Este documento inclui as práticas recomendadas e as diretrizes para a nuvem virtual privada (VPC) quando executa cargas de trabalho de IA generativa no Google Cloud. Use a VPC com o Vertex AI para isolar os seus recursos de IA da Internet num ambiente seguro. Esta configuração de rede ajuda a proteger os dados e os modelos confidenciais contra o acesso não autorizado e potenciais ciberataques.
Pode definir regras de firewall detalhadas e controlos de acesso na sua rede VPC para restringir o tráfego e permitir apenas ligações autorizadas a recursos específicos.
Organize os seus recursos da Vertex AI em redes VPC separadas com base na função ou nos requisitos de segurança. Este tipo de organização ajuda a isolar os recursos e impede o acesso não autorizado entre diferentes projetos ou equipas. Pode criar redes VPC dedicadas para cargas de trabalho confidenciais, como modelos de preparação com dados confidenciais, garantindo que apenas os utilizadores e os serviços autorizados têm acesso à rede.
Pode usar o Cloud VPN ou o Cloud Interconnect para estabelecer uma ligação de rede segura entre a sua infraestrutura no local e o seu ambiente do Vertex AI. O Cloud VPN ou o Cloud Interconnect ajudam a permitir uma transferência de dados e uma comunicação sem problemas entre a sua rede privada e os Google Cloud recursos. Considere esta integração para cenários como o acesso a dados no local para a preparação de modelos ou a implementação de modelos em recursos no local para inferência.
Controlos de VPC necessários
Os seguintes controlos são vivamente recomendados quando usar a VPC.
Bloqueie a criação de redes predefinidas
| ID de controlo da Google | VPC-CO-6.1 |
|---|---|
| Categoria | Obrigatória |
| Descrição | A restrição booleana compute.skipDefaultNetworkCreation ignora a criação da rede predefinida e dos recursos relacionados quando cria Google Cloud projetos. Por predefinição, é criada automaticamente uma rede com regras da firewall e configurações de rede que podem não ser consideradas seguras. |
| Produtos aplicáveis |
|
| Caminho | constraints/compute.skipDefaultNetworkCreation |
| Valor |
|
| Tipo | Booleano |
| Controlos NIST-800-53 relacionados |
|
| Controlos do perfil de CRI relacionados |
|
| Informações relacionadas |
Defina uma lista de instâncias de VM que têm endereços IP externos permitidos
| ID de controlo da Google | VPC-CO-6.2 |
|---|---|
| Categoria | Obrigatória |
| Descrição | A restrição de lista compute.vmExternalIpAccess define o conjunto de instâncias de VM do Compute Engine que podem ter endereços IP externos. Esta restrição não é retroativa. |
| Produtos aplicáveis |
|
| Caminho | constraints/compute.vmExternalIpAccess |
| Operador | = |
| Valor |
|
| Tipo | Lista |
| Controlos NIST-800-53 relacionados |
|
| Controlos do perfil de CRI relacionados |
|
| Informações relacionadas |
Defina instâncias de VM que podem ativar o encaminhamento de IP
| ID de controlo da Google | VPC-CO-6.3 |
|---|---|
| Categoria | Obrigatória |
| Descrição | A restrição compute.vmCanIpForward define as instâncias de VM que podem ativar o encaminhamento de IP. Por predefinição, qualquer VM pode ativar o encaminhamento de IP em qualquer rede virtual. Especifique as instâncias de VM através de um dos seguintes formatos:
|
| Produtos aplicáveis |
|
| Caminho | constraints/compute.vmCanIpForward |
| Operador | = |
| Valor |
|
| Tipo | Lista |
| Controlos NIST-800-53 relacionados |
|
| Controlos do perfil de CRI relacionados |
|
| Informações relacionadas |
Desative a virtualização aninhada de VMs
| ID de controlo da Google | VPC-CO-6.6 |
|---|---|
| Categoria | Obrigatória |
| Descrição | A restrição booleana compute.disableNestedVirtualization desativa a virtualização aninhada acelerada por hardware para VMs do Compute Engine. |
| Produtos aplicáveis |
|
| Caminho | constraints/compute.disableNestedVirtualization |
| Operador | Is |
| Valor |
|
| Tipo | Booleano |
| Controlos NIST-800-53 relacionados |
|
| Controlos do perfil de CRI relacionados |
|
| Informações relacionadas |