Dokumen ini mencakup praktik terbaik dan panduan untuk Virtual Private Cloud (VPC) saat menjalankan workload AI generatif di Google Cloud. Gunakan VPC dengan Vertex AI untuk mengisolasi resource AI Anda dari internet dalam lingkungan yang aman. Konfigurasi jaringan ini membantu melindungi data dan model sensitif dari akses yang tidak sah dan potensi serangan siber.
Anda dapat menentukan aturan firewall dan kontrol akses terperinci dalam jaringan VPC untuk membatasi traffic dan hanya mengizinkan koneksi yang sah ke resource tertentu.
Susun resource Vertex AI Anda ke dalam jaringan VPC terpisah berdasarkan persyaratan fungsi atau keamanan. Jenis organisasi ini membantu mengisolasi resource dan mencegah akses tidak sah di antara berbagai project atau tim. Anda dapat membuat jaringan VPC khusus untuk beban kerja sensitif, seperti model pelatihan dengan data rahasia, sehingga hanya pengguna dan layanan yang berwenang yang memiliki akses jaringan.
Anda dapat menggunakan Cloud VPN atau Cloud Interconnect untuk membuat koneksi jaringan yang aman antara infrastruktur lokal dan lingkungan Vertex AI Anda. Cloud VPN atau Cloud Interconnect membantu mengaktifkan transfer dan komunikasi data yang lancar antara jaringan pribadi dan Google Cloud resource Anda. Pertimbangkan integrasi ini untuk skenario seperti mengakses data lokal untuk pelatihan model atau men-deploy model ke resource lokal untuk inferensi.
Kontrol VPC yang diperlukan
Kontrol berikut sangat direkomendasikan saat menggunakan VPC.
Memblokir pembuatan jaringan default
| ID kontrol Google | VPC-CO-6.1 |
|---|---|
| Kategori | Wajib |
| Deskripsi | Batasan boolean compute.skipDefaultNetworkCreation tidak akan membuat jaringan default dan resource terkait saat membuat project Google Cloud . Secara default, jaringan dibuat secara otomatis dengan aturan firewall dan konfigurasi jaringan yang mungkin tidak dianggap aman. |
| Produk yang berlaku |
|
| Jalur | constraints/compute.skipDefaultNetworkCreation |
| Nilai |
|
| Jenis | Boolean |
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Menentukan daftar instance VM yang diizinkan memiliki alamat IP eksternal
| ID kontrol Google | VPC-CO-6.2 |
|---|---|
| Kategori | Wajib |
| Deskripsi | Batasan daftar compute.vmExternalIpAccess menentukan kumpulan instance VM Compute Engine yang dapat memiliki alamat IP eksternal. Batasan ini tidak berlaku surut. |
| Produk yang berlaku |
|
| Jalur | constraints/compute.vmExternalIpAccess |
| Operator | = |
| Nilai |
|
| Jenis | Daftar |
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Menentukan instance VM yang dapat mengaktifkan penerusan IP
| ID kontrol Google | VPC-CO-6.3 |
|---|---|
| Kategori | Wajib |
| Deskripsi | Batasan compute.vmCanIpForward menentukan instance VM yang dapat mengaktifkan penerusan IP. Secara default, semua VM dapat mengaktifkan penerusan IP di jaringan virtual mana pun. Tentukan instance VM menggunakan salah satu format berikut:
|
| Produk yang berlaku |
|
| Jalur | constraints/compute.vmCanIpForward |
| Operator | = |
| Nilai |
|
| Jenis | Daftar |
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |
Menonaktifkan virtualisasi bertingkat VM
| ID kontrol Google | VPC-CO-6.6 |
|---|---|
| Kategori | Wajib |
| Deskripsi | Batasan boolean compute.disableNestedVirtualization menonaktifkan virtualisasi bertingkat dengan akselerasi hardware untuk VM Compute Engine. |
| Produk yang berlaku |
|
| Jalur | constraints/compute.disableNestedVirtualization |
| Operator | Is |
| Nilai |
|
| Jenis | Boolean |
| Kontrol NIST-800-53 terkait |
|
| Kontrol profil CRI terkait |
|
| Informasi terkait |