Best Practices für die Sicherheit generativer KI

In diesem Dokument wird eine typische generative KI-Architektur inGoogle Cloudbeschrieben. Außerdem werden die Best Practices für die Sicherheit aufgeführt, die für generative KI-Arbeitslasten gelten, und es wird beschrieben, wann Sie bestimmteGoogle Cloud -Dienste verwenden sollten.

Architektur

Das folgende Diagramm zeigt die Google Cloud -Dienste in einer typischen generativen KI-Architektur, die die Gemini Enterprise Agent Platform verwendet.

Dieses Diagramm enthält Folgendes:

• Mit der Agent Platform können Sie generative KI, einschließlich KI-Lösungen, Suche und Unterhaltung, auf einer einzigen Plattform erstellen und verwenden.

• Artifact Registry optimiert den Entwicklungs- und Bereitstellungsprozess für maschinelles Lernen (ML), verbessert die Zusammenarbeit und sorgt für die Sicherheit und Zuverlässigkeit Ihrer ML-Modelle.

• BigQuery vereinfacht den Datenzugriff, ermöglicht skalierbare Analysen und bietet die Möglichkeit, die ML-Funktionen in Ihren ML-Workflows zu nutzen.

• Cloud-Audit-Logs zeichnen die Aktionen auf, die Ihre Nutzer in Ihrer Umgebung ausführen. So können Sie Fehlerbehebung, Auditing und Incident Response verbessern.

• Mit Cloud Billing-Dashboards und ‑Benachrichtigungen können Sie die Nutzung und Abrechnung der Agent Platform-Arbeitslasten prüfen.

• Mit Cloud Build können Sie eine serverlose CI/CD-Plattform auf Google Clouderstellen, testen und bereitstellen.

• Cloud Identity bietet eine einheitliche Identitäts-, Zugriffs-, Anwendungs- und Endpunktverwaltung für Google Cloud.

• Mit Cloud Run Functions lassen sich Aufgaben automatisieren, Vorhersagen bereitstellen, Trainingsjobs auslösen, andere Dienste einbinden und ereignisgesteuerte ML-Pipelines erstellen.

• In Cloud Storage werden Trainingsdaten, Modellartefakte und Produktionsdaten gespeichert.

• Mit Dataflow können Sie komplexe Pipelines erstellen, mit denen Daten aus verschiedenen Quellen aufgenommen und nach Bedarf aggregiert werden.

• Cloud DNS registriert, verwaltet und stellt Ihre Domain bereit.

• Mit der Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM) können Sie steuern, wer bestimmte Aktionen für Ihre generativen Arbeitslastressourcen ausführen darf, z. B. das Erstellen, Bearbeiten oder Löschen von Ressourcen.

• Mit dem Organisationsrichtliniendienst können Sie Richtlinien in Ihrer Google Cloud-Umgebung zentral verwalten und erzwingen. Mit Organization Policy können Sie für eine einheitliche Konfiguration und Compliance mit Sicherheitsstandards für alle Projekte und Ressourcen in Ihrer Organisation sorgen.

• Pub/Sub ermöglicht eine effiziente Kommunikation und Automatisierung in Ihren Machine-Learning-Workflows.

• Mit dem Resource Manager können Sie logische Komponenten Ihrer Agent Platform-Arbeitslasten gruppieren und verwalten.

• Secret Manager hilft Ihnen, die sensiblen Daten und Anmeldedaten zu schützen, die in Agent Platform-Projekten verwendet werden.

• Mit Sensitive Data Protection wird die Erkennung sensibler Daten in Ihren Datasets automatisiert. Sensitive Data Protection kann Prompts scannen und sensible Daten unkenntlich machen, bevor die Daten das Modell erreichen. Mit Sensitive Data Protection kann auch die Ausgabe des Modells gescannt werden, um zu verhindern, dass sensible Trainingsdaten in Antworten weitergegeben werden.

• Security Command Center hilft Ihnen, Ihre Cloud-Organisation, Ihre KI-Arbeitslasten und die KI-Daten zu schützen, die Sie auf Google Cloudspeichern. Security Command Center bietet Folgendes:

  • Zentrale Sicherheitsverwaltung
  • Bedrohungserkennung und Incident Response
  • Automatisierte Sicherheitsbewertungen
  • Compliance und behördliche Berichte
  • Sicherheitsempfehlungen und Best Practices

• Virtual Private Cloud (VPC) isoliert Ihre KI-Ressourcen in einer sicheren Umgebung vom Internet. Diese Netzwerkkonfiguration trägt dazu bei, sensible Daten und Modelle vor unbefugtem Zugriff und potenziellen Cyberangriffen zu schützen.

