Praktik terbaik jaringan

Dokumen ini menjelaskan praktik terbaik untuk membuat lingkungan jaringan yang aman dan tangguh untuk workload AI Hypercomputer. Rekomendasi ini ditujukan untuk arsitek jaringan, teknisi jaringan, dan developer yang ingin mengonfigurasi dan men-deploy workload kecerdasan buatan (AI) dan machine learning (ML) di AI Hypercomputer.

Menetapkan peran IAM yang jelas dan dibatasi

Mengonfigurasi IAM dengan benar akan membantu meningkatkan keamanan dan keberhasilan deployment AI Hypercomputer Anda. Di lingkungan produksi, izin yang tidak memadai atau salah konfigurasi dapat menyebabkan kegagalan deployment. Deployment AI Hypercomputer, terutama yang menggunakan Cluster Toolkit, sering kali gagal di lingkungan dengan postur keamanan yang diperkuat dan akun layanan Compute Engine default tidak memiliki peran Editor yang luas.

Untuk membantu mengurangi masalah deployment yang mungkin terjadi karena masalah izin, ikuti praktik terbaik yang tercantum di bagian ini.

Menggunakan akun layanan khusus

Untuk keamanan dan kontrol yang lebih baik, hindari penggunaan akun layanan Compute Engine default. Sebagai gantinya, buat akun layanan khusus untuk deployment AI Hypercomputer Anda.

Memberikan peran IAM yang diperlukan

Berikan peran IAM berikut ke akun layanan khusus yang Anda buat:

  • Admin Compute (roles/compute.admin): Memberikan kontrol penuh atas resource Compute Engine.
  • Pengguna Akun Layanan (roles/iam.serviceAccountUser): Memungkinkan akun layanan dilampirkan ke resource lain, yang sangat penting untuk alat seperti Packer saat membuat image kustom.
  • Admin Penyimpanan (roles/storage.admin): Memerlukan akses ke dan pengelolaan bucket Cloud Storage, misalnya, untuk menyimpan image Packer atau artefak lainnya.
  • Admin Logging (roles/logging.admin): Memungkinkan akun layanan mengonfigurasi logging dan melihat log, yang penting untuk proses debug.

Memverifikasi izin sebelum deployment

Sebelum memulai deployment, pastikan akun layanan Anda memiliki izin yang diperlukan. Jalankan gcloud projects get-iam-policy perintah:

gcloud projects get-iam-policy PROJECT_ID \
    --flatten="bindings[].members" \ format='table(bindings.role)' \
    --filter="bindings.members:serviceAccount:SERVICE_ACCOUNT_EMAIL"

Ganti kode berikut:

  • PROJECT_ID: ID project Anda. Google Cloud
  • SERVICE_ACCOUNT_EMAIL: Alamat email akun layanan yang ingin Anda verifikasi.

Perintah ini mencantumkan semua peran yang diberikan ke akun layanan Anda di project yang ditentukan. Pastikan peran yang tercantum di Memberikan peran IAM yang diperlukan ditampilkan dalam output.

Membatasi akses jaringan publik dan memperkuat konfigurasi firewall

Batasi akses jaringan publik dan perkuat konfigurasi firewall untuk meningkatkan keamanan. Praktik keamanan mendasar ini mengurangi risiko aturan firewall default yang terlalu longgar.

Kegagalan penyiapan virtual machine (VM) dapat terjadi di lingkungan produksi karena konfigurasi firewall yang ketat dan tidak ada dalam pengujian internal. Teknisi mungkin mengalami kesulitan mendiagnosis kegagalan ini tanpa mengetahui aturan firewall tertentu.

Tinjau dan perbarui aturan firewall Anda untuk meminimalkan eksposur langsung ke internet. Untuk mengetahui informasi selengkapnya tentang aturan firewall VPC, lihat Aturan firewall VPC.

Menstandarkan setelan default jaringan internal

Standarkan setelan default jaringan internal untuk mengurangi risiko dan tantangan konfigurasi. Perilaku jaringan default dapat menimbulkan risiko atau tantangan konfigurasi di lingkungan yang kompleks atau diperkuat keamanannya. Google merekomendasikan konfigurasi berikut:

  • Menggunakan DNS Zonal: Untuk project baru, tetapkan Domain Name System (DNS) internal hanya ke DNS Zonal. Pendekatan ini membantu mengurangi dampak potensi pemadaman layanan DNS global. Untuk mengetahui informasi selengkapnya tentang penggunaan DNS Zonal, lihat Ringkasan penggunaan DNS Zonal.
  • Menonaktifkan alamat IP eksternal: Jika memungkinkan, nonaktifkan alamat IP eksternal. Sebelum menonaktifkan alamat IP, Anda harus merencanakan dan menguji dengan cermat di lingkungan staging, karena beberapa layanan seperti grup instance terkelola (MIG) atau cluster GKE dengan node publik bergantung pada alamat IP eksternal. Untuk mengetahui informasi selengkapnya tentang cara membatasi alamat IP publik, lihat Membatasi alamat IP publik di Google Cloud.

Ringkasan praktik terbaik

Tabel berikut meringkas praktik terbaik yang direkomendasikan dalam dokumen ini:

Topik Tugas
IAM Menetapkan peran IAM yang jelas dan dibatasi
Firewall Membatasi akses jaringan publik dan memperkuat konfigurasi firewall
Setelan Default Jaringan Menstandarkan setelan default jaringan internal

Langkah berikutnya