שיטות מומלצות לאבטחת AI גנרטיבי

במסמך הזה מתוארת ארכיטקטורה טיפוסית של AI גנרטיבי ב-Google Cloud. בנוסף, מפורטים בו שיטות מומלצות לאבטחה שרלוונטיות לעומסי עבודה של AI גנרטיבי, ומתואר מתי כדאי להשתמש בשירותים ספציפיים שלGoogle Cloud .

ארכיטקטורה

בתרשים הבא מוצגים השירותים בארכיטקטורה טיפוסית של AI גנרטיבי שמשתמשת בפלטפורמת הסוכנים של Gemini Enterprise. Google Cloud

התרשים הזה כולל את הפריטים הבאים:

• ‫Agent Platform מאפשרת לכם ליצור ולהשתמש ב-AI גנרטיבי, כולל פתרונות AI, חיפוש ושיחה, בפלטפורמה אחת.

• ‫Artifact Registry מייעל את תהליך הפיתוח והפריסה של למידת מכונה (ML), משפר את שיתוף הפעולה ומבטיח את האבטחה והמהימנות של מודלים של למידת מכונה.

• ‫BigQuery מפשט את הגישה לנתונים, מאפשר ניתוח נתונים שניתן להרחבה ושימוש ביכולות ה-ML שלו בתהליכי העבודה שלכם בתחום ה-ML.

• יומני הביקורת של Cloud עוקבים אחרי הפעולות שהמשתמשים מבצעים בסביבה שלכם, וכך משפרים את היכולות שלכם לפתרון בעיות, לביקורת ולתגובה לאירועים.

• מרכזי הבקרה וההתראות של החיוב ב-Cloud מאפשרים לכם לבדוק את השימוש ואת החיוב של עומסי העבודה בפלטפורמת הסוכנים.

• ‫Cloud Build מאפשר לכם ליצור, לבדוק ולפרוס פלטפורמת CI/CD ללא שרתים ב- Google Cloud.

• ‫Cloud Identity מאחד את הזהויות, הגישה, האפליקציות והניהול של Google Cloud.

• פונקציות Cloud Run מבצעות אוטומציה של משימות, מציגות תחזיות, מפעילות משימות הדרכה, משתלבות עם שירותים אחרים ויוצרות צינורות עיבוד נתונים של למידת מכונה מבוססי-אירועים.

• ‫Cloud Storage מאחסן נתוני אימון, ארטיפקטים של מודלים ונתוני ייצור.

• Dataflow מאפשר לכם ליצור צינורות מורכבים שקולטים נתונים ממקורות שונים ומצברים את הנתונים לפי הצורך.

• ‫Cloud DNS רושם את הדומיין, מנהל אותו ומספק אותו.

• ניהול זהויות והרשאות גישה (IAM) מאפשר לקבוע מי יכול לבצע פעולות ספציפיות במשאבי עומס העבודה הגנרטיבי, כמו יצירה, עריכה או מחיקה שלהם.

• ‫הגנה מוגברת על המודל סורק ומסנן באופן יזום הנחיות ותשובות של LLM, חיבורים בין שרתים ללקוחות של MCP ותקשורת סוכנים. הגנה מוגברת על המודל עוזר לצמצם סיכונים כמו החדרה הנחיות, זליגת נתונים ותוכן פוגעני.

• שירות של מדיניות הארגון מאפשר לנהל ולאכוף מדיניות באופן מרכזי בסביבת Google Cloud. מדיניות הארגון עוזרת לוודא שההגדרות עקביות ושקיימת תאימות לאבטחה בפרויקטים ובמשאבים בארגון.

• ‫Pub/Sub מאפשר תקשורת יעילה ואוטומציה בתהליכי העבודה של למידת מכונה.

• ‫מנהל המשאבים עוזר לקבץ ולנהל רכיבים לוגיים של עומסי העבודה בפלטפורמת Agent Platform.

• Secret Manager עוזר להגן על מידע אישי רגיש ועל פרטי הכניסה שמשמשים בפרויקטים של Agent Platform.

• Sensitive Data Protection מאפשר לגלות באופן אוטומטי מידע אישי רגיש במערכי הנתונים. השירות יכול לסרוק הנחיות ולצנזר מידע אישי רגיש לפני שהנתונים מגיעים למודל. בנוסף, הוא יכול לסרוק את הפלט של המודל כדי למנוע דליפה של נתוני אימון רגישים בתשובות.