• Mit Cloud VPN oder Cloud Interconnect können Sie eine sichere Netzwerkverbindung zwischen Ihrer lokalen Infrastruktur und Ihrer Agent Platform-Umgebung herstellen. Cloud VPN oder Cloud Interconnect ermöglichen einen nahtlosen Datentransfer und eine nahtlose Kommunikation zwischen Ihrem privaten Netzwerk und Google Cloud-Ressourcen. Diese Integration ist für Szenarien wie den Zugriff auf lokale Daten für das Modelltraining oder die Bereitstellung von Modellen für lokale Ressourcen für die Inferenz geeignet.

Best Practices für Arbeitslasten für generative KI

In diesem Abschnitt finden Sie Links zu den Best Practices für generative KI-Arbeitslasten, die die Agent-Plattform verwenden.

• Empfohlene Nutzergruppen und IAM-Rollen

• Best Practices für eine sichere Unternehmensbasis

  • Best Practices für Authentifizierung und Autorisierung

    • Automatische IAM-Zuweisungen für Standarddienstkonten deaktivieren
    • Erstellung externer Dienstkontoschlüssel blockieren
    • Uploads von Dienstkontoschlüsseln blockieren
    • Aufgabentrennung für Administratoren von Organisationsrichtlinien konfigurieren
    • Bestätigung in zwei Schritten für Super Admin-Konten aktivieren
    • 2‑Faktor-Authentifizierung für die Organisationseinheit des Super Admin erzwingen
    • E‑Mail-Adresse für den primären Super Admin erstellen
    • Redundante Administratorkonten erstellen
    • Tags implementieren, um IAM- und Organisationsrichtlinien effizient zuzuweisen
    • IAM-Änderungen mit hohem Risiko prüfen
    • Zugriff auf Cloud Shell für von Cloud Identity verwaltete Nutzerkonten blockieren
    • Kontextsensitiven Zugriff für Google-Konsolen konfigurieren
    • Eigenständige Kontowiederherstellung für Super Admin-Konten blockieren
    • Nicht verwendete Google-Dienste deaktivieren

  • Best Practices für Organisationen

    • Von Google-APIs unterstützte TLS-Versionen einschränken
    • Autorisierte Identitäten einschränken
    • Nutzung von Ressourcendiensten einschränken
    • Ressourcenstandorte einschränken

  • Netzwerke/Best Practices

    • Erstellung von Standardnetzwerken blockieren
    • DNS-Sicherheitserweiterungen aktivieren
    • Dienstbereichseinschränkung in Access Context Manager-Zugriffsrichtlinien aktivieren
    • APIs in VPC Service Controls-Dienstperimetern einschränken
    • Zonales DNS verwenden

  • Best Practices für Logging, Monitoring und Benachrichtigungen

    • Audit-Logs aus Cloud Identity freigeben
    • Audit-Logs verwenden
    • VPC-Flusslogs aktivieren
    • Firewallregel-Logging aktivieren
    • Audit-Logs zum Datenzugriff aktivieren
    • Abrechnungsbenachrichtigungen konfigurieren
    • Access Transparency-Logs aktivieren
    • Abrechnungsdaten für detaillierte Analysen exportieren

  • Best Practices für die Schlüssel- und Secret-Verwaltung

    • Ruhende Daten in Google Cloud verschlüsseln
    • Vom NIST zugelassene Algorithmen für die Ver- und Entschlüsselung verwenden
    • Zweck für Cloud Key Management Service-Schlüssel festlegen
    • CMEK-Einstellungen für sichere BigQuery-Data-Warehouses konfigurieren
    • Verschlüsselungsschlüssel alle 90 Tage rotieren
    • Automatische Secret-Rotation einrichten
    • CMEK für Pub/Sub-Nachrichten verwenden
    • Standort von kundenverwalteten Verschlüsselungsschlüsseln einschränken
    • CMEK für Google Cloud -Dienste verwenden
    • Secrets automatisch replizieren

  • Best Practices für Sicherheitsstatus und Analysen

    • Security Command Center auf Organisationsebene aktivieren
    • Benachrichtigungen über Security Command Center konfigurieren

