הגדרת רשת

בדף הזה מוסבר על אפשרויות הרשת למכונות של מחברות מנוהלות ב-Vertex AI Workbench, ומוסבר איך להגדיר רשת.

המדריך הזה מיועד לאדמינים של רשתות שכבר מכירים את Google Cloud המושגים של רשתות.

סקירה כללית

במדריך הזה מוסבר איך להגדיר כל אחת מאפשרויות הרשת הבאות:

כברירת מחדל, מופעלת ברשת מנוהלת על ידי Google בדוגמה של מחברות מנוהלות. אם רוצים, אפשר במקום זאת לציין רשת של ענן וירטואלי פרטי (VPC) שנמצאת בפרויקט שלכם או רשת VPC משותפת שיש לכם גישה אליה. אם מציינים רשת VPC או רשת VPC משותפת, צריך חיבור של גישה פרטית לשירותים לרשת.

השוואה בין תכונות נתמכות

בטבלה הבאה מתוארות התכונות הנפוצות שנתמכות בכל אחת מהאפשרויות של הרשת.

תכונה רשת שמנוהלת על ידי Google רשת VPC בפרויקט של המכונה רשת VPC משותפת
כתובת IP חיצונית נתמך נתמך נתמך
כתובת IP פנימית נתמך נתמך נתמך
גישה פרטית ל-Google לא נתמך נתמך נתמך
VPC נתמך נתמך נתמך
קישור בין רשתות VPC שכנות (נדרש Service Networking) לא נתמך נתמך נתמך

שימוש ברשת ברירת המחדל שמנוהלת על ידי Google

רשת ברירת המחדל מנוהלת על ידי Google ולא נדרשת הגדרה נוספת כדי להגדיר אותה.

כשיוצרים מופע של מחברת מנוהלת עם רשת ברירת המחדל שמנוהלת על ידי Google, המופע נפרס בפרויקט דייר ומשתמש ב-VPC ובתת-רשת שמוגדרים כברירת מחדל.

כדי להוריד משאבים נוספים כמו חבילות Python או Conda, צריך כתובת IP חיצונית למופע של מחברת מנוהלת שמשתמש ברשת מנוהלת של Google כברירת מחדל.

חיבור המופע לרשת VPC באותו פרויקט

כדי לקשר מכונת מחברת מנוהלת לרשת VPC באותו פרויקט שבו נמצאת מכונת המחברת המנוהלת, מבצעים את השלבים הבאים.

כדי להשתמש באפשרות הזו, צריך להגדיר גישה לשירותים פרטיים.

לפני שמתחילים

  1. בוחרים פרויקט קיים או יוצרים פרויקט Google Cloud שבו ימוקם מופע המחברת המנוהלת.

    כניסה לדף לבחירת הפרויקט

  2. Verify that billing is enabled for your Google Cloud project.

  3. Enable the Compute Engine, Notebooks, and Service Networking APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  4. כדי להריץ את הדוגמאות של שורת הפקודה במדריך הזה, צריך להתקין את ה-CLI של gcloud.gcloud

הגדרת גישה לשירותים פרטיים עבור ה-VPC

כשמגדירים גישה לשירותים פרטיים, יוצרים חיבור פרטי בין הרשת שלכם לבין רשת שנמצאת בבעלות של Google או של שירות צד שלישי (ספקי שירותים). במקרה הזה, מכונות ה-notebook המנוהלות שלכם הן בעלות שירות מנוהל. כדי להגדיר גישה לשירותים פרטיים, צריך לשריין טווח כתובות IP בשביל בעלים של שירות מנוהל, ואז ליצור חיבור קישור בין רשתות שכנות (peering) עם מופע המחברות המנוהלות.

הגדרת מזהה הפרויקט

כדי להגדיר את מזהה הפרויקט, משתמשים בפקודה הבאה.

gcloud config set project PROJECT_ID
 מחליפים את PROJECT_ID במזהה הפרויקט של הפרויקט שבו יימצא מחברת מנוהלת. Google Cloud תצרו את המכונה מאוחר יותר.