• ‫Security Command Center עוזר לכם להגן על הארגון שלכם בענן, על עומסי העבודה של ה-AI ועל נתוני ה-AI שאתם מאחסנים ב- Google Cloud. ב-Security Command Center יש את האפשרויות הבאות:

  • ניהול אבטחה ריכוזי
  • זיהוי איומים ותגובה לאירועים
  • הערכות אבטחה אוטומטיות
  • דיווח על עמידה בדרישות ודיווח רגולטורי
  • המלצות ושיטות מומלצות בנושא אבטחה

• ענן וירטואלי פרטי (VPC) מבודד את משאבי ה-AI שלכם מהאינטרנט בסביבה מאובטחת. הגדרת הרשת הזו עוזרת להגן על מידע אישי רגיש ועל מודלים מפני גישה לא מורשית ומתקפות סייבר פוטנציאליות.

• ‫Cloud VPN או Cloud Interconnect מאפשרים ליצור חיבור רשת מאובטח בין התשתית המקומית לבין סביבת Agent Platform. ‫Cloud VPN או Cloud Interconnect עוזרים להעביר נתונים ולתקשר בצורה חלקה בין הרשת הפרטית שלכם לבין משאבים ב- Google Cloud. כדאי לשקול את השילוב הזה בתרחישים כמו גישה לנתונים מקומיים לצורך אימון מודלים או פריסת מודלים למשאבים מקומיים לצורך הסקת מסקנות.

שיטות מומלצות לעומסי עבודה של AI גנרטיבי

בקטע הזה יש קישורים לשיטות המומלצות לעומסי עבודה של AI גנרטיבי שמשתמשים ב-Agent Platform.

• קבוצות משתמשים ותפקידי IAM מומלצים

• שיטות מומלצות לאבטחת הבסיס של הארגון

  • שיטות מומלצות לאימות ולהרשאה

    • השבתה של הענקת IAM לחשבונות שירות שמוגדרים כברירת מחדל באופן אוטומטי
    • חסימת היצירה של מפתחות חיצוניים לחשבון שירות
    • חסימת העלאות של מפתחות לחשבונות שירות
    • הגדרת הפרדת תפקידים לאדמינים של מדיניות הארגון
    • הפעלת אימות דו-שלבי בחשבונות סופר-אדמין
    • אכיפת אימות דו-שלבי ביחידה הארגונית של הסופר-אדמין
    • יצירת כתובת אימייל בלעדית לסופר-אדמין הראשי
    • יצירת חשבונות אדמין מיותרים
    • הטמעה של תגים כדי להקצות ביעילות מדיניות IAM ומדיניות ארגונית
    • ביקורת על שינויים ב-IAM שקשורים לסיכון גבוה
    • חסימת הגישה ל-Cloud Shell לחשבונות משתמשים מנוהלים ב-Cloud Identity
    • הגדרת בקרת גישה מבוססת-הקשר עבור מסופי Google
    • חסימת אפשרות השחזור העצמי של חשבונות סופר-אדמין
    • השבתה של שירותי Google שלא בשימוש

  • שיטות מומלצות לארגון

    • הגבלת גרסאות TLS שנתמכות על ידי ממשקי Google API
    • הגבלת גורמים מורשים
    • הגבלת השימוש בשירות משאבים
    • הגבלת מיקומי משאבים

  • שיטות מומלצות לשימוש ברשת

    • חסימת ברירת המחדל ליצירת רשתות
    • הפעלת תוספי אבטחה של DNS
    • הפעלת הגבלת היקף השירות במדיניות של הרשאות גישה ב-Access Context Manager
    • הגבלת ממשקי API בתוך היקפי שירות של VPC Service Controls
    • שימוש ב-DNS אזורי

  • שיטות מומלצות לרישום ביומן, למעקב ולהתראות

    • שיתוף יומני ביקורת מ-Cloud Identity
    • שימוש ביומני ביקורת
    • הפעלת יומני זרימה של VPC
    • הפעלת ניהול כללי חומת אש
    • הפעלת יומני ביקורת של גישה לנתונים
    • הפעלת ביקורת על פעילות של אדמינים
    • הגדרת התראות על חיוב
    • הפעלת יומני Access Transparency
    • ייצוא של נתוני חיוב לניתוח מפורט

  • שיטות מומלצות לניהול מפתחות וסודות

    • הצפנה של נתונים במנוחה ב- Google Cloud
    • שימוש באלגוריתמים שאושרו על ידי NIST להצפנה ולפענוח
    • הגדרת הייעוד של מפתחות Cloud Key Management Service
    • מוודאים שהגדרות ה-CMEK מתאימות למחסני נתונים מאובטחים ב-BigQuery
    • רוטציה של מפתח הצפנה כל 90 יום
    • הגדרה של רוטציה אוטומטית של סודות
    • שימוש ב-CMEK להודעות Pub/Sub
    • הגבלת המיקום של מפתחות הצפנה בניהול הלקוח
    • שימוש ב-CMEK עבור Google Cloud שירותים
    • שכפול סודות באופן אוטומטי