• Best Practices für die Infrastruktur

  • VM-Instanzen definieren, die die IP-Weiterleitung aktivieren können
  • Verschachtelte Virtualisierung für VM deaktivieren
  • Externe IP-Adressen auf VMs einschränken
  • Zulässige externe IP-Adressen für VM-Instanzen definieren
  • VPC-Connector für Cloud Run Functions erforderlich
  • Richtlinien für den Nachrichtenspeicher konfigurieren
  • Externe IP-Adressen für Dataflow-Jobs deaktivieren
  • Netzwerk-Tags für Firewallregeln verwenden

• Best Practices für das Datenmanagement

  • Sensitive Data Protection für die Datenprüfung aktivieren

  • Best Practices für Data Warehouses

    • Sicherstellen, dass BigQuery-Datasets nicht öffentlich lesbar sind oder auf „allAuthenticatedUsers“ festgelegt sind
    • Achten Sie darauf, dass BigQuery-Tabellen nicht öffentlich lesbar sind oder auf „allAuthenticatedUsers“ festgelegt sind.
    • Einzelne Werte in einer BigQuery-Tabelle verschlüsseln
    • Autorisierte Ansichten für BigQuery-Datasets verwenden
    • BigQuery-Sicherheit auf Spaltenebene verwenden
    • BigQuery-Sicherheit auf Zeilenebene verwenden
    • BigQuery-Ressourcendiagramme verwenden

  • Best Practices

    • Öffentlichen Zugriff auf Cloud Storage-Buckets blockieren
    • Einheitlichen Zugriff auf Bucket-Ebene verwenden
    • HMAC-Schlüssel für Dienstkonten schützen
    • Aufzählen von Cloud Storage-Buckets durch Dienstkonten erkennen
    • IAM-Richtlinienänderungen von Cloud Storage-Buckets durch Dienstkonten erkennen
    • Achten Sie darauf, dass die Aufbewahrungsrichtlinie für Cloud Storage-Bucket die Bucket-Sperre verwendet
    • Lebenszyklusregeln für die Aktion „SetStorageClass“ festlegen
    • Zulässige Regionen für Speicherklassen festlegen
    • Lebenszyklusverwaltung für Cloud Storage-Buckets aktivieren
    • Lebenszyklusverwaltungsregeln für Cloud Storage-Buckets aktivieren
    • Temporäre Holds für aktive Objekte prüfen und bewerten
    • Aufbewahrungsrichtlinien für Cloud Storage-Buckets erzwingen
    • Klassifizierungstags für Cloud Storage-Buckets erzwingen
    • Log-Buckets für Cloud Storage-Buckets erzwingen
    • Löschregeln für Cloud Storage-Buckets konfigurieren
    • „isLive“-Bedingung muss für Löschregeln „False“ sein
    • Versionsverwaltung für Cloud Storage-Buckets erzwingen
    • Erzwingen von Inhabern für Cloud Storage-Buckets
    • Logging wichtiger Cloud Storage-Aktivitäten aktivieren

• Tools und Best Practices für Inferenz

  • Zugriffsmodus für Agent Platform Workbench-Notebooks und ‑Instanzen definieren
  • Dateidownloads auf Agent Platform Workbench-Instanzen deaktivieren
  • Root-Zugriff auf von Nutzern verwalteten Agent Platform Workbench-Notebooks und ‑Instanzen deaktivieren
  • Terminal auf Agent Platform Workbench-Instanzen deaktivieren
  • Umgebungsoptionen auf Agent Platform Workbench-Notebooks und ‑Instanzen einschränken
  • Automatische geplante Upgrades auf von Nutzern verwalteten Agent Platform Workbench-Notebooks und ‑Instanzen erzwingen
  • Öffentlichen Zugriff auf neue Agent Platform Workbench-Notebooks und ‑Instanzen einschränken
  • VPC-Netzwerke auf Agent Platform Workbench-Instanzen einschränken

• Best Practices für Agents und Anwendungen

  • Scannen auf Sicherheitslücken für Artefakte konfigurieren
  • Zulässige private Pools definieren
  • Definieren, welche externen Dienste Build-Trigger aufrufen können
  • Bereinigungsrichtlinien für Artefakte erstellen

Anwendungsfälle für Artifact Registry

Hier sind einige Anwendungsfälle für Artifact Registry mit der Agent Platform:

• ML-Artefakte verwalten:Mit Artifact Registry können Sie alle Ihre ML-Artefakte an einem Ort speichern und verwalten, einschließlich Modelltrainingscode, Datasets, trainierte Modelle und Container für die Vorhersagebereitstellung. Sie können dieses zentrale Repository verwenden, um Ihre ML-Artefakte team- und projektübergreifend zu verfolgen, freizugeben und wiederzuverwenden.
• Versionsverwaltung und Reproduzierbarkeit:Artifact Registry bietet eine Versionsverwaltung für Ihre ML-Artefakte. So können Sie Änderungen nachverfolgen und bei Bedarf ein Rollback zu früheren Versionen durchführen. Diese Funktion ist entscheidend, um die Reproduzierbarkeit Ihrer ML-Tests und ‑Bereitstellungen zu gewährleisten.
• Sicherer und zuverlässiger Speicher:Artifact Registry bietet sicheren und zuverlässigen Speicher für Ihre ML-Artefakte. Diese Artefakte werden bei Inaktivität und bei der Übertragung verschlüsselt. Konfigurieren Sie die Zugriffssteuerung, um einzuschränken, wer auf die Artefakte zugreifen kann. So schützen Sie Ihre wertvollen Daten und Ihr geistiges Eigentum.
• Integration mit Gemini Enterprise Agent Platform Pipelines:Artifact Registry lässt sich in Agent Platform Pipelines einbinden, um Ihre ML-Workflows zu erstellen und zu automatisieren. Verwenden Sie Artifact Registry, um Ihre Pipeline-Artefakte (z. B. Ihre Pipelinedefinitionen, Ihren Code und Ihre Daten) zu speichern und Pipeline-Ausführungen automatisch auszulösen, wenn neue Artefakte hochgeladen werden.
• CI/CD für ML optimieren:Binden Sie Artifact Registry in Ihre CI/CD-Tools ein, um die Entwicklung und Bereitstellung Ihrer ML-Modelle zu optimieren. Sie können beispielsweise Artifact Registry verwenden, um Ihren Modellbereitstellungscontainer automatisch zu erstellen und bereitzustellen, wenn Sie eine neue Version Ihres Modells in Artifact Registry übertragen.
• Unterstützung mehrerer Regionen:Mit Artifact Registry können Sie Ihre Artefakte in mehreren Regionen speichern. Das kann die Leistung und Verfügbarkeit Ihrer ML-Modelle verbessern, insbesondere wenn Sie Nutzer in verschiedenen Teilen der Welt haben.

Anwendungsfälle für BigQuery

Hier sind einige Anwendungsfälle für BigQuery mit der Agent Platform:

• Nahtlose Integration:BigQuery und die Agent Platform sind eng miteinander verknüpft. So können Sie direkt über die Agent Platform auf Ihre Daten zugreifen und sie analysieren. Durch diese Integration ist keine Datenübertragung mehr erforderlich, Ihr ML-Workflow wird optimiert und die Reibung wird reduziert.
• Skalierbare Datenanalyse:BigQuery bietet ein Data Warehouse im Petabyte-Bereich, mit dem Sie riesige Datasets analysieren können, ohne sich um Infrastrukturbeschränkungen kümmern zu müssen. Diese Skalierbarkeit ist entscheidend für das Training und die Bereitstellung datenintensiver ML-Modelle.
• SQL-basiertes ML:Mit BigQuery ML können Sie vertraute SQL-Befehle verwenden, um Modelle direkt in BigQuery zu trainieren und bereitzustellen. Mit dieser Funktion können Datenanalysten und SQL-Experten ML-Funktionen nutzen, ohne dass sie über fortgeschrittene Programmierkenntnisse verfügen müssen.
• Online- und Batchvorhersagen:BigQuery ML unterstützt Online- und Batchvorhersagen. Sie können Echtzeitvorhersagen für einzelne Zeilen ausführen oder Vorhersagen für große Datasets im Batchmodus generieren. Diese Flexibilität unterstützt verschiedene Anwendungsfälle mit unterschiedlichen Latenzanforderungen.
• Weniger Datenübertragung:Mit BigQuery ML müssen Sie Ihre Daten nicht in separate Speicher- oder Rechenressourcen für das Modelltraining und die Bereitstellung verschieben. Durch die geringere Datenverschiebung wird Ihr Workflow vereinfacht, die Latenz reduziert und die Kosten für die Datenübertragung minimiert.
• Modellüberwachung:Die Agent Platform bietet umfassende Funktionen zur Modellüberwachung, mit denen Sie die Leistung, Fairness und Erklärbarkeit Ihrer BigQuery ML-Modelle im Blick behalten können. Mit dem Modellmonitoring können Sie dafür sorgen, dass Ihre Modelle die erwartete Leistung erbringen, und potenzielle Probleme beheben.
• Vortrainierte Modelle:Die Agent Platform bietet Zugriff auf vortrainierte Modelle, einschließlich solcher für Natural Language Processing und Computer Vision. Sie können diese Modelle in BigQuery verwenden, um Ihre Analysen zu optimieren und aussagekräftigere Statistiken aus Ihren Daten zu gewinnen.
• Kostengünstige Lösung:BigQuery ML bietet eine kostengünstige und flexible Möglichkeit, ML-Modelle zu trainieren und bereitzustellen. Sie zahlen nur für die Ressourcen, die Sie nutzen. Das macht die Lösung zu einer erschwinglichen Option für Unternehmen jeder Größe.
• Erweiterte Analysefunktionen:BigQuery bietet Tools für erweiterte Analysen, einschließlich Geoanalysen und Prognosen. Mit diesen Tools können Sie ML mit anderen Analysetechniken kombinieren, um Daten genauer zu untersuchen und aussagekräftigere Statistiken zu erhalten.
• Bessere Zusammenarbeit:Durch die Verwendung von BigQuery mit der Agent Platform können Data Scientists, ML-Engineers und Analysten nahtlos an ML-Projekten zusammenarbeiten. Diese Zusammenarbeit trägt dazu bei, einen integrierten und effizienten Ansatz zur Bewältigung komplexer Datenprobleme zu schaffen.

