Controlli di Cloud Build per i casi d'uso dell'AI generativa

Questo documento include le best practice e le linee guida per Cloud Build quando esegui carichi di lavoro di AI generativa su Google Cloud. Utilizza Cloud Build con Vertex AI per creare, testare ed eseguire il deployment di una piattaforma CI/CD serverless su Google Cloud.

Prendi in considerazione i seguenti casi d'uso per Cloud Build con Vertex AI:

• Automatizzare le build delle pipeline ML: Cloud Build consente di automatizzare la creazione e il test delle pipeline ML definite in Vertex AI Pipelines. Questa automazione ti aiuta a creare e implementare i tuoi modelli più rapidamente e con maggiore coerenza.
• Crea immagini container personalizzate per il deployment: Cloud Build può creare immagini container personalizzate per gli ambienti di servizio del modello. Cloud Build ti consente di raggruppare il codice del modello, le dipendenze e l'ambiente di runtime in una singola immagine che puoi eseguire il deployment in Vertex AI Inference per pubblicare le previsioni.
• Integrazione con i flussi di lavoro CI/CD: Cloud Build ti consente di automatizzare la build e il deployment dei tuoi modelli ML nei tuoi flussi di lavoro CI/CD. Questa automazione garantisce che i modelli siano aggiornati e di cui sia stato eseguito il deployment in produzione.
• Attiva build in base alle modifiche al codice: Cloud Build può attivare automaticamente le build quando vengono apportate modifiche al codice del modello o alla definizione della pipeline. Questa automazione contribuisce a garantire che i tuoi modelli siano creati con il codice più recente e che le modifiche vengano implementate automaticamente in produzione.
• Ottieni un'infrastruttura scalabile e sicura: Cloud Build utilizza Google Cloud un'infrastruttura scalabile e sicura per creare e implementare i tuoi modelli. Questa scalabilità ti consente di non doverti preoccupare della gestione della tua infrastruttura e di concentrarti sullo sviluppo dei modelli.
• Supporto di vari linguaggi di programmazione: Cloud Build supporta vari linguaggi di programmazione, tra cui Python, Java, Go e Node.js. Questo supporto ti consente di creare i tuoi modelli utilizzando la lingua che preferisci.
• Utilizza passaggi di build predefiniti: per semplificare il processo di compilazione, Cloud Build offre passaggi di build predefiniti per attività di ML comuni, come l'installazione di dipendenze, l'esecuzione di test e il push di immagini nei registri dei container.
• Crea passaggi di build personalizzati: puoi definire passaggi di build personalizzati in Cloud Build per eseguire qualsiasi codice arbitrario durante il processo di compilazione.
• Crea artefatti per altri servizi Vertex AI: Cloud Build può creare artefatti per altri servizi Vertex AI come Vertex AI Feature Store e Vertex AI Data Labeling. Questa flessibilità ti consente di creare un workflow ML completo su Google Cloud.
• Realizza una soluzione conveniente: Cloud Build offre un modello di prezzi con pagamento a consumo, quindi paghi solo per le risorse che utilizzi.

Controlli Cloud Build obbligatori

Quando utilizzi Cloud Build, ti consigliamo vivamente di utilizzare i seguenti controlli.

Definisci i pool privati consentiti

ID controllo Google	CBD-CO-6.1
Categoria	Obbligatorio
Descrizione	Il vincolo di elenco cloudbuild.allowedWorkerPools consente di definire i pool privati consentiti che puoi utilizzare all'interno dell'organizzazione, della cartella o del progetto. Utilizza uno dei seguenti formati per definire un elenco consentito o negato di pool di worker: under:organizations/ORGANIZATION_ID under:folders/FOLDER_ID under:projects/PROJECT_ID projects/PROJECT_ID/locations/REGION/workerPools/WORKER_POOL_ID
Prodotti applicabili	Servizio Policy dell'organizzazione Cloud Build
Percorso	constraints/cloudbuild.allowedWorkerPools
Operatore	=
Tipo	Stringa
Controlli NIST-800-53 correlati	AC-3 AC-5 AC-6 AC-12 AC-17 AC-20
Controlli del profilo CRI correlati	PR.AC-3.1 PR.AC-3.2 PR.AC-4.1 PR.AC-4.2 PR.AC-4.3 PR.AC-6.1 PR.AC-7.1 PR.AC-7.2 PR.PT-3.1 PR-PT-4.1
Informazioni correlate	Imposizione dell'utilizzo di pool privati

Definisci quali servizi esterni possono richiamare i trigger di build

ID controllo Google	CBD-CO-6.2
Categoria	Obbligatorio
Descrizione	Il vincolo cloudbuild.allowedIntegrations definisce quali servizi esterni (ad esempio GitHub) possono richiamare i trigger di build. Ad esempio, se il trigger di build è in attesa di modifiche a un repository GitHub e GitHub è negato in questo vincolo, il trigger non verrà eseguito. Puoi specificare un numero qualsiasi di valori consentiti o negati per la tua organizzazione o il tuo progetto.
Prodotti applicabili	Servizio Policy dell'organizzazione Cloud Build
Percorso	constraints/cloudbuild.allowedIntegrations
Operatore	=
Tipo	Elenco
Controlli NIST-800-53 correlati	AC-3 AC-12 AC-17 AC-20
Controlli del profilo CRI correlati	PR.AC-3.1 PR.AC-3.2 PR.AC-4.1 PR.AC-4.2 PR.AC-4.3 PR.AC-6.1 PR.AC-7.1 PR.AC-7.2 PR.PT-3.1 PR-PT-4.1
Informazioni correlate	Gate si basa sulla policy dell'organizzazione

Definisci gli indirizzi IP esterni consentiti per le istanze VM

ID controllo Google	CBD-CO-6.3
Categoria	Obbligatorio
Descrizione	Il vincolo dell'elenco compute.vmExternalIpAccess consente di limitare l'accesso esterno alle macchine virtuali non assegnando indirizzi IP esterni. Configura questo vincolo dell'elenco per negare tutti gli indirizzi IP esterni alle macchine virtuali.
Prodotti applicabili	Servizio Policy dell'organizzazione Cloud Build
Percorso	compute.vmExternalIpAccess
Operatore	=
Valore	Deny All
Tipo	Elenco
Controlli NIST-800-53 correlati	AC-3 AC-12 AC-17 AC-20
Controlli del profilo CRI correlati	PR.AC-3.1 PR.AC-3.2 PR.AC-4.1 PR.AC-4.2 PR.AC-4.3 PR.AC-6.1 PR.AC-7.1 PR.AC-7.2 PR.PT-3.1 PR-PT-4.1
Informazioni correlate	Limita gli indirizzi IP esterni a istanze specifiche

Passaggi successivi

• Esamina i controlli di Cloud DNS.

• Scopri di più sulle best practice e sulle linee guida per la sicurezza diGoogle Cloud per i carichi di lavoro di AI generativa.