  • שיטות מומלצות לניתוח נתוני אבטחה ולשיפור רמת האבטחה

    • הפעלת Security Command Center ברמת הארגון
    • הגדרת התראות מ-Security Command Center

• שיטות מומלצות לתשתית

  • הגדרה של מכונות וירטואליות שיכולות להפעיל העברת IP
  • השבתת וירטואליזציה מוטמעת במכונה וירטואלית
  • הגבלת כתובות IP חיצוניות במכונות וירטואליות
  • הגדרה של כתובות IP חיצוניות מותרות למכונות וירטואליות
  • נדרש מחבר VPC לפונקציות Cloud Run
  • הגדרה של מדיניות אחסון הודעות
  • השבתה של כתובות IP חיצוניות למשימות Dataflow
  • שימוש בתגי רשת לכללי חומת אש

• שיטות מומלצות לניהול נתונים

  • הפעלת Sensitive Data Protection לבדיקת נתונים

  • שיטות מומלצות לשימוש במחסן נתונים

    • מוודאים שמערכי הנתונים ב-BigQuery לא ניתנים לקריאה על ידי הציבור או מוגדרים ל-allAuthenticatedUsers
    • מוודאים שטבלאות BigQuery לא ניתנות לקריאה באופן ציבורי או מוגדרות לכל המשתמשים המאומתים
    • הצפנה של ערכים ספציפיים בטבלה ב-BigQuery
    • שימוש בתצוגות מורשות למערכי נתונים ב-BigQuery
    • שימוש באבטחה ברמת העמודה ב-BigQuery
    • שימוש באבטחה ברמת השורה ב-BigQuery
    • שימוש בתרשימי משאבים של BigQuery

  • שיטות מומלצות לאחסון

    • חסימת גישה ציבורית לקטגוריות של Cloud Storage
    • שימוש בגישה אחידה ברמת הקטגוריה
    • הגנה על מפתחות HMAC לחשבונות שירות
    • זיהוי של ספירת קטגוריות של Cloud Storage על ידי חשבונות שירות
    • זיהוי שינויים במדיניות IAM של מאגרי Cloud Storage על ידי חשבונות שירות
    • איך מוודאים שמדיניות שמירת הנתונים של קטגוריה ב-Cloud Storage משתמשת בנעילת קטגוריה
    • הגדרת כללי מחזור חיים לפעולה SetStorageClass
    • הגדרת אזורים מותרים לסוגי אחסון
    • הפעלת ניהול מחזור החיים בקטגוריות של Cloud Storage
    • הפעלת כללים לניהול מחזור החיים בקטגוריות של Cloud Storage
    • בדיקה והערכה של השהיות זמניות על אובייקטים פעילים
    • אכיפה של כללי מדיניות שמירת נתונים בקטגוריות של Cloud Storage
    • אכיפה של תגי סיווג לקטגוריות של Cloud Storage
    • אכיפה של קטגוריות של יומנים לקטגוריות של Cloud Storage
    • הגדרה של כללי מחיקה לקטגוריות של Cloud Storage
    • מוודאים שהתנאי isLive הוא False בכללים למחיקה
    • אכיפת ניהול גרסאות לקטגוריות של Cloud Storage
    • אכיפת בעלות על קטגוריות של Cloud Storage
    • הפעלת רישום ביומן של פעילויות מרכזיות ב-Cloud Storage

• כלים ושיטות מומלצות להסקת מסקנות

  • הגדרת מצב הגישה למחברות ולמופעים של Agent Platform Workbench
  • השבתת הורדות של קבצים במופעים של Agent Platform Workbench
  • השבתת גישת root במחברות ובמופעים שמנוהלים על ידי המשתמש ב-Agent Platform Workbench
  • השבתת הטרמינל במופעים של Agent Platform Workbench
  • הגבלת אפשרויות הסביבה ב-Notebooks ובמופעים של Agent Platform Workbench
  • אכיפה של שדרוגים אוטומטיים מתוזמנים במחברות ובמופעים שמנוהלים על ידי המשתמשים ב-Agent Platform Workbench
  • הגבלת הגישה הציבורית למסמכי notebook ולמופעים חדשים של Agent Platform Workbench
  • הגבלת רשתות VPC במופעים של Agent Platform Workbench