הפעלת ממשקי ה-API

חשוב לוודא שהפעלתם את ממשקי ה-API הנדרשים.

יצירה או בחירה של VPC

  1. יוצרים VPC או בוחרים VPC קיים באזור נתמך של מחברות מנוהלות לשימוש עם מופע המחברות המנוהלות.

    אם כבר יש לכם VPC עם גישה לשירותים פרטיים, ואתם רוצים להשתמש ב-VPC הזה כדי ליצור חיבור Peering עם מכונת המחברות המנוהלות שלכם, אפשר לדלג אל יצירת מכונת מחברות מנוהלות.

    אם צריך ליצור VPC חדש, מריצים את הפקודות הבאות ב-CLI של gcloud:

    gcloud compute networks create VPC_NAME \
    --project=PROJECT_ID --subnet-mode=auto \
    --mtu=1460 --bgp-routing-mode=regional

gcloud compute firewall-rules create VPC_NAME-allow-icmp \
    --project=PROJECT_ID \
    --network=projects/PROJECT_ID/global/networks/VPC_NAME \
    --description=Allows\ ICMP\ connections\ from\ any\ source\ to\ any\ instance\ on\ the\ network. \
    --direction=INGRESS --priority=65534 --source-ranges=0.0.0.0/0 \
    --action=ALLOW --rules=icmp

gcloud compute firewall-rules create VPC_NAME-allow-internal \
    --project=PROJECT_ID \
    --network=projects/PROJECT_ID/global/networks/VPC_NAME \
    --description=Allows\ connections\ from\ any\ source\ in\ the\ network\ IP\ range\ to\ any\ instance\ on\ the\ network\ using\ all\ protocols. \
    --direction=INGRESS --priority=65534 --source-ranges=10.128.0.0/9 \
    --action=ALLOW --rules=all

gcloud compute firewall-rules create VPC_NAME-allow-rdp \
    --project=PROJECT_ID \
    --network=projects/PROJECT_ID/global/networks/VPC_NAME \
    --description=Allows\ RDP\ connections\ from\ any\ source\ to\ any\ instance\ on\ the\ network\ using\ port\ 3389. \
    --direction=INGRESS --priority=65534 --source-ranges=0.0.0.0/0 \
    --action=ALLOW --rules=tcp:3389

gcloud compute firewall-rules create VPC_NAME-allow-ssh \
    --project=PROJECT_ID \
    --network=projects/PROJECT_ID/global/networks/VPC_NAME \
    --description=Allows\ TCP\ connections\ from\ any\ source\ to\ any\ instance\ on\ the\ network\ using\ port\ 22. \
    --direction=INGRESS --priority=65534 --source-ranges=0.0.0.0/0 \
    --action=ALLOW --rules=tcp:22

    מחליפים את VPC_NAME בשם של ה-VPC.

יצירה והגדרה של רשומות DNS

מופעי מחברות מנוהלות של Vertex AI Workbench משתמשים בכמה דומיינים שרשת ענן וירטואלי פרטי (VPC) לא מטפלת בהם כברירת מחדל. כדי לוודא שרשת ה-VPC מטפלת נכון בבקשות שנשלחות לדומיינים האלה, צריך להשתמש ב-Cloud DNS כדי להוסיף רשומות DNS. מידע נוסף על מסלולי VPC זמין במאמר בנושא מסלולים.

כדי ליצור אזור מנוהל לדומיין, מוסיפים רשומת DNS שתנתב את הבקשה ותבצע את העסקה. לשם כך, מבצעים את השלבים הבאים. חוזרים על השלבים האלה לכל אחד מכמה דומיינים שצריך לטפל בבקשות עבורם, החל מ-*.notebooks.googleapis.com.

ב-Cloud Shell או בכל סביבה שבה מותקן Google Cloud CLI, מזינים את הפקודות הבאות של Google Cloud CLI.

