Dokumen ini menjelaskan praktik terbaik untuk membuat lingkungan jaringan yang aman dan tangguh untuk workload AI Hypercomputer. Rekomendasi ini ditujukan untuk arsitek jaringan, teknisi jaringan, dan developer yang ingin mengonfigurasi dan men-deploy workload kecerdasan buatan (AI) dan machine learning (ML) di AI Hypercomputer.
Menetapkan peran IAM yang jelas dan dibatasi
Mengonfigurasi IAM dengan benar akan membantu meningkatkan keamanan dan keberhasilan deployment AI Hypercomputer Anda. Di lingkungan produksi, izin yang tidak memadai atau salah konfigurasi dapat menyebabkan kegagalan deployment. Deployment AI Hypercomputer, terutama yang menggunakan
Cluster Toolkit, sering kali gagal di
lingkungan dengan postur keamanan yang diperkuat dan akun layanan Compute Engine
default tidak memiliki peran Editor yang luas.
Untuk membantu mengurangi masalah deployment yang mungkin terjadi karena masalah izin, ikuti praktik terbaik yang tercantum di bagian ini.
Menggunakan akun layanan khusus
Untuk keamanan dan kontrol yang lebih baik, hindari penggunaan akun layanan Compute Engine default. Sebagai gantinya, buat akun layanan khusus untuk deployment AI Hypercomputer Anda.
Memberikan peran IAM yang diperlukan
Berikan peran IAM berikut ke akun layanan khusus yang Anda buat:
- Admin Compute (
roles/compute.admin): Memberikan kontrol penuh atas resource Compute Engine. - Pengguna Akun Layanan (
roles/iam.serviceAccountUser): Memungkinkan akun layanan dilampirkan ke resource lain, yang sangat penting untuk alat seperti Packer saat membuat image kustom. - Admin Penyimpanan (
roles/storage.admin): Memerlukan akses ke dan pengelolaan bucket Cloud Storage, misalnya, untuk menyimpan image Packer atau artefak lainnya. - Admin Logging (
roles/logging.admin): Memungkinkan akun layanan mengonfigurasi logging dan melihat log, yang penting untuk proses debug.
Memverifikasi izin sebelum deployment
Sebelum memulai deployment, pastikan akun layanan Anda memiliki izin yang diperlukan. Jalankan gcloud projects get-iam-policy
perintah:
gcloud projects get-iam-policy PROJECT_ID \
--flatten="bindings[].members" \ format='table(bindings.role)' \
--filter="bindings.members:serviceAccount:SERVICE_ACCOUNT_EMAIL"
Ganti kode berikut:
PROJECT_ID: ID project Anda. Google CloudSERVICE_ACCOUNT_EMAIL: Alamat email akun layanan yang ingin Anda verifikasi.
Perintah ini mencantumkan semua peran yang diberikan ke akun layanan Anda di project yang ditentukan. Pastikan peran yang tercantum di Memberikan peran IAM yang diperlukan ditampilkan dalam output.
Membatasi akses jaringan publik dan memperkuat konfigurasi firewall
Batasi akses jaringan publik dan perkuat konfigurasi firewall untuk meningkatkan keamanan. Praktik keamanan mendasar ini mengurangi risiko aturan firewall default yang terlalu longgar.
Kegagalan penyiapan virtual machine (VM) dapat terjadi di lingkungan produksi karena konfigurasi firewall yang ketat dan tidak ada dalam pengujian internal. Teknisi mungkin mengalami kesulitan mendiagnosis kegagalan ini tanpa mengetahui aturan firewall tertentu.
Tinjau dan perbarui aturan firewall Anda untuk meminimalkan eksposur langsung ke internet. Untuk mengetahui informasi selengkapnya tentang aturan firewall VPC, lihat Aturan firewall VPC.
Menstandarkan setelan default jaringan internal
Standarkan setelan default jaringan internal untuk mengurangi risiko dan tantangan konfigurasi. Perilaku jaringan default dapat menimbulkan risiko atau tantangan konfigurasi di lingkungan yang kompleks atau diperkuat keamanannya. Google merekomendasikan konfigurasi berikut:
- Menggunakan DNS Zonal: Untuk project baru, tetapkan Domain Name System (DNS) internal hanya ke DNS Zonal. Pendekatan ini membantu mengurangi dampak potensi pemadaman layanan DNS global. Untuk mengetahui informasi selengkapnya tentang penggunaan DNS Zonal, lihat Ringkasan penggunaan DNS Zonal.
- Menonaktifkan alamat IP eksternal: Jika memungkinkan, nonaktifkan alamat IP eksternal. Sebelum menonaktifkan alamat IP, Anda harus merencanakan dan menguji dengan cermat di lingkungan staging, karena beberapa layanan seperti grup instance terkelola (MIG) atau cluster GKE dengan node publik bergantung pada alamat IP eksternal. Untuk mengetahui informasi selengkapnya tentang cara membatasi alamat IP publik, lihat Membatasi alamat IP publik di Google Cloud.
Ringkasan praktik terbaik
Tabel berikut meringkas praktik terbaik yang direkomendasikan dalam dokumen ini:
| Topik | Tugas |
|---|---|
| IAM | Menetapkan peran IAM yang jelas dan dibatasi |
| Firewall | Membatasi akses jaringan publik dan memperkuat konfigurasi firewall |
| Setelan Default Jaringan | Menstandarkan setelan default jaringan internal |
Langkah berikutnya
- Pelajari lebih lanjut tentang praktik terbaik untuk menggunakan akun layanan.
- Pelajari lebih lanjut aturan firewall VPC.
- Pelajari lebih lanjut arsitektur jaringan AI Hypercomputer.