• שיטות מומלצות לשימוש בסוכנים ובאפליקציות

  • הגדרת סריקת נקודות חולשה בארטיפקטים
  • הגדרה של מאגרי כתובות פרטיים מותרים
  • הגדרת השירותים החיצוניים שיכולים להפעיל טריגרים של בנייה
  • יצירת כללי מדיניות לניקוי ארטיפקטים
  • הפעלת הגנה מוגברת על המודל

תרחישי שימוש ב-Artifact Registry

ריכזנו כאן כמה תרחישי שימוש ב-Artifact Registry עם Agent Platform:

• ניהול ארטיפקטים של ML: ב-Artifact Registry אפשר לאחסן ולנהל את כל הארטיפקטים של ML במקום אחד, כולל קוד לאימון מודלים, מערכי נתונים, מודלים מאומנים וקונטיינרים להצגת תחזיות. אתם יכולים להשתמש במאגר המרכזי הזה כדי לעקוב אחרי פריטי מידע שנוצרו בתהליך פיתוח (Artifacts) של ML, לשתף אותם ולעשות בהם שימוש חוזר בצוותים ובפרויקטים שונים.
• בקרת גרסאות ושחזור: Artifact Registry מספק בקרת גרסאות של ארטיפקטים של ML, ועוזר לעקוב אחרי שינויים ולחזור לגרסאות קודמות, אם צריך. התכונה הזו חשובה מאוד כדי להבטיח את השחזור של ניסויי ה-ML והפריסות שלכם.
• אחסון מאובטח ומהימן: Artifact Registry מציע אחסון מאובטח ומהימן של ארטיפקטים של ML. הארטיפקטים האלה מוצפנים במצב מנוחה ובזמן העברה. אפשר להגדיר בקרת גישה כדי להגביל את הגישה לארטיפקטים, וכך להגן על הנתונים החשובים ועל הקניין הרוחני.
• שילוב עם פייפליינים של Gemini Enterprise Agent Platform: אפשר לשלב את Artifact Registry עם פייפליינים של Agent Platform כדי ליצור אוטומציה של תהליכי עבודה של למידת מכונה. אפשר להשתמש ב-Artifact Registry כדי לאחסן את הארטיפקטים של הפייפליין (לדוגמה, הגדרות הפייפליין, קוד ונתונים) וכדי להפעיל אוטומטית את הפייפליין כשמעלים ארטיפקטים חדשים.
• ייעול של CI/CD ל-ML: שילוב של Artifact Registry עם כלי CI/CD כדי לייעל את הפיתוח והפריסה של מודלים של ML. לדוגמה, אפשר להשתמש ב-Artifact Registry כדי ליצור ולפרוס באופן אוטומטי את קונטיינר ההגשה של המודל בכל פעם שמעבירים גרסה חדשה של המודל אל Artifact Registry.
• תמיכה במספר אזורים: ב-Artifact Registry אפשר לאחסן את הארטיפקטים בכמה אזורים, וכך לשפר את הביצועים והזמינות של מודלים למידת מכונה, במיוחד אם יש לכם משתמשים שממוקמים בחלקים שונים בעולם.

תרחישי שימוש ב-BigQuery

כדאי להביא בחשבון את תרחישי השימוש הבאים ב-BigQuery עם Agent Platform:

• שילוב חלק: BigQuery ו-Agent Platform משולבים בצורה הדוקה, כך שאפשר לגשת לנתונים ולנתח אותם ישירות בפלטפורמת Agent Platform. השילוב הזה מבטל את הצורך בהעברת נתונים, מייעל את תהליך העבודה של למידת המכונה ומפחית את החיכוך.
• ניתוח נתונים עם יכולת התאמה: BigQuery מציע מחסן נתונים עם מספיק מקום לפטה-בייט של מידע, כך שתוכלו לנתח מערכי נתונים עצומים בלי לדאוג למגבלות התשתית. הגמישות הזו חשובה מאוד לאימון ולפריסה של מודלים של למידת מכונה (ML) שדורשים הרבה נתונים.
• למידת מכונה מבוססת-SQL: BigQuery ML מאפשרת להשתמש בפקודות SQL מוכרות כדי לאמן ולפרוס מודלים ישירות ב-BigQuery. התכונה הזו מאפשרת למנתחי נתונים ולמומחי SQL להשתמש ביכולות למידת מכונה בלי צורך בכישורי קידוד מתקדמים.
• תחזיות אונליין ותחזיות באצווה:‏ BigQuery ML תומך בתחזיות אונליין ובתחזיות באצווה. אפשר להריץ תחזיות בזמן אמת על שורות בודדות או ליצור תחזיות למערכי נתונים גדולים במצב אצווה. הגמישות הזו מאפשרת תמיכה בתרחישים לדוגמה שונים עם דרישות שונות של זמן אחזור.
• צמצום תנועת הנתונים: בעזרת BigQuery ML, לא צריך להעביר את הנתונים לאחסון נפרד או למשאבי מחשוב נפרדים כדי לאמן ולפרוס מודלים. הצמצום הזה מפשט את תהליך העבודה, מקטין את זמן האחזור וממזער את העלויות שקשורות להעברת נתונים.
• מעקב אחרי מודלים: Agent Platform מספקת יכולות מקיפות של מעקב אחרי מודלים, שמאפשרות לעקוב אחרי הביצועים, ההוגנות ויכולת ההסברה של מודלים של BigQuery ML. מעקב אחרי מודלים עוזר לוודא שהמודלים פועלים כמצופה ולטפל בבעיות פוטנציאליות.
• מודלים שאומנו מראש: Agent Platform מציעה גישה למודלים שאומנו מראש, כולל מודלים לעיבוד שפה טבעית ולראייה ממוחשבת. אתם יכולים להשתמש במודלים האלה ב-BigQuery כדי לשפר את הניתוח ולחלץ תובנות מעמיקות יותר מהנתונים.
• פתרון משתלם:‏ BigQuery ML מציע דרך משתלמת וגמישה לאימון ולפריסה של מודלים של ML. אתם משלמים רק על המשאבים שבהם אתם משתמשים, ולכן זו אפשרות משתלמת לארגונים בכל הגדלים.
• יכולות ניתוח מתקדמות: BigQuery מספק כלים לניתוח מתקדם, כולל ניתוח גיאו-מרחבי ותחזיות. הכלים האלה מאפשרים לכם לשלב למידת מכונה עם טכניקות ניתוח אחרות כדי לחקור את הנתונים לעומק ולקבל תובנות עשירות יותר.
• שיתוף פעולה משופר: באמצעות BigQuery עם Agent Platform, מדעני נתונים, מהנדסי למידת מכונה ומנתחים יכולים לשתף פעולה בצורה חלקה בפרויקטים של למידת מכונה. שיתוף הפעולה הזה עוזר ליצור גישה משולבת ויעילה יותר לפתרון בעיות מורכבות שקשורות לנתונים.

תרחישים לדוגמה ל-Cloud Build

ריכזנו כאן כמה תרחישים לדוגמה לשימוש ב-Cloud Build עם Agent Platform:

• אוטומציה של יצירת צינורות עיבוד נתונים של למידת מכונה: באמצעות Cloud Build אפשר לבצע אוטומציה של יצירה ובדיקה של צינורות עיבוד נתונים של למידת מכונה שמוגדרים ב-Agent Platform Pipelines. האוטומציה הזו עוזרת ליצור ולפרוס את המודלים מהר יותר ועם עקביות גבוהה יותר.
• יצירת קובצי אימג' של קונטיינרים בהתאמה אישית לפריסה: Cloud Build יכול ליצור קובצי אימג' של קונטיינרים בהתאמה אישית לסביבות שלכם להצגת מודלים. ‫Cloud Build מאפשר לארוז את קוד המודל, התלות וסביבת זמן הריצה בקובץ אימג' יחיד שאפשר לפרוס ב-Gemini Enterprise Agent Platform Inference כדי להציג תחזיות.
• שילוב עם תהליכי עבודה של CI/CD: Cloud Build מאפשר לבצע אוטומציה של בנייה ופריסה של מודלים של למידת מכונה בתהליכי העבודה של CI/CD. האוטומציה הזו מבטיחה שהמודלים שלכם יהיו עדכניים ויוטמעו בסביבת הייצור.
• הפעלת גרסאות build על סמך שינויים בקוד: מערכת Cloud Build יכולה להפעיל גרסאות build באופן אוטומטי כשמתבצעים שינויים בקוד של המודל או בהגדרת צינור עיבוד הנתונים. האוטומציה הזו עוזרת לוודא שהמודלים שלכם מבוססים על הקוד העדכני ביותר, ושהשינויים שאתם מבצעים נפרסים אוטומטית בסביבת הייצור.
• תשתית ניתנת להרחבה ומאובטחת: Cloud Build משתמש בתשתיתGoogle Cloud ניתנת להרחבה ומאובטחת כדי לבנות ולפרוס את המודלים שלכם. יכולת ההרחבה הזו מאפשרת לכם להתמקד בפיתוח המודלים בלי לדאוג לניהול התשתית שלכם.
• תמיכה בשפות תכנות שונות: Cloud Build תומך בשפות תכנות שונות, כולל Python,‏ Java,‏ Go ו-Node.js. התמיכה הזו מאפשרת לכם לבנות את המודלים שלכם בשפה שתבחרו.
• שימוש בשלבי build מוכנים מראש: כדי לפשט את תהליך ה-build,‏ Cloud Build מציע שלבי build מוכנים מראש למשימות נפוצות של למידת מכונה, כמו התקנת תלות, הפעלת בדיקות והעברת תמונות למאגרי תמונות של קונטיינרים.
• יצירת שלבי build בהתאמה אישית: אתם יכולים להגדיר שלבי build בהתאמה אישית ב-Cloud Build כדי להריץ קוד שרירותי במהלך תהליך ה-build.
• יצירת ארטיפקטים לשירותים אחרים של Agent Platform:‏ Cloud Build יכול ליצור ארטיפקטים לשירותים אחרים של Agent Platform, כמו Feature Store ב-Agent Platform ו-Agent Platform Data Labeling. הגמישות הזו עוזרת לכם ליצור תהליך עבודה מלא של ML ב-Google Cloud.
• פתרון חסכוני: Cloud Build מציע מודל תמחור של תשלום לפי שימוש, כך שמשלמים רק על המשאבים שבהם משתמשים.