  1. כדי ליצור אזור מנוהל פרטי לאחד מהדומיינים שרשת ה-VPC צריכה לטפל בהם: 

        gcloud dns managed-zones create ZONE_NAME \
        --visibility=private \
        --networks=https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME \
        --dns-name=DNS_NAME \
        --description="Description of your managed zone"

    מחליפים את מה שכתוב בשדות הבאים:

    • ZONE_NAME: שם האזור שרוצים ליצור. צריך להשתמש באזור נפרד לכל דומיין. השם של האזור הזה ישמש בכל אחד מהשלבים הבאים.
    • PROJECT_ID: מזהה הפרויקט שמארח את רשת ה-VPC
    • NETWORK_NAME: השם של רשת ה-VPC שיצרתם קודם
    • DNS_NAME: החלק של שם הדומיין שמופיע אחרי *., עם נקודה בסוף. לדוגמה, ל-*.notebooks.googleapis.com יש DNS_NAME בגובה notebooks.googleapis.com.

  2. מתחילים עסקה. 

        gcloud dns record-sets transaction start --zone=ZONE_NAME

  3. מוסיפים את רשומת ה-DNS A הבאה. הפעולה הזו מנתבת מחדש את התנועה לכתובות IP מוגבלות של Google. 

        gcloud dns record-sets transaction add \
        --name=DNS_NAME. \
        --type=A 199.36.153.4 199.36.153.5 199.36.153.6 199.36.153.7 \
        --zone=ZONE_NAME \
        --ttl=300

  4. מוסיפים את רשומת ה-DNS CNAME הבאה כדי להפנות לרשומת ה-A שזה עתה הוספתם. כל התנועה שתואמת לדומיין תופנה לכתובות ה-IP שמופיעות בשלב הקודם. 

        gcloud dns record-sets transaction add \
        --name=\*.DNS_NAME. \
        --type=CNAME DNS_NAME. \
        --zone=ZONE_NAME \
        --ttl=300

  5. מבצעים את העסקה. 

        gcloud dns record-sets transaction execute --zone=ZONE_NAME

  6. חוזרים על השלבים האלה לכל אחד מהדומיינים הבאים. בכל חזרה, משנים את ZONE_NAME ואת DNS_NAME לערכים המתאימים לדומיין. מקפידים על אותן הגדרות של PROJECT_ID ושל NETWORK_NAME בכל פעם. כבר השלמתם את השלבים האלה עבור *.notebooks.googleapis.com.

    • *.notebooks.googleapis.com
    • *.notebooks.cloud.google.com
    • *.notebooks.googleusercontent.com
    • *.googleapis.com כדי להריץ קוד שמקיים אינטראקציה עם Google APIs ושירותים אחרים של Google

שמירת טווחי כתובות IP למכונה של מחברות מנוהלות

כשמזמינים טווח כתובות IP לבעלי שירותים מנוהלים, אפשר להשתמש בטווח הזה במופע של מחברות מנוהלות ובשירותים אחרים. אם אתם מתכננים להתחבר למפיקי שירותים אחרים באמצעות אותו טווח, כדאי להקצות טווח גדול יותר כדי שלא תהיה חוסר בכתובות IP.

כדי להגדיר טווח שמור באמצעות gcloud compute addresses create, משתמשים בפקודה הבאה.

gcloud compute addresses create PEERING_RANGE_NAME \
    --global \
    --prefix-length=16 \
    --description="Managed notebooks range" \
    --network=NETWORK_NAME  \
    --purpose=VPC_PEERING

מחליפים את מה שכתוב בשדות הבאים:

  • PEERING_RANGE_NAME: השם של הטווח
  • NETWORK_NAME: השם של הרשת

ערך prefix-length של 16 מציין שבלוק CIDR עם מסכה של רשת משנה של /16 ישוריין לשימוש בשירותים של Google Cloud , כמו notebooks מנוהלים של Vertex AI Workbench.

כדי להימנע מהגדרה לא תקינה של רשת שירותים, צריך להשתמש במסכה של רשת משנה של /24 ומטה.

