생성형 AI 사용 사례를 위한 Cloud Build 제어

이 문서에는 Google Cloud에서 생성형 AI 워크로드를 실행할 때 Cloud Build에 관한 권장사항과 가이드라인이 포함되어 있습니다. Vertex AI와 함께 Cloud Build를 사용하여 Google Cloud에서 서버리스 CI/CD 플랫폼을 빌드, 테스트, 배포합니다.

Vertex AI와 함께 Cloud Build를 사용하는 다음 사용 사례를 고려하세요.

• ML 파이프라인 빌드 자동화: Cloud Build를 사용하면 Vertex AI Pipelines에 정의된 ML 파이프라인의 빌드 및 테스트를 자동화할 수 있습니다. 이 자동화를 통해 모델을 더 빠르고 일관성 있게 빌드하고 배포할 수 있습니다.
• 배포를 위한 맞춤 컨테이너 이미지 빌드: Cloud Build는 모델 제공 환경을 위한 맞춤 컨테이너 이미지를 빌드할 수 있습니다. Cloud Build를 사용하면 모델 코드, 종속 항목, 런타임 환경을 Vertex AI Inference에 배포하여 예측을 제공할 수 있는 단일 이미지로 패키징할 수 있습니다.
• CI/CD 워크플로와 통합: Cloud Build를 사용하면 CI/CD 워크플로에서 ML 모델의 빌드 및 배포를 자동화할 수 있습니다. 이 자동화를 통해 모델이 최신 상태로 유지되고 프로덕션에 배포됩니다.
• 코드 변경사항에 따라 빌드 트리거: 모델 코드 또는 파이프라인 정의가 변경되면 Cloud Build가 자동으로 빌드를 트리거할 수 있습니다. 이 자동화를 통해 최신 코드로 모델을 빌드하고 변경사항을 프로덕션에 자동으로 배포할 수 있습니다.
• 확장 가능하고 안전한 인프라 확보: Cloud Build는 확장 가능하고 안전한Google Cloud인프라를 사용하여 모델을 빌드하고 배포합니다. 이 확장성을 통해 자체 인프라 관리에 대해 걱정할 필요 없이 모델 개발에 집중할 수 있습니다.
• 다양한 프로그래밍 언어 지원: Cloud Build는 Python, Java, Go, Node.js 등 다양한 프로그래밍 언어를 지원합니다. 이 지원을 통해 원하는 언어를 사용하여 모델을 빌드할 수 있습니다.
• 사전 빌드된 빌드 단계 사용: 빌드 프로세스를 간소화하기 위해 Cloud Build는 종속 항목 설치, 테스트 실행, 컨테이너 레지스트리로 이미지 푸시와 같은 일반적인 ML 작업을 위한 사전 빌드된 빌드 단계를 제공합니다.
• 커스텀 빌드 단계 만들기: Cloud Build에서 자체 커스텀 빌드 단계를 정의하여 빌드 프로세스 중에 임의의 코드를 실행할 수 있습니다.
• 다른 Vertex AI 서비스의 아티팩트 빌드: Cloud Build는 Vertex AI Feature Store, Vertex AI Data Labeling과 같은 다른 Vertex AI 서비스의 아티팩트를 빌드할 수 있습니다. 이러한 유연성을 통해 Google Cloud에서 완전한 ML 워크플로를 빌드할 수 있습니다.
• 비용 효율적인 솔루션 구현: Cloud Build는 사용한 만큼만 지불하는 가격 책정 모델을 제공하므로 사용한 리소스에 대해서만 요금을 지불하면 됩니다.

필수 Cloud Build 컨트롤

Cloud Build를 사용할 때는 다음 제어를 사용하는 것이 좋습니다.

허용된 비공개 풀 정의

Google 제어 ID	CBD-CO-6.1
카테고리	필수
설명	cloudbuild.allowedWorkerPools 목록 제약 조건을 사용하면 조직, 폴더 또는 프로젝트 내에서 사용할 수 있는 허용된 비공개 풀을 정의할 수 있습니다. 다음 형식 중 하나를 사용하여 허용되거나 거부된 작업자 풀 목록을 정의합니다. under:organizations/ORGANIZATION_ID under:folders/FOLDER_ID under:projects/PROJECT_ID projects/PROJECT_ID/locations/REGION/workerPools/WORKER_POOL_ID
적용 가능한 제품	조직 정책 서비스 Cloud Build
경로	constraints/cloudbuild.allowedWorkerPools
연산자	=
유형	문자열
관련 NIST-800-53 컨트롤	AC-3 AC-5 AC-6 AC-12 AC-17 AC-20
관련 CRI 프로필 컨트롤	PR.AC-3.1 PR.AC-3.2 PR.AC-4.1 PR.AC-4.2 PR.AC-4.3 PR.AC-6.1 PR.AC-7.1 PR.AC-7.2 PR.PT-3.1 PR-PT-4.1
관련 정보	비공개 풀 강제 사용

빌드 트리거를 호출할 수 있는 외부 서비스 정의

Google 제어 ID	CBD-CO-6.2
카테고리	필수
설명	cloudbuild.allowedIntegrations 제약 조건은 빌드 트리거를 호출할 수 있는 외부 서비스 (예: GitHub)를 정의합니다. 예를 들어 빌드 트리거가 GitHub 저장소 변경사항을 리슨하지만 GitHub가 이 제약 조건에서 거부된 경우에는 트리거가 실행되지 않습니다. 조직 또는 프로젝트에 대해 허용되는 값 또는 거부되는 값을 제한 없이 지정할 수 있습니다.
적용 가능한 제품	조직 정책 서비스 Cloud Build
경로	constraints/cloudbuild.allowedIntegrations
연산자	=
유형	목록
관련 NIST-800-53 컨트롤	AC-3 AC-12 AC-17 AC-20
관련 CRI 프로필 컨트롤	PR.AC-3.1 PR.AC-3.2 PR.AC-4.1 PR.AC-4.2 PR.AC-4.3 PR.AC-6.1 PR.AC-7.1 PR.AC-7.2 PR.PT-3.1 PR-PT-4.1
관련 정보	조직 정책 기반 게이트 빌드

VM 인스턴스에 허용되는 외부 IP 주소 정의

Google 제어 ID	CBD-CO-6.3
카테고리	필수
설명	compute.vmExternalIpAccess 목록 제약 조건을 사용하면 외부 IP 주소를 할당하지 않아 가상 머신에 대한 외부 액세스를 제한할 수 있습니다. 가상 머신에 대한 모든 외부 IP 주소를 거부하도록 이 목록 제약 조건을 구성합니다.
적용 가능한 제품	조직 정책 서비스 Cloud Build
경로	compute.vmExternalIpAccess
연산자	=
값	Deny All
유형	목록
관련 NIST-800-53 컨트롤	AC-3 AC-12 AC-17 AC-20
관련 CRI 프로필 컨트롤	PR.AC-3.1 PR.AC-3.2 PR.AC-4.1 PR.AC-4.2 PR.AC-4.3 PR.AC-6.1 PR.AC-7.1 PR.AC-7.2 PR.PT-3.1 PR-PT-4.1
관련 정보	외부 IP 주소를 특정 인스턴스로 제한

다음 단계

• Cloud DNS 제어를 검토합니다.

• 생성형 AI 워크로드의Google Cloud 보안 권장사항 및 가이드라인을 자세히 알아보세요.