תרחישים לדוגמה ל-Cloud Storage

כדאי להביא בחשבון את התרחישים הבאים לדוגמה לשימוש ב-Cloud Storage עם Agent Platform:

• אחסון נתוני אימון: Agent Platform מאפשר לכם לאחסן את מערכי נתוני האימון בקטגוריות של Cloud Storage. לשימוש ב-Cloud Storage יש כמה יתרונות:
  • ‫Cloud Storage יכול לטפל במערכי נתונים בכל גודל, כך שתוכלו לאמן מודלים על כמויות גדולות של נתונים ללא הגבלות אחסון.
  • אתם יכולים להגדיר אמצעי בקרה מפורטים לגישה ולהצפנה בקטגוריות של Cloud Storage כדי לוודא שהנתונים הרגישים לאימון מוגנים.
  • ‫Cloud Storage מאפשר לכם לעקוב אחרי שינויים ולחזור לגרסאות קודמות של הנתונים, וכך מספק לכם נתיבי ביקורת חשובים ומאפשר לכם לשחזר ניסויים של אימון.
  • Agent Platform משתלבת בצורה חלקה עם Cloud Storage, ומאפשרת לכם לגשת לנתוני האימון שלכם בתוך הפלטפורמה.
• אחסון של ארטיפקטים של מודלים: אתם יכולים לאחסן ארטיפקטים של מודלים מאומנים, כמו קובצי מודלים, הגדרות של היפר-פרמטרים ויומני אימון, בקטגוריות של Cloud Storage. השימוש ב-Cloud Storage מאפשר לכם לבצע את הפעולות הבאות:
  • כדאי לשמור את כל הארטיפקטים של המודל ב-Cloud Storage כמאגר מרכזי, כדי שתוכלו לגשת אליהם ולנהל אותם בקלות.
  • מעקב אחרי גרסאות שונות של המודלים וניהול שלהן, כדי לאפשר השוואות וחזרה לגרסה קודמת אם צריך.
  • כדי לשתף מודלים בצורה יעילה, אפשר להעניק לחברי הצוות ולמשתפי הפעולה גישה לקטגוריות ספציפיות ב-Cloud Storage.
• אחסון נתוני ייצור: במודלים שמשמשים לייצור, אפשר לאחסן ב-Cloud Storage את הנתונים שמוזנים למודל לצורך חיזוי. לדוגמה, אפשר להשתמש ב-Cloud Storage כדי לבצע את הפעולות הבאות:
  • אחסון נתוני משתמשים ואינטראקציות לצורך המלצות מותאמות אישית בזמן אמת.
  • שמירת תמונות לעיבוד ולסיווג לפי דרישה באמצעות המודלים שלכם.
  • שמירה על נתוני עסקאות לצורך זיהוי הונאות בזמן אמת באמצעות המודלים שלכם.
• שילוב עם שירותים אחרים: Cloud Storage משתלב בצורה חלקה עם שירותים אחרים של Google Cloud שמשמשים בתהליכי עבודה של Agent Platform, כמו השירותים הבאים:
  • ‫Dataflow לצינורות עיבוד נתונים וטרנספורמציה יעילים.
  • ‫BigQuery לגישה למערכי נתונים גדולים שמאוחסנים ב-BigQuery לאימון מודלים ולהסקת מסקנות.
  • פונקציות של Cloud Run לפעולות שמבוססות על תחזיות של מודלים או על שינויים בנתונים בקטגוריות של Cloud Storage.
• ניהול עלויות: ב-Cloud Storage יש מודל תמחור של תשלום לפי שימוש, כלומר משלמים רק על האחסון שבו משתמשים. כך אפשר לחסוך בעלויות, במיוחד כשמדובר במערכי נתונים גדולים.
• הפעלת זמינות גבוהה ועמידות: Cloud Storage מבטיח שהנתונים שלכם יהיו עם זמינות גבוהה ומוגנים מפני כשלים או הפסקות בשירות, וכך מבטיח אמינות וגישה חזקה לנכסי ה-ML שלכם.
• הפעלת תמיכה במספר אזורים: אחסון הנתונים בכמה אזורים של Cloud Storage שנמצאים בקרבה גיאוגרפית למשתמשים או לאפליקציות שלכם, כדי לשפר את הביצועים ולקצר את זמן האחזור של גישה לנתונים ולתחזיות של מודלים.