Anwendungsfälle für Cloud Build

Betrachten Sie die folgenden Anwendungsfälle für Cloud Build mit der Agent Platform:

• ML-Pipeline-Builds automatisieren:Mit Cloud Build können Sie das Erstellen und Testen Ihrer in Agent Platform Pipelines definierten ML-Pipelines automatisieren. Diese Automatisierung hilft Ihnen, Ihre Modelle schneller und konsistenter zu erstellen und bereitzustellen.
• Benutzerdefinierte Container-Images für die Bereitstellung erstellen:Mit Cloud Build können benutzerdefinierte Container-Images für Ihre Modellbereitstellungsumgebungen erstellt werden. Mit Cloud Build können Sie Ihren Modellcode, Ihre Abhängigkeiten und Ihre Laufzeitumgebung in einem einzigen Image verpacken, das Sie für die Bereitstellung von Vorhersagen in Gemini Enterprise Agent Platform Inference bereitstellen können.
• In CI/CD-Workflows einbinden:Mit Cloud Build können Sie das Erstellen und Bereitstellen Ihrer ML-Modelle in Ihren CI/CD-Workflows automatisieren. Durch diese Automatisierung sind Ihre Modelle immer auf dem neuesten Stand und werden in der Produktion bereitgestellt.
• Builds basierend auf Codeänderungen auslösen:Cloud Build kann automatisch Builds auslösen, wenn Änderungen an Ihrem Modellcode oder Ihrer Pipeline-Definition vorgenommen werden. Diese Automatisierung trägt dazu bei, dass Ihre Modelle mit dem neuesten Code erstellt werden und alle Änderungen automatisch in der Produktion bereitgestellt werden.
• Skalierbare und sichere Infrastruktur nutzen:Cloud Build verwendet eineGoogle Cloud skalierbare und sichere Infrastruktur, um Ihre Modelle zu erstellen und bereitzustellen. Dank dieser Skalierbarkeit müssen Sie sich nicht um die Verwaltung Ihrer eigenen Infrastruktur kümmern und können sich auf die Entwicklung Ihrer Modelle konzentrieren.
• Unterstützung für verschiedene Programmiersprachen:Cloud Build unterstützt verschiedene Programmiersprachen, darunter Python, Java, Go und Node.js. So können Sie Ihre Modelle in der Sprache Ihrer Wahl erstellen.
• Vorgefertigte Build-Schritte verwenden:Um den Build-Prozess zu vereinfachen, bietet Cloud Build vorgefertigte Build-Schritte für häufige ML-Aufgaben wie das Installieren von Abhängigkeiten, das Ausführen von Tests und das Übertragen von Images in Containerregistrierungen.
• Benutzerdefinierte Build-Schritte erstellen:Sie können in Cloud Build eigene benutzerdefinierte Build-Schritte definieren, um beliebigen Code während des Build-Prozesses auszuführen.
• Artefakte für andere Agent Platform-Dienste erstellen:Cloud Build kann Artefakte für andere Agent Platform-Dienste wie Feature Store auf Agent Platform und Agent Platform Data Labeling erstellen. Diese Flexibilität hilft Ihnen, einen vollständigen ML-Workflow aufGoogle Cloudzu erstellen.
• Kostengünstige Lösung:Cloud Build bietet ein Pay-as-you-go-Preismodell. Sie zahlen also nur für die Ressourcen, die Sie nutzen.

