在服務範圍內存取使用者自行管理的筆記本執行個體

本頁面說明如何使用 VPC Service Controls，在服務範圍內設定使用者自行管理的筆記本執行個體。

事前準備

1. 參閱「VPC Service Controls 總覽」。

2. 建立由使用者管理的筆記本執行個體。這個例項尚未在服務範圍內。

3. 使用 VPC Service Controls 建立服務範圍。這個服務範圍可保護您指定的 Google 代管服務資源。建立服務範圍時，請按照下列步驟操作：

   1. 當您準備將專案新增至服務範圍時，請新增包含使用者自行管理的筆記本執行個體的專案。

   2. 在服務範圍中新增服務時，請新增 Notebooks API。

   如果您已建立服務範圍，但未新增所需的專案和服務，請參閱「管理服務範圍」，瞭解如何更新服務範圍。

使用 Cloud DNS 設定 DNS 項目

Vertex AI Workbench 使用者自行管理的筆記本執行個體會使用虛擬私有雲網路預設不處理的多個網域。為確保虛擬私有雲網路能正確處理傳送至這些網域的要求，請使用 Cloud DNS 新增 DNS 記錄。如要進一步瞭解 VPC 路徑，請參閱「路徑」。

如要為網域建立代管區域，請新增可將要求導向的 DNS 項目，然後執行交易，完成下列步驟。針對需要處理要求的多個網域 (以 *.notebooks.googleapis.com 開頭)，重複執行這些步驟。

在 Cloud Shell 或任何已安裝 Google Cloud CLI 的環境中，輸入下列 Google Cloud CLI 指令。

1. 如要為 VPC 網路需要處理的其中一個網域建立私人代管區域，請按照下列步驟操作：

       gcloud dns managed-zones create ZONE_NAME \
           --visibility=private \
           --networks=https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME \
           --dns-name=DNS_NAME \
           --description="Description of your managed zone"
       

   取代下列內容：

   • ZONE_NAME：要建立的可用區名稱。您必須為每個網域使用不同的區域。後續步驟都會用到這個區域名稱。
   • PROJECT_ID：代管虛擬私有雲端網路的專案 ID
   • NETWORK_NAME：先前建立的 VPC 網路名稱
   • DNS_NAME：網域名稱中 *. 後面的部分，結尾有一個句號。例如，*.notebooks.googleapis.com 有 DNS_NAME 的 notebooks.googleapis.com.

2. 開始交易。

       gcloud dns record-sets transaction start --zone=ZONE_NAME
       

3. 新增下列 DNS A 記錄。這麼做會將流量重新導向至 Google 的受限 IP 位址。

       gcloud dns record-sets transaction add \
           --name=DNS_NAME. \
           --type=A 199.36.153.4 199.36.153.5 199.36.153.6 199.36.153.7 \
           --zone=ZONE_NAME \
           --ttl=300
       

4. 新增下列 DNS CNAME 記錄，指向您剛新增的 A 記錄。這麼做可將所有與網域相符的流量重新導向至先前步驟中列出的 IP 位址。

       gcloud dns record-sets transaction add \
           --name=\*.DNS_NAME. \
           --type=CNAME DNS_NAME. \
           --zone=ZONE_NAME \
           --ttl=300
       

5. 執行交易。

       gcloud dns record-sets transaction execute --zone=ZONE_NAME
       

6. 針對下列每個網域重複執行這些步驟。針對每個重複項目，將 ZONE_NAME 和 DNS_NAME 變更為該網域的適當值。每次都保持 PROJECT_ID 和 NETWORK_NAME 相同。您已為 *.notebooks.googleapis.com 完成這些步驟。

   • *.notebooks.googleapis.com
   • *.notebooks.cloud.google.com
   • *.notebooks.googleusercontent.com
   • *.googleapis.com 可執行與其他 Google API 和服務互動的程式碼

設定服務範圍

設定 DNS 記錄後，請建立服務範圍或更新現有範圍，將專案新增至服務範圍。

在 VPC 網路中，為 199.36.153.4/30 範圍新增路徑，並將下一個躍點設為 Default internet gateway。

在服務範圍內使用 Artifact Registry

如果您想在服務範圍內使用 Artifact Registry，請參閱「為 GKE 私人叢集設定受限存取權」。

使用共用虛擬私有雲

如果您使用共用虛擬私有雲，則必須將主機和服務專案新增至服務範圍。在主機專案中，您也必須將 Compute 網路使用者角色 (roles/compute.networkUser) 授予服務專案中的 Notebooks 服務代理人。詳情請參閱「管理服務範圍」。

存取使用者管理的筆記本執行個體

請按照開啟 Notebook 的步驟操作。

限制

輸入和輸出政策的 ID 類型

為服務邊界指定輸入或輸出政策時，您無法使用 ANY_SERVICE_ACCOUNT 或 ANY_USER_ACCOUNT 做為所有 Vertex AI Workbench 作業的 ID 類型。

請改用 ANY_IDENTITY 做為身分識別碼。

從沒有網際網路連線的工作站存取使用者管理的筆記本 Proxy

如要在網路存取權受限的工作站存取使用者管理的 Notebook 執行個體，請向 IT 管理員確認您可以存取下列網域：

• *.accounts.google.com
• *.accounts.youtube.com
• *.googleusercontent.com
• *.kernels.googleusercontent.com
• *.gstatic.com
• *.notebooks.cloud.google.com
• *.notebooks.googleapis.com

您必須具備這些網域的存取權，才能驗證Google Cloud。如需進一步的設定資訊，請參閱上一節「使用 Cloud DNS 設定 DNS 項目」。

後續步驟

• 在新的使用者管理筆記本執行個體上安裝依附元件。