תרחישים לדוגמה לשימוש בפונקציות Cloud Run

ריכזנו כאן כמה תרחישים לדוגמה לשימוש בפונקציות Cloud Run עם Agent Platform:

• עיבוד מקדים ועיבוד פוסט: פונקציות של Cloud Run יכולות לבצע עיבוד מקדים של נתונים לפני שליחתם למודל Agent Platform לאימון או לחיזוי. לדוגמה, פונקציה יכולה לנקות ולנרמל נתונים, או לחלץ מהם תכונות. באופן דומה, פונקציות Cloud Run יכולות לבצע עיבוד פוסט-עיבוד של הפלט של מודל Agent Platform. לדוגמה, פונקציה יכולה לעצב את נתוני הפלט או לשלוח אותם לשירות אחר לצורך ניתוח נוסף.
• הפעלת משימות אימון של Agent Platform באופן אוטומטי: כדי להפוך את האימון של מודלים של Agent Platform לאוטומטי, אפשר להפעיל פונקציות של Cloud Run באמצעות אירועים משירותים שונים שלGoogle Cloud , כמו Cloud Storage,‏ Pub/Sub ו-Cloud Scheduler. לדוגמה, אפשר ליצור פונקציה שמופעלת כשמעלים קובץ חדש ל-Cloud Storage. הפונקציה הזו יכולה להפעיל משימת אימון של Agent Platform כדי לאמן את המודל על הנתונים החדשים.
• הצגת תחזיות: פונקציות Cloud Run יכולות להציג תחזיות ממודלים של Agent Platform, וכך מאפשרות לכם ליצור נקודת קצה של API למודל בלי שתצטרכו לנהל תשתית כלשהי. לדוגמה, אתם יכולים לכתוב פונקציה שמקבלת תמונה כקלט ומציגה תחזית ממודל סיווג התמונות של Agent Platform. לאחר מכן תוכלו לפרוס את הפונקציה הזו כנקודת קצה של HTTP API.
• פיתוח תהליכי עבודה של למידת מכונה מבוססי-אירועים: אפשר להשתמש בפונקציות של Cloud Run כדי לפתח תהליכי עבודה של למידת מכונה מבוססי-אירועים. לדוגמה, פונקציה יכולה להפעיל משימת חיזוי של Agent Platform כשמוסיפים רשומה חדשה לנושא ב-Pub/Sub. הפונקציה הזו מאפשרת לכם לעבד נתונים בזמן אמת ולבצע פעולות על סמך התחזיות של המודל.
• שילוב עם שירותים אחרים: אפשר לשלב פונקציות של Cloud Run עם שירותים אחרים של Google Cloud , כמו Cloud Storage,‏ BigQuery ו-Cloud Firestore. השילוב מאפשר לכם ליצור צינורות מורכבים של ML שמקשרים בין שירותים שונים.
• ייעול העלויות: פונקציות Cloud Run מאפשרות לשלם רק על המשאבים שהפונקציה משתמשת בהם בזמן שהיא פועלת. בנוסף, פונקציות Cloud Run עוברות התאמה אוטומטית לעומס כדי לעמוד בביקוש, כך שתוכלו לשמור על משאבים מתאימים במהלך שיאי התנועה.