כדי לאמת את הכתובות, משתמשים בפקודה הבאה.

gcloud compute addresses list

יצירת חיבור פירינג

יוצרים קישור בין פרויקט מארח VPC לבין Service Networking של Google באמצעות gcloud services vpc-peerings connect.

gcloud services vpc-peerings connect \
    --service=servicenetworking.googleapis.com \
    --network=NETWORK_NAME \
    --ranges=PEERING_RANGE_NAME \
    --project=PROJECT_ID

כדי להציג את רשימת החיבורים בין רשתות, משתמשים בפקודה הבאה.

gcloud services vpc-peerings list --network=NETWORK_NAME

יצירת מופע של מחברת מנוהלת

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

  • USER_ACCOUNT: חשבון המשתמש בפורמט של כתובת אימייל.
  • MACHINE_TYPE: סוג המכונה, לדוגמה n1-standard-1.
  • PROJECT_ID: מזהה הפרויקט של מכון המחברות המנוהלות.
  • NETWORK_NAME: השם של רשת ה-VPC.
  • LOCATION: האזור של רשת ה-VPC.
  • NOTEBOOK_NAME: השם של מכון ה-Managed Notebooks.
  • SUBNET_NAME: השם של תת-הרשת ברשת ה-VPC.
  • PEERING_RANGE_NAME: אופציונלי. השם של טווח הקישור בין רשתות שכנות (peering) אם רוצים לציין אותו.

ה-method של ה-HTTP וכתובת ה-URL: 

POST https://notebooks.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/runtimes?runtimeId=NOTEBOOK_NAME

גוף בקשת JSON: 

{
  "access_config": {
    "access_type": "SINGLE_USER",
    "runtime_owner": "USER_ACCOUNT"
  },
  "virtual_machine": {
    "virtual_machine_config": {
      "machine_type": "MACHINE_TYPE",
      "network": "projects/PROJECT_ID/global/networks/NETWORK_NAME",
      "subnet":  "projects/PROJECT_ID/regions/LOCATION/subnetworks/SUBNET_NAME",
      "internal_ip_only": true,
      "reserved_ip_range": "PEERING_RANGE_NAME" # Optional
    }
  }
}

כדי לשלוח את הבקשה עליכם לבחור אחת מהאפשרויות הבאות:

curl

שומרים את גוף הבקשה בקובץ בשם request.json ומריצים את הפקודה הבאה: 

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://notebooks.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/runtimes?runtimeId=NOTEBOOK_NAME"

PowerShell

שומרים את גוף הבקשה בקובץ בשם request.json ומריצים את הפקודה הבאה: 

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://notebooks.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/runtimes?runtimeId=NOTEBOOK_NAME" | Select-Object -Expand Content
 

בדיקת הקישוריות

כדי לוודא שמופע מחברות מנוהלות מחובר לרשת ה-VPC, צריך לבצע את השלבים הבאים.

  1. במסוף Google Cloud , עוברים לדף קישור בין רשתות שכנות (peering) של רשת VPC.

    מעבר לקישור בין רשתות VPC שכנות (peering)

  2. בדף קישור בין רשתות שכנות (peering) של רשת VPC, מחפשים את החיבור.

ייצוא של נתיבים מותאמים אישית

אם אתם משתמשים בנתיבים בהתאמה אישית, אתם צריכים לייצא אותם כדי ש-notebooks מנוהלים של Vertex AI Workbench יוכלו לייבא אותם.

כדי לייצא נתיבים מותאמים אישית, צריך לעדכן את חיבור ה-Peering ב-VPC. כשמייצאים מסלולים מותאמים אישית, כל המסלולים הסטטיים והדינמיים שעומדים בדרישות שנמצאים ברשת ה-VPC, כמו מסלולים לרשת המקומית, מיוצאים לרשתות של ספקי שירות (במקרה הזה, מחברות מנוהלות). הפעולה הזו יוצרת את החיבורים הנדרשים ומאפשרת למופעים של מחברות מנוהלות לשלוח תעבורה חזרה לרשת המקומית.

כדי לפרסם את השם של חיבור ה-Peering שרוצים לעדכן, משתמשים בפקודה הבאה. אם יש לכם כמה חיבורי Peering, אל תכללו את הדגל --format.

gcloud services vpc-peerings list \
    --network=NETWORK_NAME \
    --service=servicenetworking.googleapis.com \
    --project=PROJECT_ID \
    --format "value(peering)"

כדי לעדכן את חיבור ה-Peering לייצוא של מסלולים בהתאמה אישית, משתמשים בפקודה הבאה.

gcloud compute networks peerings update PEERING_NAME \
    --network=NETWORK_NAME \
    --export-custom-routes \
    --project=PROJECT_ID

מחליפים את PEERING_NAME בשם של חיבור ה-peering.

