME. \
        --zone=ZONE_NAME \
        --ttl=300
    
```

Ejecuta la transacción.

    gcloud dns record-sets transaction execute --zone=ZONE_NAME

Repite estos pasos con cada uno de los siguientes dominios. En cada repetición, cambia ZONE_NAME y DNS_NAME por los valores correspondientes a ese dominio. Mantén PROJECT_ID y NETWORK_NAME iguales cada vez. Ya has completado estos pasos para *.notebooks.googleapis.com.
- *.notebooks.googleapis.com
- *.notebooks.cloud.google.com
- *.notebooks.googleusercontent.com
- *.googleapis.com para ejecutar código que interactúe con otras APIs y servicios de Google

Usar Artifact Registry dentro de un perímetro de servicio

Si quieres usar Artifact Registry en tu perímetro de servicio, consulta Configurar el acceso restringido para clústeres privados de GKE.

Usar VPC compartida

Si usas la VPC compartida, debes añadir los proyectos host y de servicio al perímetro de servicio. En el proyecto host, también debes conceder el rol Usuario de red de Compute (roles/compute.networkUser) a la cuenta de servicio del agente de Notebooks del proyecto de servicio. Para obtener más información, consulta el artículo sobre cómo gestionar perímetros de servicio.

Acceder a una instancia de cuadernos gestionados

En la Google Cloud consola, ve a la página Notebooks gestionados.

Ir a Cuadernos gestionados
Junto al nombre de la instancia de cuadernos gestionados, haz clic en Abrir JupyterLab.
Si es la primera vez que accedes a la interfaz de usuario de JupyterLab de la instancia de cuadernos gestionados, debes conceder permiso para acceder a tus datos y autenticar tu instancia de cuadernos gestionados.
1. En el cuadro de diálogo Autentica tu cuaderno gestionado, haz clic en el botón para obtener un código de autenticación.
2. Elige una cuenta y haz clic en Permitir. Copia el código de autenticación.
3. En el cuadro de diálogo Autentica tu cuaderno gestionado, pega el código de autenticación y haz clic en Autenticar.

Tu instancia de cuadernos gestionados abre JupyterLab.

Limitaciones

Tipo de identidad de las políticas de entrada y salida

Cuando especifiques una política de entrada o salida para un perímetro de servicio, no podrás usar ANY_SERVICE_ACCOUNT ni ANY_USER_ACCOUNT como tipo de identidad para todas las operaciones de Vertex AI Workbench.

En su lugar, use ANY_IDENTITY como tipo de identidad.

Acceder al proxy de cuadernos gestionados desde una estación de trabajo sin conexión a Internet

Para acceder a instancias de cuadernos gestionados desde una estación de trabajo con acceso a Internet limitado, confirma con tu administrador de TI que puedes acceder a los siguientes dominios:

*.accounts.google.com
*.accounts.youtube.com
*.googleusercontent.com
*.kernels.googleusercontent.com
*.gstatic.com
*.notebooks.cloud.google.com
*.notebooks.googleapis.com

Debes tener acceso a estos dominios para la autenticación de Google Cloud. Consulta la sección anterior, Configurar las entradas de DNS con Cloud DNS, para obtener más información sobre la configuración.

Siguientes pasos

Consulta más información sobre Controles de Servicio de VPC.