Controles de Pub/Sub para casos de uso de IA generativa

En este documento, se incluyen las prácticas recomendadas y los lineamientos para Pub/Sub cuando se ejecutan cargas de trabajo de IA generativa en Google Cloud. Usa Pub/Sub con Vertex AI para habilitar la comunicación y la automatización eficientes en tus flujos de trabajo de aprendizaje automático.

Considera los siguientes casos de uso de Pub/Sub con Vertex AI:

  • Arquitectura asíncrona controlada por eventos: Pub/Sub permite la comunicación controlada por eventos para que puedas activar los flujos de trabajo de Vertex AI en función de los eventos que se publican en los temas de Pub/Sub. Estos eventos pueden incluir datos nuevos y actualizaciones del modelo.
  • Escalabilidad y confiabilidad: Pub/Sub es altamente escalable, lo que te permite controlar numerosos eventos sin afectar el rendimiento. La escalabilidad es fundamental para procesar grandes conjuntos de datos o ejecutar varios trabajos de AA simultáneos. Pub/Sub también proporciona una entrega y un ordenamiento confiables de los mensajes dentro de un tema, lo que garantiza la coherencia del procesamiento incluso con cargas de trabajo pesadas.
  • Flexibilidad: Puedes integrar Vertex AI con otros servicios, como las funciones de Cloud Run o Dataflow, a través de Pub/Sub, lo que te permite crear canalizaciones de AA flexibles y dinámicas.
  • Supervisión y alertas en tiempo real: Pub/Sub te permite suscribirte a temas específicos para recibir notificaciones en tiempo real sobre los eventos en tus canalizaciones de Vertex AI. La supervisión en tiempo real te ayuda a supervisar el progreso del entrenamiento de modelos, los resultados del procesamiento previo de los datos y el resultado de la predicción. Puedes configurar alertas basadas en eventos específicos, como trabajos fallidos o anomalías detectadas durante la predicción. Las alertas permiten una intervención proactiva y una solución de problemas oportuna.

Por ejemplo, puedes usar Pub/Sub para las siguientes actividades:

  • Activa el entrenamiento de modelos cuando lleguen datos nuevos a un bucket de Cloud Storage.
  • Envía predicciones en tiempo real desde un modelo implementado a sistemas posteriores para su procesamiento adicional.
  • Supervisar los cambios en las métricas de rendimiento del modelo y reaccionar ante ellos
  • Activa alertas para eventos críticos, como predicciones fallidas o problemas de calidad de los datos.

Según tus casos de uso en torno a la IA generativa, te recomendamos que apliques controles adicionales. Estos controles incluyen controles de retención de datos y otros controles basados en políticas que se basan en las políticas de tu empresa.

Usa CMEK para los mensajes de Pub/Sub

ID de control de Google PS-CO-6.1
Categoría Recomendado
Descripción
Cuando habilitas las claves de encriptación administradas por el cliente (CMEK) para Pub/Sub, obtienes un mayor control de las claves de encriptación que Pub/Sub usa para proteger tus mensajes. En la capa de la aplicación, Pub/Sub encripta de forma individual los mensajes entrantes cuando los recibe. Antes de que Pub/Sub publique mensajes en una suscripción, los encripta con la clave de encriptación de datos (DEK) más reciente que se generó para el tema. Pub/Sub desencripta los mensajes poco antes de entregarlos a los suscriptores. Pub/Sub usa una cuenta de servicio Google Cloud para acceder a Cloud Key Management Service. Pub/Sub mantiene de forma interna la cuenta de servicio para cada proyecto, por lo que no estará visible en tu lista de cuentas de servicio.
Productos aplicables
  • Cloud KMS
  • Pub/Sub
Controles relacionados de NIST-800-53
  • SC-12
  • SC-13
Controles relacionados del perfil de CRI
  • PR.DS-1.1
  • PR.DS-1.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
Información relacionada

Controles opcionales de Pub/Sub

Estos controles son opcionales. Considera aplicarlas cuando se relacionen con tus casos de uso específicos.

Configura políticas de almacenamiento de mensajes

ID de control de Google PS-CO-4.1
Categoría Opcional
Descripción
Si publicas mensajes en el extremo global de Pub/Sub, Pub/Sub almacena automáticamente los mensajes en la región de Google Cloud más cercana. Para controlar en qué regiones se almacenan tus mensajes, configura una política de almacenamiento de mensajes en tu tema. Usa una de las siguientes formas para configurar las políticas de almacenamiento de mensajes para temas:
  • Establece una política de almacenamiento de mensajes con la restricción de política de la organización Restricción de ubicación de recursos (gcp.resourceLocations).
  • Configura una política de almacenamiento de mensajes cuando crees un tema. Por ejemplo:

    gcloud pubsub topics create TOPIC_ID \--message-storage-policy-allowed-regions=REGION1, REGION2
Productos aplicables
  • Servicio de políticas de la organización
  • Pub/Sub
Controles relacionados de NIST-800-53
  • AC-3
  • AC-17
  • AC-20
Controles relacionados del perfil de CRI
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1
Información relacionada

¿Qué sigue?