Utilizzo di un'istanza di notebook gestita all'interno di un perimetro di servizio

Questa pagina descrive come utilizzare i Controlli di servizio VPC per configurare un'istanza di Jupyter Notebook gestita all'interno di un perimetro di servizio.

Prima di iniziare

1. Leggi la Panoramica dei Controlli di servizio VPC.

2. Crea un'istanza di blocchi note gestiti. Questa istanza non è ancora all'interno di un perimetro di servizio.

3. Crea una rete VPC o utilizza la rete VPC predefinita del tuo progetto.

Crea e configura il perimetro di servizio

Per creare e configurare il perimetro di servizio:

1. Crea un perimetro di servizio utilizzando i Controlli di servizio VPC. Questo perimetro di servizio protegge le risorse gestite da Google dei servizi che specifichi. Durante la creazione del perimetro di servizio:

   1. Quando è il momento di aggiungere progetti al perimetro di servizio, aggiungi il progetto che contiene l'istanza di notebook gestita.

   2. Quando è il momento di aggiungere servizi al perimetro di servizio, aggiungi l'API Notebooks.

Se hai creato il perimetro di servizio senza aggiungere i progetti e i servizi di cui hai bisogno, consulta Gestire i perimetri di servizio per scoprire come aggiornarlo.

Configurare le voci DNS utilizzando Cloud DNS

Le istanze di Notebooks gestiti di Vertex AI Workbench utilizzano diversi domini che una rete Virtual Private Cloud non gestisce per impostazione predefinita. Per assicurarti che la rete VPC gestisca correttamente le richieste inviate a questi domini, utilizza Cloud DNS per aggiungere record DNS. Per scoprire di più sulle route VPC, consulta Route.

Per creare una zona gestita per un dominio, aggiungi una voce DNS che indirizzi la richiesta ed esegui la transazione. Ripeti questi passaggi per ciascuno dei diversi domini per cui devi gestire le richieste, iniziando con *.notebooks.googleapis.com.

In Cloud Shell o in qualsiasi ambiente in cui è installato Google Cloud CLI, inserisci i seguenti comandi Google Cloud CLI.

1. Per creare una zona gestita privata per uno dei domini che la tua rete VPC deve gestire:

       gcloud dns managed-zones create ZONE_NAME \
           --visibility=private \
           --networks=https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME \
           --dns-name=DNS_NAME \
           --description="Description of your managed zone"
       

   Sostituisci quanto segue:

   • ZONE_NAME: un nome per la zona da creare. Devi utilizzare una zona separata per ogni dominio. Questo nome zona viene utilizzato in ciascuno dei passaggi che seguono.
   • PROJECT_ID: l'ID del progetto che ospita la rete VPC
   • NETWORK_NAME: il nome della rete VPC creata in precedenza
   • DNS_NAME: la parte del nome di dominio che segue*., con un punto finale. Ad esempio, *.notebooks.googleapis.com ha un valore DNS_NAME di notebooks.googleapis.com.

2. Avvia una transazione.

       gcloud dns record-sets transaction start --zone=ZONE_NAME
       

3. Aggiungi il seguente record A DNS. Il traffico viene reindirizzato agli indirizzi IP soggetti a limitazioni di Google.

       gcloud dns record-sets transaction add \
           --name=DNS_NAME. \
           --type=A 199.36.153.4 199.36.153.5 199.36.153.6 199.36.153.7 \
           --zone=ZONE_NAME \
           --ttl=300
       

4. Aggiungi il seguente record CNAME DNS in modo che punti al record A che hai appena aggiunto. In questo modo, tutto il traffico corrispondente al dominio viene reindirizzato agli indirizzi IP elencati nel passaggio precedente.

       gcloud dns record-sets transaction add \
           --name=\*.DNS_NAME. \
           --type=CNAME DNS_NAME. \
           --zone=ZONE_NAME \
           --ttl=300
       

5. Esegui la transazione.

       gcloud dns record-sets transaction execute --zone=ZONE_NAME
       

6. Ripeti questi passaggi per ciascuno dei seguenti domini. Per ogni ripetizione, sostituisci ZONE_NAME e DNS_NAME con i valori appropriati per quel dominio. Mantieni PROJECT_ID e NETWORK_NAME sempre uguali. Hai già completato questi passaggi per *.notebooks.googleapis.com.

   • *.notebooks.googleapis.com
   • *.notebooks.cloud.google.com
   • *.notebooks.googleusercontent.com
   • *.googleapis.com per eseguire codice che interagisce con altre API e altri servizi Google

Utilizzare Artifact Registry all'interno del perimetro di servizio

Se vuoi utilizzare Artifact Registry nel perimetro del servizio, consulta Configurare l'accesso limitato per i cluster privati GKE.

Utilizzare VPC condiviso

Se utilizzi VPC condiviso, devi aggiungere i progetti host e di servizio al perimetro del servizio. Nel progetto host, devi anche concedere il ruolo Utente di rete Compute (roles/compute.networkUser) all'agente di servizio Notebooks dal progetto di servizio. Per saperne di più, consulta Gestire i perimetri di servizio.

Accedere all'istanza di notebook gestita

1. Nella console Google Cloud, vai alla pagina Notebook gestiti.

   Vai a Blocchi note gestiti

2. Fai clic su Apri JupyterLab accanto al nome dell'istanza di blocchi note gestiti.

3. Se è la prima volta che accedi all'interfaccia utente JupyterLab dell'istanza di notebook gestiti, devi concedere l'autorizzazione per accedere ai tuoi dati e autenticare l'istanza di notebook gestiti.

   1. Nella finestra di dialogo Autentica il blocco note gestito, fai clic sul pulsante per ricevere un codice di autenticazione.

   2. Scegli un account e fai clic su Consenti. Copia il codice di autenticazione.

   3. Nella finestra di dialogo Autentica il blocco note gestito, incolla il codice di autenticazione e fai clic su Autentica.

L'istanza di blocco note gestita apre JupyterLab.

Limitazioni

Tipo di identità per i criteri per il traffico in entrata e in uscita

Quando specifichi un criterio di ingresso o di uscita per un perimetro di servizio, non puoi utilizzare ANY_SERVICE_ACCOUNT o ANY_USER_ACCOUNT come tipo di identità per tutte le operazioni di Vertex AI Workbench.

Utilizza invece ANY_IDENTITY come tipo di identità.

Accesso al proxy dei notebook gestiti da una workstation senza internet

Per accedere alle istanze di notebook gestite da una workstation con accesso a internet limitato, verifica con il tuo amministratore IT di poter accedere ai seguenti domini:

• *.accounts.google.com
• *.accounts.youtube.com
• *.googleusercontent.com
• *.kernels.googleusercontent.com
• *.gstatic.com
• *.notebooks.cloud.google.com
• *.notebooks.googleapis.com

Devi avere accesso a questi domini per l'autenticazione su Google Cloud. Per ulteriori informazioni sulla configurazione, consulta la sezione precedente Configurare le voci DNS utilizzando Cloud DNS.

Passaggi successivi

• Scopri di più sui Controlli di servizio VPC.