Dokumen ini menjelaskan praktik terbaik untuk membuat lingkungan jaringan yang aman dan tangguh untuk workload AI Hypercomputer. Rekomendasi ini ditujukan untuk arsitek jaringan, engineer jaringan, dan developer yang ingin mengonfigurasi dan men-deploy workload kecerdasan buatan (AI) dan machine learning (ML) di AI Hypercomputer.
Menetapkan peran IAM yang jelas dan terbatas
Mengonfigurasi IAM dengan benar akan membantu meningkatkan keamanan dan
keberhasilan deployment AI Hypercomputer Anda. Di lingkungan produksi, izin yang tidak memadai atau salah konfigurasi dapat menyebabkan kegagalan deployment. Deployment AI Hypercomputer, terutama yang menggunakan
Cluster Toolkit, sering gagal di
lingkungan dengan postur keamanan yang diperketat, tempat akun layanan
Compute Engine default tidak memiliki peran Editor yang luas.
Untuk membantu mengurangi masalah deployment yang mungkin terjadi karena masalah izin, ikuti praktik terbaik yang tercantum di bagian ini.
Menggunakan akun layanan khusus
Untuk keamanan dan kontrol yang lebih baik, hindari penggunaan akun layanan Compute Engine default. Sebagai gantinya, buat akun layanan khusus untuk deployment AI Hypercomputer Anda.
Memberikan peran IAM yang diperlukan
Berikan peran IAM berikut ke akun layanan khusus yang Anda buat:
- Compute Admin (
roles/compute.admin): Memberikan kontrol penuh atas resource Compute Engine. - Pengguna Akun Layanan (
roles/iam.serviceAccountUser): Mengizinkan akun layanan dilampirkan ke resource lain, yang sangat penting untuk alat seperti Packer saat membuat image kustom. - Storage Admin (
roles/storage.admin): Memerlukan akses ke dan pengelolaan bucket Cloud Storage, misalnya, untuk menyimpan image Packer atau artefak lainnya. - Logging Admin (
roles/logging.admin): Mengizinkan akun layanan untuk mengonfigurasi logging dan melihat log, yang penting untuk proses debug.
Memverifikasi izin sebelum deployment
Sebelum memulai deployment, pastikan akun layanan Anda memiliki izin yang diperlukan. Jalankan perintah gcloud projects get-iam-policy:
gcloud projects get-iam-policy PROJECT_ID \
--flatten="bindings[].members" \ format='table(bindings.role)' \
--filter="bindings.members:serviceAccount:SERVICE_ACCOUNT_EMAIL"
Ganti kode berikut:
PROJECT_ID: ID Google Cloud project Anda.SERVICE_ACCOUNT_EMAIL: Alamat email akun layanan yang ingin Anda verifikasi.
Perintah ini mencantumkan semua peran yang diberikan ke akun layanan Anda di project yang ditentukan. Pastikan peran yang tercantum di Berikan peran IAM yang diperlukan ditampilkan dalam output.
Membatasi akses jaringan publik dan memperkuat konfigurasi firewall
Membatasi akses jaringan publik dan memperkuat konfigurasi firewall untuk meningkatkan keamanan. Praktik keamanan mendasar ini mengurangi risiko aturan firewall default yang terlalu permisif.
Kegagalan penyiapan virtual machine (VM) dapat terjadi di lingkungan produksi karena konfigurasi firewall ketat yang tidak ada dalam pengujian internal. Engineer mungkin kesulitan mendiagnosis kegagalan ini tanpa mengetahui aturan firewall tertentu.
Tinjau dan perbarui aturan firewall Anda untuk meminimalkan eksposur langsung ke internet. Untuk mengetahui informasi selengkapnya tentang aturan firewall VPC, lihat Aturan firewall VPC.
Menstandardisasi default jaringan internal
Menstandardisasi default jaringan internal untuk mengurangi risiko dan tantangan konfigurasi. Perilaku jaringan default dapat menimbulkan risiko atau tantangan konfigurasi di lingkungan yang kompleks atau diperketat keamanannya. Google merekomendasikan konfigurasi berikut:
- Gunakan DNS Zona: Untuk project baru, tetapkan Domain Name System (DNS) internal ke DNS Zona saja. Pendekatan ini membantu mengurangi dampak potensi gangguan DNS global. Untuk mengetahui informasi selengkapnya tentang penggunaan DNS Zonal, lihat Ringkasan penggunaan DNS Zonal.
- Nonaktifkan alamat IP eksternal: Jika memungkinkan, nonaktifkan alamat IP eksternal. Sebelum menonaktifkan alamat IP, Anda harus merencanakan dan menguji dengan cermat di lingkungan staging, karena beberapa layanan seperti grup instance terkelola (MIG) atau cluster GKE dengan node publik bergantung padanya. Untuk mengetahui informasi selengkapnya tentang cara membatasi alamat IP publik, lihat artikel Membatasi alamat IP publik di Google Cloud.
Ringkasan praktik terbaik
Tabel berikut meringkas praktik terbaik yang direkomendasikan dalam dokumen ini:
| Topik | Tugas |
|---|---|
| IAM | Menetapkan peran IAM yang jelas dan terbatas |
| Firewall | Membatasi akses jaringan publik dan memperkuat konfigurasi firewall |
| Default Jaringan | Menyeragamkan default jaringan internal |
Langkah berikutnya
- Pelajari lebih lanjut praktik terbaik untuk menggunakan akun layanan.
- Pelajari lebih lanjut aturan firewall VPC.
- Pelajari lebih lanjut arsitektur jaringan AI Hypercomputer.