Controles de Cloud Build para casos de uso de IA generativa

En este documento, se incluyen las prácticas recomendadas y los lineamientos para Cloud Build cuando se ejecutan cargas de trabajo de IA generativa en Google Cloud. Usa Cloud Build con Vertex AI para compilar, probar e implementar una plataforma de CI/CD sin servidores en Google Cloud.

Considera los siguientes casos de uso de Cloud Build con Vertex AI:

  • Automatiza las compilaciones de canalizaciones de AA: Cloud Build te permite automatizar la compilación y las pruebas de tus canalizaciones de AA definidas en Vertex AI Pipelines. Esta automatización te ayuda a compilar e implementar tus modelos de forma más rápida y con mayor coherencia.
  • Compila imágenes de contenedores personalizadas para la implementación: Cloud Build puede compilar imágenes de contenedores personalizadas para tus entornos de entrega de modelos. Cloud Build te permite empaquetar el código del modelo, las dependencias y el entorno de ejecución en una sola imagen que puedes implementar en Vertex AI Inference para entregar predicciones.
  • Integración con flujos de trabajo de CI/CD: Cloud Build te permite automatizar la compilación y la implementación de tus modelos de AA en tus flujos de trabajo de CI/CD. Esta automatización garantiza que tus modelos estén actualizados y se implementen en producción.
  • Activa compilaciones según los cambios en el código: Cloud Build puede activar compilaciones automáticamente cuando se realizan cambios en el código del modelo o en la definición de la canalización. Esta automatización ayuda a garantizar que tus modelos se compilen con el código más reciente y que los cambios se implementen automáticamente en la producción.
  • Obtén infraestructura escalable y segura: Cloud Build usa infraestructura escalable y segura para compilar e implementar tus modelos.Google CloudEsta escalabilidad significa que no tienes que preocuparte por administrar tu propia infraestructura y puedes enfocarte en desarrollar tus modelos.
  • Compatibilidad con varios lenguajes de programación: Cloud Build admite varios lenguajes de programación, incluidos Python, Java, Go y Node.js. Este soporte te permite crear tus modelos con el lenguaje que elijas.
  • Usa pasos de compilación prediseñados: Para simplificar el proceso de compilación, Cloud Build ofrece pasos de compilación prediseñados para tareas de AA comunes, como instalar dependencias, ejecutar pruebas y enviar imágenes a registros de contenedores.
  • Crea pasos de compilación personalizados: Puedes definir tus propios pasos de compilación personalizados en Cloud Build para ejecutar cualquier código arbitrario durante el proceso de compilación.
  • Compila artefactos para otros servicios de Vertex AI: Cloud Build puede compilar artefactos para otros servicios de Vertex AI, como Vertex AI Feature Store y Vertex AI Data Labeling. Esta flexibilidad te ayuda a crear un flujo de trabajo de AA completo en Google Cloud.
  • Implementa una solución rentable: Cloud Build ofrece un modelo de precios de pago por uso, por lo que solo pagas por los recursos que usas.

Controles obligatorios de Cloud Build

Se recomienda usar los siguientes controles cuando se usa Cloud Build.

Cómo definir grupos privados permitidos

ID de control de Google CBD-CO-6.1
Categoría Obligatorio
Descripción

La restricción de lista cloudbuild.allowedWorkerPools te permite definir los grupos privados permitidos que puedes usar en tu organización, carpeta o proyecto.

Usa uno de los siguientes formatos para definir una lista de Worker Pools permitidos o denegados:

  • under:organizations/ORGANIZATION_ID
  • under:folders/FOLDER_ID
  • under:projects/PROJECT_ID
  • projects/PROJECT_ID/locations/REGION/workerPools/WORKER_POOL_ID
Productos aplicables
  • Servicio de políticas de la organización
  • Cloud Build
Ruta constraints/cloudbuild.allowedWorkerPools
Operador =
Tipo String
Controles relacionados de NIST-800-53
  • AC-3
  • AC-5
  • AC-6
  • AC-12
  • AC-17
  • AC-20
Controles relacionados del perfil de CRI
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
  • PR.PT-3.1
  • PR-PT-4.1
Información relacionada

Define qué servicios externos pueden invocar activadores de compilación

ID de control de Google CBD-CO-6.2
Categoría Obligatorio
Descripción

La restricción cloudbuild.allowedIntegrations define qué servicios externos (por ejemplo, GitHub) pueden invocar activadores de compilación. Por ejemplo, si tu activador de compilación escucha los cambios en un repositorio de GitHub y se rechaza GitHub en esta restricción, el activador no se ejecutará. Puedes especificar la cantidad que desees de valores permitidos o rechazados para tu organización o proyecto.
Productos aplicables
  • Servicio de políticas de la organización
  • Cloud Build
Ruta constraints/cloudbuild.allowedIntegrations
Operador =
Tipo Lista
Controles relacionados de NIST-800-53
  • AC-3
  • AC-12
  • AC-17
  • AC-20
Controles relacionados del perfil de CRI
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
  • PR.PT-3.1
  • PR-PT-4.1
Información relacionada

Define direcciones IP externas permitidas para instancias de VM

ID de control de Google CBD-CO-6.3
Categoría Obligatorio
Descripción

La restricción de lista compute.vmExternalIpAccess te permite restringir el acceso externo a las máquinas virtuales si no les asignas direcciones IP externas. Configura esta restricción de lista para rechazar todas las direcciones IP externas a las máquinas virtuales.
Productos aplicables
  • Servicio de políticas de la organización
  • Cloud Build
Ruta compute.vmExternalIpAccess
Operador =
Valor
  • Deny All
Tipo Lista
Controles relacionados de NIST-800-53
  • AC-3
  • AC-12
  • AC-17
  • AC-20
Controles relacionados del perfil de CRI
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
  • PR.PT-3.1
  • PR-PT-4.1
Información relacionada

¿Qué sigue?