Private Service Connect-Schnittstelle für Vertex AI-Ressourcen einrichten

In diesem Leitfaden wird beschrieben, wie Sie eine Private Service Connect-Schnittstelle für Vertex AI-Ressourcen einrichten.

Sie können Private Service Connect-Schnittstellenverbindungen für bestimmte Ressourcen in Vertex AI konfigurieren, darunter:

Im Gegensatz zu VPC-Peering Verbindungen sind Private Service Connect-Schnittstellenverbindungen transitiv. Dafür sind weniger IP-Adressen im VPC-Netzwerk des Nutzers erforderlich. So können Sie flexibler eine Verbindung zu anderen VPC-Netzwerken in Ihrem Google Cloud Projekt und lokal herstellen.

Dieser Leitfaden richtet sich an Netzwerkadministratoren, die mit Google Cloud Netzwerk konzepten vertraut sind.

Ziele

In diesem Leitfaden werden folgende Aufgaben behandelt:

  • Konfigurieren Sie ein Nutzer-VPC -Netzwerk, ein Subnetz und einen Netzwerkanhang.
  • Fügen Sie Ihrem Google Cloud Netzwerk-Hostprojekt Firewallregeln hinzu.
  • Erstellen Sie eine Vertex AI-Ressource und geben Sie den Netzwerkanhang an, um eine Private Service Connect-Schnittstelle zu verwenden.

Hinweis

Führen Sie die folgenden Schritte aus, um ein Google Cloud Projekt zu erstellen oder auszuwählen und für die Verwendung mit Vertex AI und Private Service Connect zu konfigurieren.

  1. Melden Sie sich in Ihrem Google Cloud Konto an. Wenn Sie noch kein Konto bei Google Cloudhaben, erstellen Sie ein Konto, um die Leistungsfähigkeit unserer Produkte in der Praxis sehen und bewerten zu können. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  3. Verify that billing is enabled for your Google Cloud project.

  4. Enable the Vertex AI, Compute Engine, and Cloud Storage APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  5. Installieren Sie die Google Cloud CLI.

  6. Wenn Sie einen externen Identitätsanbieter (IdP) verwenden, müssen Sie sich zuerst mit Ihrer föderierten Identität in der gcloud CLI anmelden.

  7. Führen Sie den folgenden Befehl aus, um die gcloud CLI zu initialisieren: 

    gcloud init

  8. Aktualisieren Sie die gcloud CLI nach der Initialisierung und installieren Sie die erforderlichen Komponenten: 

    gcloud components update
gcloud components install beta

  9. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  10. Verify that billing is enabled for your Google Cloud project.

  11. Enable the Vertex AI, Compute Engine, and Cloud Storage APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  12. Installieren Sie die Google Cloud CLI.

  13. Wenn Sie einen externen Identitätsanbieter (IdP) verwenden, müssen Sie sich zuerst mit Ihrer föderierten Identität in der gcloud CLI anmelden.

  14. Führen Sie den folgenden Befehl aus, um die gcloud CLI zu initialisieren: 

    gcloud init

  15. Aktualisieren Sie die gcloud CLI nach der Initialisierung und installieren Sie die erforderlichen Komponenten: 

    gcloud components update
gcloud components install beta
  16. Wenn Sie nicht der Projektinhaber sind und nicht die Rolle „Projekt-IAM-Administrator“ (roles/resourcemanager.projectIamAdmin) haben, bitten Sie den Inhaber, Ihnen eine IAM-Rolle zuzuweisen, die die compute.networkAttachments.update, compute.networkAttachments.update, und compute.regionOperations.get Berechtigungen enthält. Mit der Rolle „Compute-Netzwerkadministrator“ (roles/compute.networkAdmin) können Sie beispielsweise Netzwerkressourcen verwalten.
  17. Weisen Sie dem AI Platform-Dienst-Agent die erforderlichen Rollen zu. Weitere Informationen zu den Rollen, die in verschiedenen Szenarien zugewiesen werden müssen, finden Sie im Abschnitt Erforderliche Rolle für den Vertex AI-Dienst-Agent in diesem Dokument.

VPC-Netzwerk und Subnetz einrichten

Folgen Sie der Konfiguration, um ein neues VPC-Netzwerk zu erstellen, wenn Sie noch keines haben.

  1. VPC-Netzwerk erstellen:

    gcloud compute networks create NETWORK \
    --subnet-mode=custom

    Ersetzen Sie NETWORK durch einen Namen für das VPC-Netzwerk.

  2. Subnetz erstellen:

    gcloud compute networks subnets create SUBNET_NAME \
    --network=NETWORK \
    --range=PRIMARY_RANGE \
    --region=REGION

    Ersetzen Sie Folgendes:

    • SUBNET_NAME: Ein Name für das Subnetz.

    • PRIMARY_RANGE: Der primäre IPv4-Bereich für das neue Subnetz in CIDR-Notation.

      Die folgenden IP-Anforderungen und -Einschränkungen gelten für Vertex AI:

      • Für Vertex AI wird ein /28-Subnetz empfohlen.
      • Das Subnetz des Netzwerkanhangs unterstützt RFC 1918- und Nicht-RFC 1918-Adressen, mit Ausnahme der Subnetze 100.64.0.0/20 und 240.0.0.0/4.
      • Vertex AI kann nur eine Verbindung zu RFC 1918-IP-Adressbereichen herstellen, die vom angegebenen Netzwerk aus weitergeleitet werden können.

      • Vertex AI kann keine privat verwendete öffentliche IP-Adresse oder diese Nicht-RFC 1918-Bereiche erreichen:

        • 100.64.0.0/20
        • 192.0.0.0/24
        • 192.0.2.0/24
        • 198.18.0.0/15
        • 198.51.100.0/24
        • 203.0.113.0/24
        • 240.0.0.0/4

      Weitere Informationen finden Sie unter IPv4-Subnetzbereiche.