Anwendungsfälle für Cloud Storage

Hier sind einige Anwendungsfälle für Cloud Storage mit der Agent Platform:

• Trainingsdaten speichern:Mit der Agent Platform können Sie Ihre Trainings-Datasets in Cloud Storage-Buckets speichern. Die Verwendung von Cloud Storage bietet mehrere Vorteile:
  • Cloud Storage kann Datasets jeder Größe verarbeiten. So können Sie Modelle mit riesigen Datenmengen trainieren, ohne dass Speicherbeschränkungen gelten.
  • Sie können detaillierte Zugriffssteuerungen und Verschlüsselung für Ihre Cloud Storage-Buckets festlegen, um Ihre vertraulichen Trainingsdaten zu schützen.
  • Mit Cloud Storage können Sie Änderungen nachverfolgen und zu früheren Versionen Ihrer Daten zurückkehren. Das bietet wertvolle Prüfpfade und erleichtert reproduzierbare Trainingsläufe.
  • Die Agent Platform lässt sich nahtlos in Cloud Storage einbinden, sodass Sie innerhalb der Plattform auf Ihre Trainingsdaten zugreifen können.
• Modellartefakte speichern:Sie können trainierte Modellartefakte wie Modelldateien, Hyperparameterkonfigurationen und Trainingslogs in Cloud Storage-Buckets speichern. Mit Cloud Storage haben Sie folgende Möglichkeiten:
  • Bewahren Sie alle Ihre Modellartefakte in Cloud Storage als zentrales Repository auf, um bequem darauf zuzugreifen und sie zu verwalten.
  • Sie können verschiedene Versionen Ihrer Modelle verfolgen und verwalten, um bei Bedarf Vergleiche und Rollbacks zu ermöglichen.
  • Gewähren Sie Teammitgliedern und Mitwirkenden Zugriff auf bestimmte Cloud Storage-Buckets, um Modelle effizient freizugeben.
• Produktionsdaten speichern:Für Modelle, die in der Produktion verwendet werden, können in Cloud Storage die Daten gespeichert werden, die dem Modell für die Vorhersage zugeführt werden. Mit Cloud Storage haben Sie beispielsweise folgende Möglichkeiten:
  • Nutzerdaten und ‑interaktionen für personalisierte Empfehlungen in Echtzeit speichern
  • Bilder für die On-Demand-Verarbeitung und ‑Klassifizierung mit Ihren Modellen aufbewahren
  • Transaktionsdaten für die Betrugserkennung in Echtzeit mit Ihren Modellen verwalten.
• Integration mit anderen Diensten:Cloud Storage lässt sich nahtlos in andere Google Cloud -Dienste einbinden, die in Agent Platform-Workflows verwendet werden, z. B.:
  • Dataflow für optimierte Pipelines zur Datenvorverarbeitung und -transformation.
  • BigQuery für den Zugriff auf große Datasets, die in BigQuery für das Modelltraining und die Inferenz gespeichert sind.
  • Cloud Run-Funktionen für Aktionen basierend auf Modellvorhersagen oder Datenänderungen in Cloud Storage-Buckets.
• Kosten verwalten:Cloud Storage bietet ein „Pay as you go“-Preismodell. Sie zahlen also nur für den Speicherplatz, den Sie nutzen. Das ist kosteneffizient, insbesondere bei großen Datasets.
• Hohe Verfügbarkeit und Langlebigkeit aktivieren:Cloud Storage sorgt dafür, dass Ihre Daten hochverfügbar sind und vor Ausfällen geschützt werden. So wird ein zuverlässiger und robuster Zugriff auf Ihre ML-Assets gewährleistet.
• Unterstützung mehrerer Regionen aktivieren:Speichern Sie Ihre Daten in mehreren Cloud Storage-Regionen, die geografisch näher an Ihren Nutzern oder Anwendungen liegen. So verbessern Sie die Leistung und reduzieren die Latenz für den Datenzugriff und die Modellvorhersagen.

