在服務範圍內使用代管型筆記本執行個體

本頁面說明如何使用 VPC Service Controls,在服務範圍內設定受管理的筆記本執行個體。

事前準備

  1. 參閱「VPC Service Controls 總覽」。

  2. 建立代管型筆記本執行個體。這個例項尚未在服務範圍內。

  3. 建立虛擬私有雲網路,或使用專案的預設虛擬私有雲網路

建立及設定服務範圍

如要建立及設定服務範圍,請按照下列步驟操作:

  1. 使用 VPC Service Controls 建立服務範圍。這個服務範圍可保護您指定的 Google 代管服務資源。建立服務範圍時,請按照下列步驟操作:

    1. 在服務範圍中新增專案時,請新增包含受管理的 Notebook 執行個體的專案。

    2. 在服務範圍中新增服務時,請新增 Notebooks API

如果您已建立服務範圍,但未新增所需的專案和服務,請參閱「管理服務範圍」,瞭解如何更新服務範圍。

使用 Cloud DNS 設定 DNS 項目

Vertex AI Workbench 代管型筆記本執行個體會使用虛擬私有雲網路預設不處理的多個網域。為確保虛擬私有雲網路能正確處理傳送至這些網域的要求,請使用 Cloud DNS 新增 DNS 記錄。如要進一步瞭解 VPC 路徑,請參閱「路徑」。

如要為網域建立代管區域,請新增可將要求導向的 DNS 項目,然後執行交易,完成下列步驟。針對需要處理要求的多個網域 (以 *.notebooks.googleapis.com 開頭),重複執行這些步驟。

Cloud Shell 或任何已安裝 Google Cloud CLI 的環境中,輸入下列 Google Cloud CLI 指令。

  1. 如要為 VPC 網路需要處理的其中一個網域建立私人代管區域,請按照下列步驟操作:

        gcloud dns managed-zones create ZONE_NAME \
        --visibility=private \
        --networks=https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME \
        --dns-name=DNS_NAME \
        --description="Description of your managed zone"

    請依指示取代下列內容:

    • ZONE_NAME:要建立的可用區名稱。您必須為每個網域使用不同的區域。後續步驟都會用到這個區域名稱。
    • PROJECT_ID:代管虛擬私有雲端網路的專案 ID
    • NETWORK_NAME:先前建立的 VPC 網路名稱
    • DNS_NAME:網域名稱中 *. 後面的部分,結尾有一個句號。例如,*.notebooks.googleapis.comDNS_NAMEnotebooks.googleapis.com.

  2. 開始交易。 

        gcloud dns record-sets transaction start --zone=ZONE_NAME

  3. 新增下列 DNS A 記錄。這麼做會將流量重新導向至 Google 的受限 IP 位址。

        gcloud dns record-sets transaction add \
        --name=DNS_NAME. \
        --type=A 199.36.153.4 199.36.153.5 199.36.153.6 199.36.153.7 \
        --zone=ZONE_NAME \
        --ttl=300

  4. 新增下列 DNS CNAME 記錄,指向您剛新增的 A 記錄。這麼做可將所有與網域相符的流量重新導向至先前步驟中列出的 IP 位址。

        gcloud dns record-sets transaction add \
        --name=\*.DNS_NAME. \
        --type=CNAME DNS_NAME. \
        --zone=ZONE_NAME \
        --ttl=300

  5. 執行交易。 

        gcloud dns record-sets transaction execute --zone=ZONE_NAME

  6. 針對下列每個網域重複執行這些步驟。針對每個重複項目,將 ZONE_NAMEDNS_NAME 變更為該網域的適當值。每次都保持 PROJECT_IDNETWORK_NAME 相同。您已為 *.notebooks.googleapis.com 完成這些步驟。

    • *.notebooks.googleapis.com
    • *.notebooks.cloud.google.com
    • *.notebooks.googleusercontent.com
    • *.googleapis.com 可執行與其他 Google API 和服務互動的程式碼

在服務範圍內使用 Artifact Registry

如果您想在服務範圍內使用 Artifact Registry,請參閱「為 GKE 私人叢集設定受限存取權」。

使用共用虛擬私有雲

如果您使用共用虛擬私有雲,則必須將主機和服務專案新增至服務範圍。在主機專案中,您也必須將 Compute 網路使用者角色 (roles/compute.networkUser) 授予服務專案中的 Notebooks 服務代理人。詳情請參閱「管理服務範圍」。

存取代管型筆記本執行個體

  1. 在 Google Cloud 控制台中,前往「受管理的筆記本」頁面。

    前往「受管理的筆記本」

  2. 按一下代管型筆記本執行個體名稱旁的「Open JupyterLab」(開啟 JupyterLab)

  3. 如果您是第一次存取受管理的筆記本執行個體的 JupyterLab 使用者介面,則必須授予存取資料的權限,並驗證受管理的筆記本執行個體。

    1. 在「Authenticate your managed notebook」(驗證代管型筆記本) 對話方塊中,按一下按鈕來取得驗證碼。

    2. 選取所需的帳戶,然後按一下「Allow」(允許)。複製驗證碼。

    3. 在「Authenticate your managed notebook」(驗證代管型筆記本) 對話方塊中貼上驗證碼,然後按一下「Authenticate」(驗證)

代管型筆記本執行個體中會開啟 JupyterLab。

限制

輸入和輸出政策的 ID 類型

為服務邊界指定輸入或輸出政策時,您無法使用 ANY_SERVICE_ACCOUNTANY_USER_ACCOUNT 做為所有 Vertex AI Workbench 作業的 ID 類型。

請改用 ANY_IDENTITY 做為身分識別碼。

從沒有網路連線的工作站存取受管理的 Notebook Proxy

如要在網路存取權受限的工作站上存取受管理的 Notebook 執行個體,請向 IT 管理員確認您可以存取下列網域:

  • *.accounts.google.com
  • *.accounts.youtube.com
  • *.googleusercontent.com
  • *.kernels.googleusercontent.com
  • *.gstatic.com
  • *.notebooks.cloud.google.com
  • *.notebooks.googleapis.com

您必須具備這些網域的存取權,才能向Google Cloud進行驗證。如需進一步的設定資訊,請參閱上一節「使用 Cloud DNS 設定 DNS 項目」。

後續步驟