בדיקת המצב של חיבורי ה-Peering

כדי לבדוק אם חיבורי ה-Peering פעילים, אפשר להציג אותם באמצעות הפקודה הבאה.

gcloud compute networks peerings list --network NETWORK_NAME

מוודאים שהמצב של חיבור ה-Peering שיצרתם הוא ACTIVE. מידע נוסף על חיבורי Peering פעילים

חיבור המכונה לרשת VPC משותפת

כדי לקשר מופע של מחברות מנוהלות לרשת VPC משותפת שיש לכם גישה אליה, צריך לבצע את השלבים הבאים.

כדי להשתמש באפשרות הזו, צריך להגדיר גישה לשירותים פרטיים.

לפני שמתחילים

  1. בוחרים פרויקט קיים או יוצרים פרויקט Google Cloud שבו ימוקם מופע המחברת המנוהלת.

    כניסה לדף לבחירת הפרויקט

  2. Verify that billing is enabled for your Google Cloud project.

  3. Enable the Compute Engine, Notebooks, and Service Networking APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

  4. כשמשתמשים ב-VPC משותף, מריצים את מכונת המחברות המנוהלות בפרויקט Google Cloud נפרד מפרויקט המארח של ה-VPC. חוזרים על השלבים הקודמים כדי להפעיל את Compute Engine API,‏ Notebooks API ו-Service Networking API בפרויקט המארח של ה-VPC. מידע נוסף על הקצאת VPC משותף

  5. כדי להריץ את הדוגמאות של שורת הפקודה במדריך הזה, צריך להתקין את ה-CLI של gcloud.gcloud

הגדרת גישה לשירותים פרטיים עבור ה-VPC

כשמגדירים גישה לשירותים פרטיים, יוצרים חיבור פרטי בין הרשת שלכם לבין רשת שנמצאת בבעלות של Google או של שירות צד שלישי (ספקי שירותים). במקרה הזה, מכונות ה-notebook המנוהלות שלכם הן בעלות שירות מנוהל. כדי להגדיר גישה לשירותים פרטיים, צריך לשריין טווח כתובות IP בשביל בעלים של שירות מנוהל, ואז ליצור חיבור קישור בין רשתות שכנות (peering) עם מופע המחברות המנוהלות.

הגדרת מזהה הפרויקט

כדי להגדיר את מזהה הפרויקט, משתמשים בפקודה הבאה.

gcloud config set project PROJECT_ID
 מחליפים את PROJECT_ID במזהה הפרויקט של הפרויקט המארח של ה-VPC. אם עדיין לא יצרתם את ה-VPC, השתמשו במזהה הפרויקט שבו הוא יופיע אחרי שייווצר.

הפעלת ממשקי ה-API

חשוב לוודא שהפעלתם את ממשקי ה-API הנדרשים בפרויקט המארח של ה-VPC ובפרויקט Google Cloud שבו תהיה מכונת המחברת המנוהלת.

יצירה או בחירה של VPC

  1. יוצרים VPC או בוחרים VPC קיים באזור נתמך של מחברות מנוהלות לשימוש עם מופע המחברות המנוהלות.

    אם כבר יש לכם VPC עם גישה לשירותים פרטיים, ואתם רוצים להשתמש ב-VPC הזה כדי ליצור חיבור Peering עם מכונת המחברות המנוהלות שלכם, אפשר לדלג אל יצירת מכונת מחברות מנוהלות.