Anwendungsfälle für Cloud Run Functions

Hier sind einige Anwendungsfälle für Cloud Run Functions mit der Agent Platform:

• Daten vor- und nachverarbeiten:Cloud Run-Funktionen können Daten vorverarbeiten, bevor sie zum Trainieren oder für Vorhersagen an Ihr Agent Platform-Modell gesendet werden. Eine Funktion kann beispielsweise Daten bereinigen und normalisieren oder Merkmale daraus extrahieren. Ebenso können Cloud Run Functions die Ausgabe Ihres Agent Platform-Modells nachbearbeiten. Eine Funktion kann beispielsweise die Ausgabedaten formatieren oder zur weiteren Analyse an einen anderen Dienst senden.
• Agent Platform-Trainingsjobs automatisch auslösen:Um das Training von Agent Platform-Modellen zu automatisieren, können Sie Cloud Run-Funktionen mit Ereignissen aus verschiedenenGoogle Cloud -Diensten wie Cloud Storage, Pub/Sub und Cloud Scheduler auslösen. Sie können beispielsweise eine Funktion erstellen, die ausgelöst wird, wenn eine neue Datei in Cloud Storage hochgeladen wird. Mit dieser Funktion kann ein Agent Platform-Trainingsjob gestartet werden, um Ihr Modell mit den neuen Daten zu trainieren.
• Vorhersagen bereitstellen:Cloud Run-Funktionen können Vorhersagen aus Ihren Agent Platform-Modellen bereitstellen. So können Sie einen API-Endpunkt für Ihr Modell erstellen, ohne eine Infrastruktur verwalten zu müssen. Sie können beispielsweise eine Funktion schreiben, die ein Bild als Eingabe verwendet und eine Vorhersage aus Ihrem Agent Platform-Bildklassifizierungsmodell ausgibt. Anschließend können Sie diese Funktion als HTTP-API-Endpunkt bereitstellen.
• Ereignisgesteuerte ML-Workflows erstellen:Mit Cloud Run Functions können Sie ereignisgesteuerte ML-Workflows erstellen. Eine Funktion kann beispielsweise einen Agent Platform-Vorhersagejob auslösen, wenn einem Pub/Sub-Thema ein neuer Datensatz hinzugefügt wird. Mit dieser Funktion können Sie Daten in Echtzeit verarbeiten und auf Grundlage der Modellvorhersagen Maßnahmen ergreifen.
• Mit anderen Diensten integrieren:Sie können Cloud Run-Funktionen in andere Google Cloud -Dienste wie Cloud Storage, BigQuery und Cloud Firestore einbinden. Durch die Integration können Sie komplexe ML-Pipelines erstellen, die verschiedene Dienste miteinander verbinden.
• Kosten optimieren:Bei Cloud Run-Funktionen zahlen Sie nur für die Ressourcen, die Ihre Funktion während der Ausführung verwendet. Außerdem werden Cloud Run-Funktionen automatisch skaliert, um den Bedarf zu decken, sodass Sie auch bei Spitzenverkehr über ausreichend Ressourcen verfügen.

Anwendungsfälle für Pub/Sub

Hier einige Anwendungsfälle für Pub/Sub mit der Agent Platform:

