在服务边界内使用用户管理的笔记本实例
本页面介绍如何使用 VPC Service Controls 在服务边界内设置用户管理的笔记本实例。
准备工作
创建用户管理的笔记本实例。 此实例不在服务边界内。
使用 VPC Service Controls 创建服务边界。此服务边界可保护 Google 管理的指定服务资源。创建服务边界时,请执行以下操作:
当可以向服务边界添加项目时,请添加包含用户管理的笔记本实例的项目。
当可以向服务边界添加服务时,请添加 Notebooks API。
如果您创建服务边界时未添加所需的项目和服务,请参阅管理服务边界,了解如何更新服务边界。
使用 Cloud DNS 配置 DNS 条目
Vertex AI Workbench 用户管理的笔记本实例使用 Virtual Private Cloud 网络在默认情况下不会予以处理的多个网域。为确保您的 VPC 网络正确处理发送到这些网域的请求,请使用 Cloud DNS 添加 DNS 记录。如需详细了解 VPC 路由,请参阅路由。
如需为网域创建代管式可用区,请添加将路由请求的 DNS 条目,执行事务,然后完成以下步骤。分别对需要处理请求的多个网域重复上述步骤(从 *.notebooks.googleapis.com
开始)。
在 Cloud Shell 中或安装了 Google Cloud CLI 的任何环境中,输入以下 Google Cloud CLI 命令。
-
如需为 VPC 网络需要处理的某个网域创建专用代管式可用区,请运行以下命令:
gcloud dns managed-zones create ZONE_NAME \ --visibility=private \ --networks=https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME \ --dns-name=DNS_NAME \ --description="Description of your managed zone"
替换以下内容:
-
ZONE_NAME
:要创建的可用区的名称。 您必须对每个网域使用单独的区域。下列各个步骤中都将使用此可用区名称。 PROJECT_ID
:托管您的 VPC 网络的项目的 ID-
NETWORK_NAME
:您之前创建的 VPC 网络的名称 -
DNS_NAME
:域名中*.
后面的部分,末尾有英文句点。例如,*.notebooks.googleapis.com
的DNS_NAME
为notebooks.googleapis.com.
-
-
启动一项事务。
gcloud dns record-sets transaction start --zone=ZONE_NAME
-
添加以下 DNS A 记录。此操作会将流量重新路由到 Google 的受限 IP 地址。
gcloud dns record-sets transaction add \ --name=DNS_NAME. \ --type=A 199.36.153.4 199.36.153.5 199.36.153.6 199.36.153.7 \ --zone=ZONE_NAME \ --ttl=300
-
添加以下 DNS CNAME 记录,以指向刚刚添加的 A 记录。此操作会将与相应网域匹配的所有流量重定向至上一步中列出的 IP 地址。
gcloud dns record-sets transaction add \ --name=\*.DNS_NAME. \ --type=CNAME DNS_NAME. \ --zone=ZONE_NAME \ --ttl=300
-
执行事务。
gcloud dns record-sets transaction execute --zone=ZONE_NAME
-
对以下每个网域重复执行上述步骤。每次重复上述步骤时,请将 ZONE_NAME 和 DNS_NAME 更改为相关网域的对应值。每次都应使 PROJECT_ID 和 NETWORK_NAME 保持一致。您现在已对
*.notebooks.googleapis.com
完成上述步骤。*.notebooks.googleapis.com
*.notebooks.cloud.google.com
*.notebooks.googleusercontent.com
*.googleapis.com
,运行与其他 Google API 和服务交互的代码
配置服务边界
配置 DNS 记录后,请创建服务边界或更新现有边界,以便将您的项目添加到服务边界。
在 VPC 网络中,为 199.36.153.4/30
范围添加下一个跃点为 Default internet gateway
的路由。
在服务边界内使用 Artifact Registry
如果要在服务边界中使用 Artifact Registry,请参阅为 GKE 专用集群配置受限访问权限。
使用共享 VPC
如果您是使用共享 VPC,则必须将主机和服务项目添加到服务边界。在宿主项目中,您还必须从服务项目将 Compute Network User 角色 (roles/compute.networkUser
) 授予 Notebooks Service Agent。如需了解详情,请参阅管理服务边界。
访问用户管理的笔记本实例
按照打开笔记本的步骤操作。
限制
入站和出站政策的身份类型
为服务边界指定入站或出站政策时,您不能将 ANY_SERVICE_ACCOUNT
或 ANY_USER_ACCOUNT
用作所有 Vertex AI Workbench 操作的身份类型。
请改为将 ANY_IDENTITY
用作身份类型。
在没有互联网的情况下从工作站访问用户管理的笔记本代理
如需从互联网访问受限的工作站访问用户管理的笔记本实例,请向您的 IT 管理员确认您可以访问以下网域:
*.accounts.google.com
*.accounts.youtube.com
*.googleusercontent.com
*.kernels.googleusercontent.com
*.gstatic.com
*.notebooks.cloud.google.com
*.notebooks.googleapis.com
您必须有权访问这些网域才能向 Google Cloud 进行身份验证。如需详细了解配置信息,请参阅上一部分使用 Cloud DNS 配置 DNS 条目。
后续步骤
- 在新的用户管理的笔记本实例上安装依赖项。