Controles do Cloud Build para casos de uso de IA generativa

Este documento inclui as práticas recomendadas e as diretrizes do Cloud Build ao executar cargas de trabalho de IA generativa no Google Cloud. Use o Cloud Build com a Vertex AI para criar, testar e implantar uma plataforma de CI/CD sem servidor no Google Cloud.

Considere os seguintes casos de uso do Cloud Build com a Vertex AI:

• Automatizar builds de pipeline de ML: o Cloud Build permite automatizar a criação e o teste dos pipelines de ML definidos no Vertex AI Pipelines. Essa automação ajuda a criar e implantar seus modelos com mais rapidez e consistência.
• Criar imagens de contêiner personalizadas para implantação: o Cloud Build pode criar imagens de contêiner personalizadas para seus ambientes de exibição de modelos. O Cloud Build permite empacotar o código do modelo, as dependências e o ambiente de execução em uma única imagem que pode ser implantada no Vertex AI Inference para veicular previsões.
• Integração com fluxos de trabalho de CI/CD: o Cloud Build permite automatizar a criação e a implantação dos seus modelos de ML nos fluxos de trabalho de CI/CD. Essa automação garante que seus modelos estejam atualizados e implantados na produção.
• Acionar builds com base em mudanças no código: o Cloud Build pode acionar builds automaticamente quando o código do modelo ou a definição do pipeline são alterados. Essa automação ajuda a garantir que seus modelos sejam criados com o código mais recente e que todas as mudanças sejam implantadas automaticamente na produção.
• Tenha uma infraestrutura escalonável e segura: o Cloud Build usa uma infraestrutura Google Cloud escalonável e segura para criar e implantar seus modelos. Essa escalonabilidade significa que você não precisa se preocupar em gerenciar sua própria infraestrutura e pode se concentrar no desenvolvimento de modelos.
• Suporte a várias linguagens de programação: o Cloud Build é compatível com várias linguagens de programação, incluindo Python, Java, Go e Node.js. Com esse suporte, você pode criar modelos usando a linguagem que preferir.
• Use etapas de build pré-criadas: para simplificar o processo de build, o Cloud Build oferece etapas de build pré-criadas para tarefas comuns de ML, como instalar dependências, executar testes e enviar imagens para registros de contêineres.
• Criar etapas de build personalizadas: é possível definir suas próprias etapas de build personalizadas no Cloud Build para executar qualquer código arbitrário durante o processo de build.
• Criar artefatos para outros serviços da Vertex AI: o Cloud Build pode criar artefatos para outros serviços da Vertex AI, como o Vertex AI Feature Store e a rotulagem de dados da Vertex AI. Essa flexibilidade ajuda a criar um fluxo de trabalho completo de ML no Google Cloud.
• Implemente uma solução econômica: o Cloud Build oferece um modelo de preços de pagamento por uso, para que você pague apenas pelos recursos que usar.

Controles obrigatórios do Cloud Build

Os controles a seguir são altamente recomendados ao usar o Cloud Build.

Definir pools particulares permitidos

ID de controle do Google	CBD-CO-6.1
Categoria	Obrigatório
Descrição	Com a restrição de lista cloudbuild.allowedWorkerPools, é possível definir os pools particulares permitidos que podem ser usados na sua organização, pasta ou projeto. Use um dos seguintes formatos para definir uma lista permitida ou negada de pools de workers: under:organizations/ORGANIZATION_ID under:folders/FOLDER_ID under:projects/PROJECT_ID projects/PROJECT_ID/locations/REGION/workerPools/WORKER_POOL_ID
Produtos aplicáveis	Serviço de política da organização Cloud Build
Caminho	constraints/cloudbuild.allowedWorkerPools
Operador	=
Tipo	String
Controles relacionados do NIST-800-53	AC-3 AC-5 AC-6 AC-12 AC-17 AC-20
Controles relacionados ao perfil de CRI	PR.AC-3.1 PR.AC-3.2 PR.AC-4.1 PR.AC-4.2 PR.AC-4.3 PR.AC-6.1 PR.AC-7.1 PR.AC-7.2 PR.PT-3.1 PR-PT-4.1
Informações relacionadas	Como aplicar o uso de pools particulares

Definir quais serviços externos podem invocar gatilhos de build

ID de controle do Google	CBD-CO-6.2
Categoria	Obrigatório
Descrição	A restrição cloudbuild.allowedIntegrations define quais serviços externos (por exemplo, GitHub) podem invocar acionadores de build. Por exemplo, se o gatilho de compilação detectar mudanças em um repositório do GitHub e o GitHub for negado nessa restrição, o gatilho não será executado. É possível especificar qualquer número de valores permitidos ou negados para sua organização ou projeto.
Produtos aplicáveis	Serviço de política da organização Cloud Build
Caminho	constraints/cloudbuild.allowedIntegrations
Operador	=
Tipo	Lista
Controles relacionados do NIST-800-53	AC-3 AC-12 AC-17 AC-20
Controles relacionados ao perfil de CRI	PR.AC-3.1 PR.AC-3.2 PR.AC-4.1 PR.AC-4.2 PR.AC-4.3 PR.AC-6.1 PR.AC-7.1 PR.AC-7.2 PR.PT-3.1 PR-PT-4.1
Informações relacionadas	Restringir builds com base na política da organização

Definir endereços IP externo permitidos para instâncias de VM

ID de controle do Google	CBD-CO-6.3
Categoria	Obrigatório
Descrição	Com a restrição de lista compute.vmExternalIpAccess, é possível restringir o acesso externo às máquinas virtuais não atribuindo endereços IP externo. Configure essa restrição de lista para negar todos os endereços IP externo às máquinas virtuais.
Produtos aplicáveis	Serviço de política da organização Cloud Build
Caminho	compute.vmExternalIpAccess
Operador	=
Valor	Deny All
Tipo	Lista
Controles relacionados do NIST-800-53	AC-3 AC-12 AC-17 AC-20
Controles relacionados ao perfil de CRI	PR.AC-3.1 PR.AC-3.2 PR.AC-4.1 PR.AC-4.2 PR.AC-4.3 PR.AC-6.1 PR.AC-7.1 PR.AC-7.2 PR.PT-3.1 PR-PT-4.1
Informações relacionadas	Restringir endereços IP externo a instâncias específicas

A seguir

• Analise os controles do Cloud DNS.

• Confira mais Google Cloud práticas recomendadas e diretrizes de segurança para cargas de trabalho de IA generativa.