תרחישים לדוגמה של Pub/Sub

כדאי להביא בחשבון את התרחישים הבאים לדוגמה לשימוש ב-Pub/Sub עם Agent Platform:

• ארכיטקטורה אסינכרונית מבוססת-אירועים:‏ Pub/Sub מאפשר תקשורת מבוססת-אירועים, כך שאפשר להפעיל צינורות של Agent Platform על סמך אירועים שמתפרסמים בנושאי Pub/Sub. האירועים האלה יכולים לכלול נתונים חדשים ועדכוני מודלים.
• מדרגיות ואמינות: Pub/Sub הוא שירות מדרגי מאוד, שמאפשר לכם לטפל במספר רב של אירועים בלי לפגוע בביצועים. מדרגיות היא קריטית לעיבוד של מערכי נתונים גדולים או להרצה של כמה משימות ML בו-זמנית. בנוסף, Pub/Sub מספק מסירה אמינה של הודעות וסדר בתוך נושא, וכך מבטיח עקביות בעיבוד גם בעומסי עבודה כבדים.
• גמישות: אפשר לשלב את Agent Platform עם שירותים אחרים כמו פונקציות של Cloud Run או Dataflow באמצעות Pub/Sub, וליצור צינורות ML גמישים ודינמיים.
• מעקב והתראות בזמן אמת: ב-Pub/Sub אפשר להירשם לנושאים ספציפיים כדי לקבל התראות בזמן אמת על אירועים בצינורות של Agent Platform. מעקב בזמן אמת עוזר לעקוב אחרי ההתקדמות של אימון המודל, תוצאות העיבוד המקדים של הנתונים ופלט החיזוי. אפשר להגדיר התראות על סמך אירועים ספציפיים, כמו משימות שנכשלו או אנומליות שזוהו במהלך החיזוי. התראות מאפשרות התערבות יזומה ופתרון בעיות בזמן.

לדוגמה, אפשר להשתמש ב-Pub/Sub כדי:

• הפעלת אימון מודל כשנתונים חדשים מגיעים לקטגוריה של Cloud Storage.
• שליחת חיזויים בזמן אמת ממודל שנפרס למערכות במורד הזרם לעיבוד נוסף.
• מעקב אחרי מדדי הביצועים של המודל ושינוי ההגדרות בהתאם.
• הפעלת התראות על אירועים קריטיים כמו תחזיות שנכשלו או בעיות באיכות הנתונים.

תרחישי שימוש ב-Resource Manager

ריכזנו כאן כמה תרחישי שימוש ב-מנהל המשאבים עם Agent Platform:

• כדי להבטיח בידוד של משאבים ונתונים וגם אמצעי בקרה מפורטים על הגישה, מומלץ ליצור פרויקטים נפרדים לצוותים או למחלקות שונים.
• החלת מדיניות אבטחה מגנה על עומסי עבודה של AI.
• כדי למנוע חריגה מהתקציב, כדאי להגדיר מכסות לשימוש ב-GPU במשימות אימון.
• אוטומציה של יצירת קטגוריות נדרשות ב-Cloud Storage ומופעים ב-Compute Engine לפרויקטים חדשים.
• עוקבים אחרי דפוסי השימוש במשאבים בפרויקטים ספציפיים ומנתחים אותם כדי לבצע אופטימיזציה של הקצאת המשאבים.
• ליצור דוחות ביקורת כדי להוכיח עמידה במדיניות משילות מידע (data governance) ובמדיניות האבטחה.

תרחישי שימוש ב-Secret Manager

כדאי להביא בחשבון את תרחישי השימוש הבאים ב-Secret Manager עם Agent Platform:

• אחסון מפתחות API לגישה למקורות נתונים חיצוניים שמשמשים לאימון המודל.
• הצפנה של פרטי הכניסה למסד הנתונים בצינורות של תחזיות כדי לאפשר גישה מאובטחת.
• הקצאת אסימוני גישה זמניים לתקשורת מאובטחת בין שירותים.
• מאבטחים מפתחות פרטיים ואישורים שמשמשים להצפנת ערוצי תקשורת.
• ניהול סיסמאות ופרטי כניסה לשירותים של צד שלישי שבהם אתם משתמשים בתהליכי העבודה שלכם ב-ML.

תרחישים לדוגמה ל-VPC

כדאי להביא בחשבון את התרחישים הבאים לשימוש ב-VPC עם Agent Platform:

• הגדירו כללי חומת אש וגישה מפורטים ברשת ה-VPC כדי להגביל את התעבורה ולאפשר רק חיבורים מורשים למשאבים ספציפיים.

• כדאי לארגן את המשאבים של Agent Platform ברשתות VPC נפרדות לפי פונקציה או דרישות אבטחה.

  סוג הארגון הזה עוזר לבודד משאבים ומונע גישה לא מורשית בין פרויקטים או צוותים שונים. אתם יכולים ליצור רשתות VPC ייעודיות לעומסי עבודה רגישים, כמו אימון מודלים עם נתונים סודיים, כדי להבטיח שרק למשתמשים ולשירותים מורשים תהיה גישה לרשת.

המאמרים הבאים

• מעיינים בתפקידי IAM מומלצים.

• Google Cloud עוד שיטות מומלצות והנחיות בנושא אבטחה