Contrôles Cloud Build pour les cas d'utilisation de l'IA générative

Ce document inclut les bonnes pratiques et les consignes pour Cloud Build lors de l'exécution de charges de travail d'IA générative sur Google Cloud. Utilisez Cloud Build avec Vertex AI pour créer, tester et déployer une plate-forme CI/CD sans serveur sur Google Cloud.

Voici quelques cas d'utilisation de Cloud Build avec Vertex AI :

  • Automatiser la création de pipelines de ML : Cloud Build vous permet d'automatiser la création et le test de vos pipelines de ML définis dans Vertex AI Pipelines. Cette automatisation vous aide à créer et à déployer vos modèles plus rapidement et de manière plus cohérente.
  • Créer des images de conteneurs personnalisées pour le déploiement : Cloud Build peut créer des images de conteneurs personnalisées pour vos environnements de diffusion de modèles. Cloud Build vous permet d'empaqueter le code de votre modèle, les dépendances et l'environnement d'exécution dans une seule image que vous pouvez déployer sur Vertex AI Inference pour diffuser des prédictions.
  • Intégration aux workflows CI/CD : Cloud Build vous permet d'automatiser la compilation et le déploiement de vos modèles de ML dans vos workflows CI/CD. Cette automatisation garantit que vos modèles sont à jour et déployés en production.
  • Déclencher des compilations en fonction des modifications apportées au code : Cloud Build peut déclencher automatiquement des compilations lorsque des modifications sont apportées au code de votre modèle ou à la définition de votre pipeline. Cette automatisation permet de s'assurer que vos modèles sont créés avec le code le plus récent et que toutes les modifications sont automatiquement déployées en production.
  • Obtenez une infrastructure évolutive et sécurisée : Cloud Build utilise une infrastructure évolutive et sécurisée pour créer et déployer vos modèles.Google CloudCette évolutivité signifie que vous n'avez pas à vous soucier de la gestion de votre propre infrastructure et que vous pouvez vous concentrer sur le développement de vos modèles.
  • Compatibilité avec différents langages de programmation : Cloud Build est compatible avec différents langages de programmation, y compris Python, Java, Go et Node.js. Cette compatibilité vous permet de créer vos modèles dans la langue de votre choix.
  • Utiliser des étapes de compilation prédéfinies : pour simplifier le processus de compilation, Cloud Build propose des étapes de compilation prédéfinies pour les tâches de ML courantes, comme l'installation de dépendances, l'exécution de tests et l'envoi d'images aux registres de conteneurs.
  • Créer des étapes de compilation personnalisées : vous pouvez définir vos propres étapes de compilation personnalisées dans Cloud Build pour exécuter n'importe quel code arbitraire pendant le processus de compilation.
  • Créer des artefacts pour d'autres services Vertex AI : Cloud Build peut créer des artefacts pour d'autres services Vertex AI, tels que Vertex AI Feature Store et Vertex AI Data Labeling. Cette flexibilité vous aide à créer un workflow de ML complet sur Google Cloud.
  • Bénéficiez d'une solution économique : Cloud Build propose un modèle de paiement à l'usage. Vous ne payez donc que les ressources que vous utilisez.

Contrôles Cloud Build requis

Les contrôles suivants sont fortement recommandés lorsque vous utilisez Cloud Build.

Définir les pools privés autorisés

ID de contrôle Google CBD-CO-6.1
Catégorie Obligatoire
Description

La contrainte de liste cloudbuild.allowedWorkerPools vous permet de définir les pools privés autorisés que vous pouvez utiliser dans votre organisation, votre dossier ou votre projet.

Utilisez l'un des formats suivants pour définir une liste de pools de nœuds de calcul autorisés ou refusés :

  • under:organizations/ORGANIZATION_ID
  • under:folders/FOLDER_ID
  • under:projects/PROJECT_ID
  • projects/PROJECT_ID/locations/REGION/workerPools/WORKER_POOL_ID
Produits applicables
  • Service de règles d'administration
  • Cloud Build
Chemin d'accès constraints/cloudbuild.allowedWorkerPools
Opérateur =
Type Chaîne
Contrôles NIST-800-53 associés
  • AC-3
  • AC-5
  • AC-6
  • AC-12
  • AC-17
  • AC-20
Contrôles associés du profil CRI
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
  • PR.PT-3.1
  • PR-PT-4.1
Informations connexes

Définir les services externes pouvant appeler des déclencheurs de compilation

ID de contrôle Google CBD-CO-6.2
Catégorie Obligatoire
Description

La contrainte cloudbuild.allowedIntegrations définit les services externes (GitHub, par exemple) qui peuvent appeler des déclencheurs de compilation. Par exemple, si votre déclencheur de compilation écoute les modifications apportées à un dépôt GitHub et que GitHub est refusé dans cette contrainte, votre déclencheur ne s'exécutera pas. Vous pouvez spécifier n'importe quel nombre de valeurs autorisées ou refusées pour votre organisation ou votre projet.
Produits applicables
  • Service de règles d'administration
  • Cloud Build
Chemin d'accès constraints/cloudbuild.allowedIntegrations
Opérateur =
Type Liste
Contrôles NIST-800-53 associés
  • AC-3
  • AC-12
  • AC-17
  • AC-20
Contrôles associés du profil CRI
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
  • PR.PT-3.1
  • PR-PT-4.1
Informations connexes

Définir les adresses IP externes autorisées pour les instances de VM

ID de contrôle Google CBD-CO-6.3
Catégorie Obligatoire
Description

La contrainte de liste compute.vmExternalIpAccess vous permet de restreindre l'accès externe aux machines virtuelles en n'attribuant pas d'adresses IP externes. Configurez cette contrainte de liste pour refuser toutes les adresses IP externes aux machines virtuelles.
Produits applicables
  • Service de règles d'administration
  • Cloud Build
Chemin d'accès compute.vmExternalIpAccess
Opérateur =
Valeur
  • Deny All
Type Liste
Contrôles NIST-800-53 associés
  • AC-3
  • AC-12
  • AC-17
  • AC-20
Contrôles associés du profil CRI
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
  • PR.PT-3.1
  • PR-PT-4.1
Informations connexes

Étapes suivantes