    אם צריך ליצור VPC חדש, מריצים את הפקודות הבאות ב-CLI של gcloud:

    gcloud compute networks create VPC_NAME \
    --project=PROJECT_ID --subnet-mode=auto \
    --mtu=1460 --bgp-routing-mode=regional

gcloud compute firewall-rules create VPC_NAME-allow-icmp \
    --project=PROJECT_ID \
    --network=projects/PROJECT_ID/global/networks/VPC_NAME \
    --description=Allows\ ICMP\ connections\ from\ any\ source\ to\ any\ instance\ on\ the\ network. \
    --direction=INGRESS --priority=65534 --source-ranges=0.0.0.0/0 \
    --action=ALLOW --rules=icmp

gcloud compute firewall-rules create VPC_NAME-allow-internal \
    --project=PROJECT_ID \
    --network=projects/PROJECT_ID/global/networks/VPC_NAME \
    --description=Allows\ connections\ from\ any\ source\ in\ the\ network\ IP\ range\ to\ any\ instance\ on\ the\ network\ using\ all\ protocols. \
    --direction=INGRESS --priority=65534 --source-ranges=10.128.0.0/9 \
    --action=ALLOW --rules=all

gcloud compute firewall-rules create VPC_NAME-allow-rdp \
    --project=PROJECT_ID \
    --network=projects/PROJECT_ID/global/networks/VPC_NAME \
    --description=Allows\ RDP\ connections\ from\ any\ source\ to\ any\ instance\ on\ the\ network\ using\ port\ 3389. \
    --direction=INGRESS --priority=65534 --source-ranges=0.0.0.0/0 \
    --action=ALLOW --rules=tcp:3389

gcloud compute firewall-rules create VPC_NAME-allow-ssh \
    --project=PROJECT_ID \
    --network=projects/PROJECT_ID/global/networks/VPC_NAME \
    --description=Allows\ TCP\ connections\ from\ any\ source\ to\ any\ instance\ on\ the\ network\ using\ port\ 22. \
    --direction=INGRESS --priority=65534 --source-ranges=0.0.0.0/0 \
    --action=ALLOW --rules=tcp:22

    מחליפים את VPC_NAME בשם של ה-VPC.

יצירה והגדרה של רשומות DNS

מופעי מחברות מנוהלות של Vertex AI Workbench משתמשים בכמה דומיינים שרשת ענן וירטואלי פרטי (VPC) לא מטפלת בהם כברירת מחדל. כדי לוודא שרשת ה-VPC מטפלת נכון בבקשות שנשלחות לדומיינים האלה, צריך להשתמש ב-Cloud DNS כדי להוסיף רשומות DNS. מידע נוסף על מסלולי VPC זמין במאמר בנושא מסלולים.

כדי ליצור אזור מנוהל לדומיין, מוסיפים רשומת DNS שתנתב את הבקשה ותבצע את העסקה. לשם כך, מבצעים את השלבים הבאים. חוזרים על השלבים האלה לכל אחד מכמה דומיינים שצריך לטפל בבקשות עבורם, החל מ-*.notebooks.googleapis.com.

ב-Cloud Shell או בכל סביבה שבה מותקן Google Cloud CLI, מזינים את הפקודות הבאות של Google Cloud CLI.

  1. כדי ליצור אזור מנוהל פרטי לאחד מהדומיינים שרשת ה-VPC צריכה לטפל בהם: 

        gcloud dns managed-zones create ZONE_NAME \
        --visibility=private \
        --networks=https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME \
        --dns-name=DNS_NAME \
        --description="Description of your managed zone"

    מחליפים את מה שכתוב בשדות הבאים:

    • ZONE_NAME: שם האזור שרוצים ליצור. צריך להשתמש באזור נפרד לכל דומיין. השם של האזור הזה ישמש בכל אחד מהשלבים הבאים.
    • PROJECT_ID: מזהה הפרויקט שמארח את רשת ה-VPC
    • NETWORK_NAME: השם של רשת ה-VPC שיצרתם קודם
    • DNS_NAME: החלק של שם הדומיין שמופיע אחרי *., עם נקודה בסוף. לדוגמה, ל-*.notebooks.googleapis.com יש DNS_NAME בגובה notebooks.googleapis.com.

