本文档包含在Google Cloud上运行生成式 AI 工作负载时,有关 Virtual Private Cloud (VPC) 的最佳实践和指南。将 VPC 与 Vertex AI 搭配使用,可在安全的环境中将 AI 资源与互联网隔离开来。此网络配置有助于保护敏感数据和模型,防止未经授权的访问和潜在的网络攻击。
您可以在 VPC 网络中定义精细的防火墙规则和访问控制,以限制流量并仅允许授权连接到特定资源。
根据功能或安全要求,将 Vertex AI 资源整理到不同的 VPC 网络中。这种类型的组织有助于隔离资源,并防止不同项目或团队之间发生未经授权的访问。您可以为敏感工作负载(例如使用机密数据训练模型)创建专用 VPC 网络,确保只有已获授权的用户和服务才能获得网络访问权限。
您可以使用 Cloud VPN 或 Cloud Interconnect 在本地基础架构和 Vertex AI 环境之间建立安全的网络连接。Cloud VPN 或 Cloud Interconnect 可帮助您在私有网络与 Google Cloud 资源之间实现无缝的数据传输和通信。对于需要访问本地数据以进行模型训练或将模型部署到本地资源以进行推理等场景,请考虑使用此集成。
必需的 VPC 控制措施
使用 VPC 时,强烈建议您采取以下控制措施。
禁止创建默认网络
| Google 控制 ID | VPC-CO-6.1 |
|---|---|
| 类别 | 必需 |
| 说明 | compute.skipDefaultNetworkCreation 布尔值限制条件会在创建 Google Cloud 项目时跳过默认网络和相关资源的创建作业。默认情况下,系统会自动创建具有防火墙规则和网络配置的网络,但这些规则和配置可能并不安全。 |
| 适用的产品 |
|
| 路径 | constraints/compute.skipDefaultNetworkCreation |
| 值 |
|
| 类型 | 布尔值 |
| 相关 NIST-800-53 控制措施 |
|
| 相关 CRI 配置文件控制 |
|
| 相关信息 |
定义允许使用外部 IP 地址的虚拟机实例列表
| Google 控制 ID | VPC-CO-6.2 |
|---|---|
| 类别 | 必需 |
| 说明 | compute.vmExternalIpAccess 列表限制条件定义了一组可以具有外部 IP 地址的 Compute Engine 虚拟机实例。此限制条件不具有追溯性。 |
| 适用的产品 |
|
| 路径 | constraints/compute.vmExternalIpAccess |
| 运算符 | = |
| 值 |
|
| 类型 | 列表 |
| 相关 NIST-800-53 控制措施 |
|
| 相关 CRI 配置文件控制 |
|
| 相关信息 |
定义可启用 IP 转发的虚拟机实例
| Google 控制 ID | VPC-CO-6.3 |
|---|---|
| 类别 | 必需 |
| 说明 | compute.vmCanIpForward 限制条件定义了可启用 IP 转发的虚拟机实例。默认情况下,任何虚拟机都可以在任何虚拟网络中启用 IP 转发。使用以下某种格式指定虚拟机实例:
|
| 适用的产品 |
|
| 路径 | constraints/compute.vmCanIpForward |
| 运算符 | = |
| 值 |
|
| 类型 | 列表 |
| 相关 NIST-800-53 控制措施 |
|
| 相关 CRI 配置文件控制 |
|
| 相关信息 |
停用虚拟机嵌套虚拟化
| Google 控制 ID | VPC-CO-6.6 |
|---|---|
| 类别 | 必需 |
| 说明 | compute.disableNestedVirtualization 布尔值限制条件会针对 Compute Engine 虚拟机停用硬件加速的嵌套虚拟化功能。 |
| 适用的产品 |
|
| 路径 | constraints/compute.disableNestedVirtualization |
| 运算符 | Is |
| 值 |
|
| 类型 | 布尔值 |
| 相关 NIST-800-53 控制措施 |
|
| 相关 CRI 配置文件控制 |
|
| 相关信息 |