Controlos do Cloud Build para exemplos de utilização da IA generativa

Este documento inclui as práticas recomendadas e as diretrizes para o Cloud Build quando executa cargas de trabalho de IA generativa no Google Cloud. Use o Cloud Build com o Vertex AI para criar, testar e implementar uma plataforma de CI/CD sem servidor no Google Cloud.

Considere os seguintes exemplos de utilização do Cloud Build com o Vertex AI:

• Automatize as compilações de pipelines de ML: o Cloud Build permite-lhe automatizar a compilação e o teste dos seus pipelines de ML definidos nos Vertex AI Pipelines. Esta automatização ajuda a criar e implementar os seus modelos mais rapidamente e com maior consistência.
• Crie imagens de contentores personalizadas para implementação: o Cloud Build pode criar imagens de contentores personalizadas para os seus ambientes de publicação de modelos. O Cloud Build permite-lhe agrupar o código do modelo, as dependências e o ambiente de tempo de execução numa única imagem que pode implementar no Vertex AI Inference para publicar previsões.
• Integração com fluxos de trabalho de CI/CD: o Cloud Build permite-lhe automatizar a criação e a implementação dos seus modelos de ML nos seus fluxos de trabalho de CI/CD. Esta automatização garante que os seus modelos estão atualizados e implementados na produção.
• Acione compilações com base em alterações ao código: o Cloud Build pode acionar automaticamente compilações quando são feitas alterações ao código do modelo ou à definição do pipeline. Esta automatização ajuda a garantir que os seus modelos são criados com o código mais recente e que todas as alterações são implementadas automaticamente na produção.
• Obtenha uma infraestrutura escalável e segura: o Cloud Build usa uma infraestrutura escalável e segura para criar e implementar os seus modelos.Google CloudEsta escalabilidade significa que não tem de se preocupar com a gestão da sua própria infraestrutura e pode concentrar-se no desenvolvimento dos seus modelos.
• Suporte para várias linguagens de programação: o Cloud Build suporta várias linguagens de programação, incluindo Python, Java, Go e Node.js. Esta compatibilidade permite-lhe criar os seus modelos com o idioma à sua escolha.
• Use passos de compilação pré-criados: para ajudar a simplificar o processo de compilação, o Cloud Build oferece passos de compilação pré-criados para tarefas de ML comuns, como instalar dependências, executar testes e enviar imagens para registos de contentores.
• Crie passos de compilação personalizados: pode definir os seus próprios passos de compilação personalizados no Cloud Build para executar qualquer código arbitrário durante o processo de compilação.
• Criar artefactos para outros serviços do Vertex AI: O Cloud Build pode criar artefactos para outros serviços do Vertex AI, como o Vertex AI Feature Store e o Vertex AI Data Labeling. Esta flexibilidade ajuda a criar um fluxo de trabalho de ML completo no Google Cloud.
• Usufrua de uma solução económica: o Cloud Build oferece um modelo de preços de pagamento mediante utilização, pelo que só paga pelos recursos que usa.

Controlos do Cloud Build obrigatórios

Os seguintes controlos são vivamente recomendados quando usar o Cloud Build.

Defina piscinas privadas permitidas

ID de controlo da Google	CBD-CO-6.1
Categoria	Obrigatória
Descrição	A restrição de lista cloudbuild.allowedWorkerPools permite-lhe definir os pools privados permitidos que pode usar na sua organização, pasta ou projeto. Use um dos seguintes formatos para definir uma lista permitida ou recusada de Worker Pools: under:organizations/ORGANIZATION_ID under:folders/FOLDER_ID under:projects/PROJECT_ID projects/PROJECT_ID/locations/REGION/workerPools/WORKER_POOL_ID
Produtos aplicáveis	Serviço de políticas da organização Cloud Build
Caminho	constraints/cloudbuild.allowedWorkerPools
Operador	=
Tipo	String
Controlos NIST-800-53 relacionados	AC-3 AC-5 AC-6 AC-12 AC-17 AC-20
Controlos do perfil de CRI relacionados	PR.AC-3.1 PR.AC-3.2 PR.AC-4.1 PR.AC-4.2 PR.AC-4.3 PR.AC-6.1 PR.AC-7.1 PR.AC-7.2 PR.PT-3.1 PR-PT-4.1
Informações relacionadas	Aplicar a utilização de pools privadas

Defina que serviços externos podem invocar acionadores de compilação

ID de controlo da Google	CBD-CO-6.2
Categoria	Obrigatória
Descrição	A restrição cloudbuild.allowedIntegrations define que serviços externos (por exemplo, o GitHub) podem invocar acionadores de compilação. Por exemplo, se o seu acionador de compilação estiver a ouvir alterações a um repositório do GitHub e o GitHub for recusado nesta restrição, o acionador não é executado. Pode especificar qualquer número de valores permitidos ou recusados para a sua organização ou projeto.
Produtos aplicáveis	Serviço de políticas da organização Cloud Build
Caminho	constraints/cloudbuild.allowedIntegrations
Operador	=
Tipo	Lista
Controlos NIST-800-53 relacionados	AC-3 AC-12 AC-17 AC-20
Controlos do perfil de CRI relacionados	PR.AC-3.1 PR.AC-3.2 PR.AC-4.1 PR.AC-4.2 PR.AC-4.3 PR.AC-6.1 PR.AC-7.1 PR.AC-7.2 PR.PT-3.1 PR-PT-4.1
Informações relacionadas	Restrinja as compilações com base na política da organização

Defina endereços IP externos permitidos para instâncias de VM

ID de controlo da Google	CBD-CO-6.3
Categoria	Obrigatória
Descrição	A restrição de lista compute.vmExternalIpAccess permite-lhe restringir o acesso externo a máquinas virtuais não atribuindo endereços IP externos. Configure esta restrição de lista para recusar todos os endereços IP externos a máquinas virtuais.
Produtos aplicáveis	Serviço de políticas da organização Cloud Build
Caminho	compute.vmExternalIpAccess
Operador	=
Valor	Deny All
Tipo	Lista
Controlos NIST-800-53 relacionados	AC-3 AC-12 AC-17 AC-20
Controlos do perfil de CRI relacionados	PR.AC-3.1 PR.AC-3.2 PR.AC-4.1 PR.AC-4.2 PR.AC-4.3 PR.AC-6.1 PR.AC-7.1 PR.AC-7.2 PR.PT-3.1 PR-PT-4.1
Informações relacionadas	Restrinja os endereços IP externos a instâncias específicas

O que se segue?

• Reveja os controlos do Cloud DNS.

• Veja mais Google Cloud práticas recomendadas de segurança e diretrizes para cargas de trabalho de IA generativa.