  2. מתחילים עסקה. 

        gcloud dns record-sets transaction start --zone=ZONE_NAME

  3. מוסיפים את רשומת ה-DNS A הבאה. הפעולה הזו מנתבת מחדש את התנועה לכתובות IP מוגבלות של Google. 

        gcloud dns record-sets transaction add \
        --name=DNS_NAME. \
        --type=A 199.36.153.4 199.36.153.5 199.36.153.6 199.36.153.7 \
        --zone=ZONE_NAME \
        --ttl=300

  4. מוסיפים את רשומת ה-DNS CNAME הבאה כדי להפנות לרשומת ה-A שזה עתה הוספתם. כל התנועה שתואמת לדומיין תופנה לכתובות ה-IP שמופיעות בשלב הקודם. 

        gcloud dns record-sets transaction add \
        --name=\*.DNS_NAME. \
        --type=CNAME DNS_NAME. \
        --zone=ZONE_NAME \
        --ttl=300

  5. מבצעים את העסקה. 

        gcloud dns record-sets transaction execute --zone=ZONE_NAME

  6. חוזרים על השלבים האלה לכל אחד מהדומיינים הבאים. בכל חזרה, משנים את ZONE_NAME ואת DNS_NAME לערכים המתאימים לדומיין. מקפידים על אותן הגדרות של PROJECT_ID ושל NETWORK_NAME בכל פעם. כבר השלמתם את השלבים האלה עבור *.notebooks.googleapis.com.

    • *.notebooks.googleapis.com
    • *.notebooks.cloud.google.com
    • *.notebooks.googleusercontent.com
    • *.googleapis.com כדי להריץ קוד שמקיים אינטראקציה עם Google APIs ושירותים אחרים של Google

שמירת טווחי כתובות IP למכונה של מחברות מנוהלות

כשמזמינים טווח כתובות IP לבעלי שירותים מנוהלים, אפשר להשתמש בטווח הזה במופע של מחברות מנוהלות ובשירותים אחרים. אם אתם מתכננים להתחבר לבעלים של שירות מנוהל אחרים באמצעות אותו טווח, כדאי להקצות טווח גדול יותר כדי לאפשר זאת, וכדי להימנע ממיצוי של כתובות ה-IP.

כדי להגדיר טווח שמור באמצעות gcloud compute addresses create, משתמשים בפקודה הבאה.

gcloud compute addresses create PEERING_RANGE_NAME \
    --global \
    --prefix-length=16 \
    --description="Managed notebooks range" \
    --network=NETWORK_NAME  \
    --purpose=VPC_PEERING

מחליפים את מה שכתוב בשדות הבאים:

  • PEERING_RANGE_NAME: השם של הטווח
  • NETWORK_NAME: השם של הרשת

ערך prefix-length של 16 מציין שבלוק CIDR עם מסכה של רשת משנה של /16 ישוריין לשימוש בשירותים של Google Cloud , כמו notebooks מנוהלים של Vertex AI Workbench.

כדי להימנע מהגדרה לא תקינה של רשת שירותים, צריך להשתמש במסכה של רשת משנה של /24 ומטה.

כדי לאמת את הכתובות, משתמשים בפקודה הבאה.

gcloud compute addresses list

יצירת חיבור פירינג

יוצרים קישור בין פרויקט מארח VPC לבין Service Networking של Google באמצעות gcloud services vpc-peerings connect.

gcloud services vpc-peerings connect \
    --service=servicenetworking.googleapis.com \
    --network=NETWORK_NAME \
    --ranges=PEERING_RANGE_NAME \
    --project=PROJECT_ID

כדי להציג את רשימת החיבורים בין רשתות, משתמשים בפקודה הבאה.

gcloud services vpc-peerings list --network=NETWORK_NAME

יצירת מופע של מחברת מנוהלת

לפני שמשתמשים בנתוני הבקשה, צריך להחליף את הנתונים הבאים:

  • USER_ACCOUNT: חשבון המשתמש בפורמט של כתובת אימייל.
  • MACHINE_TYPE: סוג המכונה, לדוגמה n1-standard-1.
  • PROJECT_ID: מזהה הפרויקט של מכון המחברות המנוהלות.
  • NETWORK_NAME: השם של רשת ה-VPC.
  • LOCATION: האזור של רשת ה-VPC.
  • NOTEBOOK_NAME: השם של מכון ה-Managed Notebooks.
  • SUBNET_NAME: השם של תת-הרשת ברשת ה-VPC.
  • PEERING_RANGE_NAME: אופציונלי. השם של טווח הקישור בין רשתות שכנות (peering) אם רוצים לציין אותו.

