Configurar un proyecto para Vertex AI

En esta página se describen las tareas que debe completar en el dispositivo aislado de Google Distributed Cloud (GDC) para que su proyecto esté listo para ejecutar servicios de Vertex AI. En la página también se proporcionan instrucciones sobre cómo configurar la CLI de gdcloud en tu entorno de desarrollo. Sigue estos pasos en el proyecto en el que quieras implementar Vertex AI para tus aplicaciones de aprendizaje automático (ML) e inteligencia artificial (IA).

Si no tienes los permisos necesarios, pide a tu administrador que configure el proyecto en tu nombre.

Pedir a un administrador que configure un proyecto

Para llevar a cabo la mayoría de las tareas de configuración de un proyecto, se necesita acceso de administrador. Un administrador debe seguir estos pasos para configurar un proyecto en el que puedas ejecutar servicios de Vertex AI en el espacio de nombres del proyecto:

  1. Configura el dispositivo con la información del sistema de nombres de dominio (DNS).
  2. Elige un nombre y un ID de proyecto significativos para identificar el proyecto.
  3. Configura un proyecto siguiendo las instrucciones de este documento.

Antes de empezar

Para obtener los permisos que necesitas para crear un proyecto y configurar cuentas de servicio, pide al administrador de gestión de identidades y accesos de tu organización o proyecto que te conceda los siguientes roles en el espacio de nombres de tu proyecto:

  • Para crear un proyecto, obtén el rol de creador de proyectos (project-creator).
  • Para crear cuentas de servicio, obtén el rol Administrador de gestión de identidades y accesos de proyectos (project-iam-admin).

Para obtener información sobre estos roles, consulta Preparar permisos de gestión de identidades y accesos. Para saber cómo conceder permisos a un sujeto, consulta Conceder y revocar el acceso.

A continuación, crea un proyecto para agrupar tus servicios de Vertex AI.

Instalar la CLI de gdcloud

Para activar los servicios del dispositivo aislado de GDC y acceder a herramientas y componentes, instala la CLI de gdcloud.

Sigue estos pasos para instalar la CLI de gdcloud y gestionar los componentes necesarios:

  1. Descarga la CLI de gdcloud.

  2. Inicializa la CLI de gdcloud:

    gdcloud init

    Para obtener más información, consulta Instalar la CLI de gdcloud.

  3. Instala los componentes necesarios:

    gdcloud components install COMPONENT_ID

    Sustituye COMPONENT_ID por el nombre del componente que quieras instalar.

    Para obtener más información, consulta Gestionar componentes de la CLI de gdcloud.

  4. Autentícate con la CLI de gdcloud:

    gdcloud auth login

    Para obtener más información sobre cómo autenticarte con tu proveedor de identidades configurado y obtener un archivo kubeconfig para tu identidad de usuario y tu clúster de Kubernetes, consulta la autenticación de la CLI de gdcloud.

Configurar cuentas de servicio

Las cuentas de servicio, también denominadas identidades de servicio, desempeñan un papel fundamental en la gestión de tus servicios de Vertex AI. Son las cuentas que usan tus cargas de trabajo para acceder a los servicios de Vertex AI y hacer llamadas a la API autorizadas de forma programática. Al igual que las cuentas de usuario, las cuentas de servicio pueden tener permisos y roles, lo que proporciona un entorno seguro y controlado, pero no pueden iniciar sesión como un usuario humano.

Puedes configurar cuentas de servicio para los servicios de Vertex AI especificando el nombre de tu cuenta de servicio, tu ID de proyecto y el nombre de un archivo JSON para los pares de claves.

Para obtener más información sobre cómo crear una cuenta de servicio, asignarle enlaces de rol y crear y añadir pares de claves, consulta Autenticar con cuentas de servicio en proyectos.

Sigue estos pasos para configurar cuentas de servicio con la CLI de gdcloud:

  1. Crea una cuenta de servicio:

    gdcloud iam service-accounts create SERVICE_ACCOUNT --project=PROJECT_ID

    Haz los cambios siguientes:

    • SERVICE_ACCOUNT: el nombre de la cuenta de servicio. El nombre debe ser único en el espacio de nombres del proyecto.
    • PROJECT_ID: el ID del proyecto en el que quieres crear la cuenta de servicio. Si gdcloud init ya está configurado, puedes omitir la marca --project.

  2. Crea el archivo JSON de credenciales predeterminadas de la aplicación y los pares de claves pública y privada:

    gdcloud iam service-accounts keys create APPLICATION_DEFAULT_CREDENTIALS_FILENAME \
    --project=PROJECT_ID \
    --iam-account=SERVICE_ACCOUNT \
    --ca-cert-path=CA_CERTIFICATE_PATH

    Haz los cambios siguientes:

    • APPLICATION_DEFAULT_CREDENTIALS_FILENAME: el nombre del archivo JSON, como my-service-key.json.
    • PROJECT_ID: el proyecto para el que se va a crear la clave.
    • SERVICE_ACCOUNT: el nombre de la cuenta de servicio a la que se va a añadir la clave.
    • CA_CERTIFICATE_PATH: una marca opcional para la ruta al certificado de la autoridad de certificación (CA) que verifica el endpoint de autenticación. Si no especifica esta ruta, se usarán los certificados de CA del sistema. Debes instalar la CA en los certificados de CA del sistema.

    El dispositivo aislado de GDC añade la clave pública a las claves de la cuenta de servicio que usas para verificar los tokens web JSON (JWT) que firma la clave privada. La clave privada se escribe en el archivo JSON de las credenciales predeterminadas de la aplicación.

  3. Concede a la cuenta de servicio acceso a los recursos del proyecto asignando un enlace de rol. El nombre del rol depende del servicio de Vertex AI para el que quieras usar la cuenta de servicio.

    gdcloud iam service-accounts add-iam-policy-binding \
    --project=PROJECT_ID \
    --iam-account=SERVICE_ACCOUNT \
    --role=ROLE

    Haz los cambios siguientes:

    • PROJECT_ID: el proyecto en el que se va a crear la vinculación de roles.
    • SERVICE_ACCOUNT: el nombre de la cuenta de servicio que se va a usar.

    • ROLE: el rol predefinido que se asignará a la cuenta de servicio. Especifica los roles en el formato Role/name, donde Role es el tipo de Kubernetes, como Role o ProjectRole, y name es el nombre del rol predefinido. Por ejemplo, estos son los roles que puedes asignar a las cuentas de servicio para usar las APIs preentrenadas de Vertex AI:

      • Para asignar el rol Desarrollador de OCR con IA (ai-ocr-developer), define el rol como Role/ai-ocr-developer.
      • Para asignar el rol de desarrollador de voz de IA (ai-speech-developer), selecciona Role/ai-speech-developer.
      • Para asignar el rol de desarrollador de traducción con IA (ai-translation-developer), selecciona Role/ai-translation-developer.