• Asynchrone ereignisgesteuerte Architektur:Pub/Sub ermöglicht eine ereignisgesteuerte Kommunikation, sodass Sie Agent Platform-Pipelines basierend auf Ereignissen auslösen können, die in Pub/Sub-Themen veröffentlicht werden. Diese Ereignisse können neue Daten und Modellaktualisierungen umfassen.
• Skalierbarkeit und Zuverlässigkeit:Pub/Sub ist hochgradig skalierbar, sodass Sie zahlreiche Ereignisse verarbeiten können, ohne die Leistung zu beeinträchtigen. Skalierbarkeit ist entscheidend für die Verarbeitung großer Datasets oder die Ausführung mehrerer gleichzeitiger ML-Jobs. Pub/Sub bietet auch eine zuverlässige Nachrichtenzustellung und -reihenfolge innerhalb eines Themas, wodurch die Verarbeitung auch bei hoher Arbeitslast konsistent bleibt.
• Flexibilität:Sie können die Agent Platform mit anderen Diensten wie Cloud Run Functions oder Dataflow über Pub/Sub integrieren und so flexible und dynamische ML-Pipelines erstellen.
• Echtzeitüberwachung und ‑benachrichtigungen:Mit Pub/Sub können Sie bestimmte Themen abonnieren, um Echtzeitbenachrichtigungen zu Ereignissen in Ihren Agent Platform-Pipelines zu erhalten. Mit der Echtzeitüberwachung können Sie den Fortschritt des Modelltrainings, die Ergebnisse der Datenvorverarbeitung und die Vorhersageausgabe im Blick behalten. Sie können Benachrichtigungen basierend auf bestimmten Ereignissen konfigurieren, z. B. fehlgeschlagenen Jobs oder Anomalien, die während der Vorhersage erkannt wurden. Benachrichtigungen ermöglichen proaktive Maßnahmen und eine zeitnahe Fehlerbehebung.

Mit Pub/Sub können Sie beispielsweise Folgendes tun:

• Modelltraining auslösen, wenn neue Daten in einem Cloud Storage-Bucket eingehen.
• Echtzeitvorhersagen aus einem bereitgestellten Modell zur weiteren Verarbeitung an nachgelagerte Systeme senden
• Änderungen bei den Messwerten zur Modellleistung beobachten und darauf reagieren.
• Benachrichtigungen für kritische Ereignisse wie fehlgeschlagene Vorhersagen oder Probleme mit der Datenqualität auslösen

Anwendungsfälle für Resource Manager

Hier sind einige Anwendungsfälle für Resource Manager mit Agent Platform:

• Erstellen Sie separate Projekte für verschiedene Teams oder Abteilungen, um die Isolation von Ressourcen und Daten sowie eine detaillierte Zugriffskontrolle zu gewährleisten.
• Schützende Sicherheitsrichtlinien auf KI-Arbeitslasten anwenden
• Definieren Sie Kontingente für die GPU-Nutzung in Trainingsjobs, um Kostenüberschreitungen zu vermeiden.
• Erstellung der erforderlichen Cloud Storage-Buckets und Compute Engine-Instanzen für neue Projekte automatisieren
• Ressourcennutzungsmuster für bestimmte Projekte verfolgen und analysieren, um die Ressourcenzuweisung zu optimieren.
• Prüfberichte erstellen, um die Einhaltung von Data Governance- und Sicherheitsrichtlinien zu belegen.

Anwendungsfälle für Secret Manager

Hier sind einige Anwendungsfälle für Secret Manager mit der Agent Platform:

• API-Schlüssel für den Zugriff auf externe Datenquellen speichern, die für das Modelltraining verwendet werden.
• Verschlüsseln Sie Datenbankanmeldedaten in Vorhersagepipelines, um einen sicheren Zugriff zu ermöglichen.
• Stellen Sie temporäre Zugriffstokens für die sichere Kommunikation zwischen Diensten bereit.
• Sichern Sie private Schlüssel und Zertifikate, die Sie zum Verschlüsseln von Kommunikationskanälen verwenden.
• Passwörter und Anmeldedaten für Drittanbieterdienste verwalten, die Sie in Ihren ML-Workflows verwenden.

Anwendungsfälle für VPC

Hier sind einige Anwendungsfälle für VPC mit der Agent Platform:

• Definieren Sie detaillierte Firewallregeln und Zugriffssteuerungen in Ihrem VPC-Netzwerk, um den Traffic einzuschränken und nur autorisierte Verbindungen zu bestimmten Ressourcen zuzulassen.

• Organisieren Sie Ihre Agent Platform-Ressourcen in separaten VPC-Netzwerken basierend auf Funktion oder Sicherheitsanforderungen.

  Diese Art der Organisation trägt dazu bei, Ressourcen zu isolieren und unbefugten Zugriff zwischen verschiedenen Projekten oder Teams zu verhindern. Sie können dedizierte VPC-Netzwerke für vertrauliche Arbeitslasten erstellen, z. B. für das Trainieren von Modellen mit vertraulichen Daten. So sorgen Sie dafür, dass nur autorisierte Nutzer und Dienste Netzwerkzugriff haben.

Nächste Schritte

• Empfohlene IAM-Rollen

• Google Cloud Weitere Best Practices und Richtlinien für die Sicherheit