    • REGION: die Google Cloud Region, in der Sie das neue Subnetz erstellen.

Netzwerkanhang erstellen

Erstellen Sie in einer Bereitstellung mit freigegebene VPC das Subnetz, das für den Netzwerkanhang verwendet wird, im Hostprojekt und dann den Private Service Connect-Netzwerkanhang im Dienstprojekt.

Das folgende Beispiel zeigt, wie Sie einen Netzwerkanhang erstellen, der Verbindungen automatisch akzeptiert.

   gcloud compute network-attachments create NETWORK_ATTACHMENT_NAME \
       --region=REGION \
       --connection-preference=ACCEPT_AUTOMATIC \
       --subnets=SUBNET_NAME

Ersetzen Sie NETWORK_ATTACHMENT_NAME durch einen Namen für den Netzwerkanhang.

Wenn der Netzwerkanhang in einem anderen Projekt als dem Dienstprojekt erstellt wird, müssen Sie beim Aufrufen der Vertex AI API den vollständigen Pfad des Netzwerkanhangs übergeben.

Erforderliche Rolle für den Vertex AI-Dienst-Agent

Weisen Sie im Projekt, in dem Sie den Netzwerkanhang erstellen, dem Vertex AI-Dienst-Agent desselben Projekts die compute.networkAdmin Rolle zu. Aktivieren Sie die Vertex AI API in diesem Projekt im Voraus, wenn es sich vom Dienstprojekt unterscheidet, in dem Sie Vertex AI verwenden.

Wenn Sie ein freigegebenes VPC-Netzwerk angeben, das Vertex AI verwenden soll und einen Netzwerkanhang in einem Dienstprojekt erstellen, weisen Sie dem Vertex AI-Dienst-Agenten im Dienstprojekt, in dem Sie Vertex AI verwenden, die compute.networkUser-Rolle für Ihr VPC-Hostprojekt zu.

Firewallregeln konfigurieren

Das System wendet Ingress-Firewallregeln in der Nutzer-VPC an, um die Kommunikation mit dem Subnetz des Netzwerkanhangs der Private Service Connect-Schnittstelle von Compute- und lokalen Endpunkten aus zu ermöglichen.

Das Konfigurieren von Firewallregeln ist optional. Wir empfehlen jedoch, allgemeine Firewallregeln festzulegen, wie in den folgenden Beispielen gezeigt.

  1. Erstellen Sie eine Firewallregel, die SSH-Zugriff auf TCP-Port 22 ermöglicht:

    gcloud compute firewall-rules create NETWORK-firewall1 \
    --network NETWORK \
    --allow tcp:22

  2. Erstellen Sie eine Firewallregel, die HTTPS-Traffic auf TCP-Port 443 zulässt:

    gcloud compute firewall-rules create NETWORK-firewall2 \
    --network NETWORK \
    --allow tcp:443

  3. Erstellen Sie eine Firewallregel, die ICMP-Traffic zulässt (z. B. Ping-Anfragen):

    gcloud compute firewall-rules create NETWORK-firewall3 \
    --network NETWORK \
    --allow icmp

Privates DNS-Peering einrichten

Damit Vertex AI-Trainingsjobs oder Vertex AI Agent Engine-Agents, die mit PSC-I konfiguriert wurden, private DNS-Einträge in von Kunden verwalteten Cloud DNS-Zonen auflösen können, bietet die Vertex AI API einen vom Nutzer konfigurierbaren Mechanismus, mit dem angegeben werden kann, mit welchen DNS-Domains Google-interne Ressourcen per Peering verbunden werden sollen. Nehmen Sie die folgenden zusätzlichen Konfigurationen vor:

  1. Weisen Sie dem AI Platform-Dienst-Agent Konto des Projekts, in dem Sie Vertex AI Training oder Vertex AI Agent Engine-Dienste verwenden, die DNS-Peer(roles/dns.peer)Rolle zu. Wenn Sie ein freigegebenes VPC-Netzwerk angeben, das Vertex AI verwenden soll, und einen Netzwerkanhang in einem Dienst projekt erstellen, weisen Sie dem AI Platform-Dienst-Agent im Dienstprojekt, in dem Sie Vertex AI verwenden, die DNS-Peer(roles/dns.peer) Rolle in Ihrem VPC-Hostprojekt zu.

  2. Erstellen Sie eine Firewallregel, die den gesamten ICMP-, TCP- und UDP-Traffic zulässt (optional):

    gcloud compute firewall-rules create NETWORK-firewall4 \
    --network NETWORK
    --allow tcp:0-65535,udp:0-65535,icmp
    --source-ranges IP_RANGES

  3. Richten Sie Ihre private DNS-Zone für die DNS-Auflösung und das Traffic-Routing ein. Informationen zum Hinzufügen von DNS-Einträgen zu Ihrer privaten DNS-Zone finden Sie unter Ressourceneintragssatz hinzufügen.

Fehlerbehebung

In diesem Abschnitt werden einige häufige Probleme bei der Konfiguration von Private Service Connect mit Vertex AI behandelt.

Wenn Sie Vertex AI mit einer freigegebene VPC konfigurieren, erstellen Sie den Netzwerkanhang im Dienstprojekt, in dem Sie Vertex AI verwenden. So lassen sich bestimmte Fehlermeldungen wie Please make sure that the Vertex AI API is enabled for the project vermeiden, da die erforderlichen Berechtigungen und APIs im richtigen Projekt aktiviert sind.

Nächste Schritte