生成式 AI 用途的 Dataflow 控制項

本文提供 Dataflow 最佳做法和指南,適用於在 Google Cloud上執行生成式 AI 工作負載的情況。您可以搭配 Vertex AI 使用 Dataflow,建構可從各種來源擷取資料的複雜管道,並視需要彙整資料。

選用的 Dataflow 控制項

建議您根據資料來源導入下列安全控制措施。

關閉 Dataflow 工作的外部 IP 位址

Google 控制項 ID DF-CO-6.1
類別 選用
說明

關閉外部 IP 位址,以執行與 Dataflow 工作相關的管理和監控任務。請改用 SSH 設定 Dataflow worker VM 的存取權。

啟用 Private Google Access,並在 Dataflow 工作中指定下列其中一個選項:

  • --usePublicIps=false--network=NETWORK-NAME
  • --subnetwork=SUBNETWORK-NAME

其中:

  • NETWORK-NAME:Compute Engine 網路的名稱。
  • SUBNETWORK-NAME:Compute Engine 子網路的名稱。
適用產品
  • Compute Engine
  • Dataflow
相關的 NIST-800-53 控制項
  • SC-7
  • SC-8
相關的 CRI 設定檔控制項
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
相關資訊

使用防火牆規則的網路標記

Google 控制項 ID DF-CO-6.2
類別 選用
說明

網路標記是附加至 Compute Engine VM (例如 Dataflow worker VM) 的文字屬性,可讓您建立適用於特定 VM 執行個體的虛擬私有雲網路防火牆規則和部分自訂靜態路徑。Dataflow 支援將網路標記新增至執行特定 Dataflow 工作的所有 worker VM。
適用產品
  • Compute Engine
  • Dataflow
相關的 NIST-800-53 控制項
  • SC-7
  • SC-8
相關的 CRI 設定檔控制項
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
相關資訊

後續步驟