ה-method של ה-HTTP וכתובת ה-URL: 

POST https://notebooks.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/runtimes?runtimeId=NOTEBOOK_NAME

גוף בקשת JSON: 

{
  "access_config": {
    "access_type": "SINGLE_USER",
    "runtime_owner": "USER_ACCOUNT"
  },
  "virtual_machine": {
    "virtual_machine_config": {
      "machine_type": "MACHINE_TYPE",
      "network": "projects/PROJECT_ID/global/networks/NETWORK_NAME",
      "subnet":  "projects/PROJECT_ID/regions/LOCATION/subnetworks/SUBNET_NAME",
      "internal_ip_only": true,
      "reserved_ip_range": "PEERING_RANGE_NAME" # Optional
    }
  }
}

כדי לשלוח את הבקשה עליכם לבחור אחת מהאפשרויות הבאות:

curl

שומרים את גוף הבקשה בקובץ בשם request.json ומריצים את הפקודה הבאה: 

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://notebooks.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/runtimes?runtimeId=NOTEBOOK_NAME"

PowerShell

שומרים את גוף הבקשה בקובץ בשם request.json ומריצים את הפקודה הבאה: 

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://notebooks.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/runtimes?runtimeId=NOTEBOOK_NAME" | Select-Object -Expand Content
 

בדיקת הקישוריות

כדי לוודא שמופע מחברות מנוהלות מחובר לרשת ה-VPC המשותפת, צריך לבצע את השלבים הבאים.

  1. במסוף Google Cloud , עוברים לדף קישור בין רשתות שכנות (peering) של רשת VPC.

    מעבר לקישור בין רשתות VPC שכנות (peering)

  2. בדף קישור בין רשתות שכנות (peering) של רשת VPC, מחפשים את החיבור.

ייצוא של נתיבים מותאמים אישית

אם אתם משתמשים בנתיבים בהתאמה אישית, אתם צריכים לייצא אותם כדי ש-notebooks מנוהלים של Vertex AI Workbench יוכלו לייבא אותם.

כדי לייצא נתיבים מותאמים אישית, צריך לעדכן את חיבור ה-Peering ב-VPC. כשמייצאים מסלולים מותאמים אישית, כל המסלולים הסטטיים והדינמיים שעומדים בדרישות שנמצאים ברשת ה-VPC, כמו מסלולים לרשת המקומית, מיוצאים לרשתות של ספקי שירות (במקרה הזה, מחברות מנוהלות). הפעולה הזו יוצרת את החיבורים הדרושים ומאפשרת למופעים של מחברות מנוהלות לשלוח תעבורה חזרה לרשת המקומית.

כדי לפרסם את השם של חיבור ה-Peering שרוצים לעדכן, משתמשים בפקודה הבאה. אם יש לכם כמה חיבורי Peering, אל תכללו את הדגל --format.

gcloud services vpc-peerings list \
    --network=NETWORK_NAME \
    --service=servicenetworking.googleapis.com \
    --project=PROJECT_ID \
    --format "value(peering)"

כדי לעדכן את חיבור ה-Peering לייצוא של מסלולים בהתאמה אישית, משתמשים בפקודה הבאה.

gcloud compute networks peerings update PEERING_NAME \
    --network=NETWORK_NAME \
    --export-custom-routes \
    --project=PROJECT_ID

מחליפים את PEERING_NAME בשם של חיבור ה-peering.

בדיקת המצב של חיבורי ה-Peering

כדי לבדוק אם חיבורי ה-Peering פעילים, אפשר להציג אותם באמצעות הפקודה הבאה.

gcloud compute networks peerings list --network NETWORK_NAME

מוודאים שהמצב של חיבור ה-Peering שיצרתם הוא ACTIVE. מידע נוסף על חיבורי Peering פעילים

המאמרים הבאים