Usar uma instância de notebooks gerenciada em um perímetro de serviço
Nesta página, descrevemos como usar o VPC Service Controls para configurar uma instância de notebooks gerenciados em um perímetro de serviço.
Antes de começar
Consulte a Visão geral do VPC Service Controls.
Crie uma rede VPC ou use a rede VPC padrão do projeto.
Criar e configurar o perímetro de serviço
Para criar e configurar o perímetro de serviço, faça o seguinte:
Crie um perímetro de serviço usando o VPC Service Controls. Esse perímetro protege os recursos gerenciados pelo Google dos serviços especificados por você. Ao criar o perímetro de serviço, faça o seguinte:
Quando você precisar adicionar projetos ao perímetro de serviço, inclua o que contém a instância de notebooks gerenciados.
Quando você precisar adicionar serviços ao perímetro, inclua a API Notebooks.
Se você criou o perímetro de serviço sem adicionar os projetos e serviços necessários, consulte Como gerenciar perímetros de serviço para saber como atualizá-lo.
Configurar entradas DNS usando o Cloud DNS
As instâncias de notebooks gerenciados do Vertex AI Workbench usam vários domínios que não são gerenciados por uma rede de nuvem privada virtual por padrão. Para garantir que a rede VPC processe corretamente as solicitações enviadas a esses domínios, use o Cloud DNS para adicionar registros DNS. Para mais informações sobre rotas VPC, consulte Rotas.
Para criar uma zona gerenciada para
um domínio, adicione uma entrada DNS que roteará a solicitação e execute
a transação para concluir as etapas a seguir.
Repita esses passos para cada um dos vários
domínios em que você processará solicitações, começando
com *.notebooks.googleapis.com.
No Cloud Shell ou em qualquer ambiente em que a Google Cloud CLI esteja instalada, insira os comandos da Google Cloud CLI a seguir.
-
Para criar uma zona gerenciada privada para um dos domínios que a rede VPC precisa gerenciar:
gcloud dns managed-zones create ZONE_NAME \ --visibility=private \ --networks=https://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME \ --dns-name=DNS_NAME \ --description="Description of your managed zone"
Substitua:
-
ZONE_NAME: um nome para a zona a ser criada. Você precisa usar uma zona separada para cada domínio. Esse nome de zona é usado em todas as etapas a seguir. -
PROJECT_ID: o ID do projeto que hospeda a rede VPC -
NETWORK_NAME: o nome da rede VPC que você criou anteriormente. -
DNS_NAME: a parte do nome de domínio que vem depois de*., com um ponto no fim. Por exemplo,*.notebooks.googleapis.comtem umDNS_NAMEdenotebooks.googleapis.com.
-
-
Inicie uma transação.
gcloud dns record-sets transaction start --zone=ZONE_NAME
-
Adicione o registro A DNS a seguir. Isso redireciona o tráfego para os endereços IP restritos do Google.
gcloud dns record-sets transaction add \ --name=DNS_NAME. \ --type=A 199.36.153.4 199.36.153.5 199.36.153.6 199.36.153.7 \ --zone=ZONE_NAME \ --ttl=300
-
Inclua o registro CNAME DNS a seguir para apontar para o registro A que você acabou de adicionar. Isso redireciona todo o tráfego que corresponde ao domínio para os endereços IP listados na etapa anterior.
gcloud dns record-sets transaction add \ --name=\*.DNS_NAME. \ --type=CNAME DNS_NAME. \ --zone=ZONE_NAME \ --ttl=300
-
Execute a transação.
gcloud dns record-sets transaction execute --zone=ZONE_NAME
-
Repita essas etapas para cada um dos domínios a seguir. Para cada repetição, altere ZONE_NAME e DNS_NAME para os valores apropriados para esse domínio. Mantenha PROJECT_ID e NETWORK_NAME sempre iguais. Você já concluiu essas etapas para
*.notebooks.googleapis.com.*.notebooks.googleapis.com*.notebooks.cloud.google.com*.notebooks.googleusercontent.com*.googleapis.compara executar um código que interage com outras APIs e serviços do Google
Usar o Artifact Registry no perímetro de serviço
Se você quiser usar o Artifact Registry no perímetro de serviço, consulte Configurar acesso restrito para clusters particulares do GKE.
Usar VPC compartilhada
Se você estiver usando uma VPC compartilhada,
será necessário adicionar o host e os projetos de serviço ao perímetro
de serviço. No projeto host, também é necessário conceder o
papel de Usuário da rede do Compute
(roles/compute.networkUser) ao
Agente de serviço de notebooks
no projeto de serviço. Para mais informações, consulte Como gerenciar
perímetros de serviço.
Acessar sua instância de notebooks gerenciados
No console Google Cloud , acesse a página Notebooks gerenciados.
Ao lado do nome da instância de notebooks gerenciados, clique em Abrir JupyterLab.
Se for a primeira vez que você acessou a interface de usuário do JupyterLab da instância de notebooks gerenciados, será necessário conceder permissão para acessar seus dados e autenticar sua instância de notebooks gerenciados.
Na caixa de diálogo Autenticar seu notebook gerenciado, clique no botão para receber um código de autenticação.
Escolha uma conta e clique em Permitir. Copie o código de autenticação.
Na caixa de diálogo Autenticar seu notebook gerenciado, cole o código de autenticação e clique em Autenticar.
Sua instância de notebooks gerenciados abre o JupyterLab.
Limitações
Tipo de identidade para políticas de entrada e saída
Ao especificar uma política de entrada ou saída para um perímetro de serviço,
não é possível usar ANY_SERVICE_ACCOUNT
ou ANY_USER_ACCOUNT como um tipo de identidade para
todos os Vertex AI Workbench operações.
Em vez disso, use ANY_IDENTITY como o tipo de identidade.
Como acessar o proxy de notebooks gerenciados em uma estação de trabalho sem Internet.
Para acessar instâncias de notebooks gerenciados em uma estação de trabalho com acesso limitado à Internet, verifique com seu administrador de TI se você consegue acessar os seguintes domínios:
*.accounts.google.com*.accounts.youtube.com*.googleusercontent.com*.kernels.googleusercontent.com*.gstatic.com*.notebooks.cloud.google.com*.notebooks.googleapis.com
Você precisa ter acesso a esses domínios para fazer a autenticação noGoogle Cloud. Consulte a seção anterior, Configurar suas entradas de DNS usando o Cloud DNS, para mais informações sobre configuração.
A seguir
- Saiba mais sobre o VPC Service Controls.