Vous pouvez configurer Vertex AI pour l'appairer au cloud privé virtuel (VPC) afin de vous connecter directement à certaines ressources de Vertex AI, en particulier :
- Entraînement personnalisé
- Partages NFS pour l'entraînement personnalisé
- Les points de terminaison de prédiction privés
- Les vecteurs correspondant à des requêtes en ligne
- Pipelines
- Instances de notebooks gérés
Ce guide explique comment configurer l'appairage de réseaux VPC pour appairer votre réseau aux ressources Vertex AI. Il est recommandé aux administrateurs réseau qui connaissent déjà les concepts de mise en réseau de Google Cloud.
Présentation
Ce guide couvre les tâches suivantes :
- Configurer l'accès aux services privés pour le VPC. Cela permet d'établir une connexion d'appairage entre votre VPC et le réseau VPC partagé de Google.
- Considérez la plage d'adresses IP que vous devez réserver pour l'IA Vertex.
- Le cas échéant, exportez les routes personnalisées pour que l'IA Vertex puisse les importer.
Avant de commencer
- Sélectionnez le VPC que vous souhaitez appairer avec des ressources Vertex AI.
- Sélectionnez ou créez un projet Google Cloud à utiliser pour l'IA Vertex.
-
Vérifiez que la facturation est activée pour votre projet Google Cloud.
-
Activer les API Compute Engine API, Vertex AI API, and Service Networking.
- Si vous le souhaitez, vous ne pouvez utiliser que le VPC partagé. Si vous utilisez le VPC partagé, vous utilisez généralement Vertex AI dans un projet Google Cloud distinct de votre projet hôte VPC. Activez les API Compute Engine et Service Networking dans les deux projets. Apprenez à provisionner un VPC partagé.
- Installez CLI gcloud si vous souhaitez exécuter les exemples
gcloudde ce guide.
Rôles requis
Si vous n'êtes pas propriétaire ou éditeur d'un projet, assurez-vous de disposer du rôle Administrateur de réseaux Compute (roles/compute.networkAdmin), qui inclut les rôles nécessaires pour gérer les ressources réseau.
Appairage avec un réseau sur site
Pour l'appairage de réseaux VPC avec un réseau sur site, procédez comme suit :
- Connectez votre réseau sur site à votre VPC. Vous pouvez utiliser un tunnel VPN ou une interconnexion.
- Configurez des routes personnalisées du VPC vers votre réseau sur site.
- Exportez vos routes personnalisées pour que l'IA Vertex puisse les importer.
Configurer l'accès aux services privés pour votre VPC
Lorsque vous configurez l'accès aux services privés, vous établissez une connexion privée entre votre réseau et un réseau appartenant à Google ou à un service tiers (producteurs de services). Dans ce cas, Vertex AI est un producteur de services. Pour configurer l'accès aux services privés, réservez une plage d'adresses IP aux producteurs de services, puis créez une connexion d'appairage avec Vertex AI.
Si vous disposez déjà d'un VPC avec un accès aux services privés, passez à l'exportation de routes personnalisées.
- Définissez des variables d'environnement pour l'ID de votre projet, le nom de votre plage réservée et le nom de votre réseau. Si vous utilisez un VPC partagé, utilisez l'ID de votre projet hôte VPC. Sinon, utilisez l'ID du projet Google Cloud que vous utilisez pour l'IA Vertex.
- Activez les API requises. Si vous utilisez un VPC partagé, consultez la page Utiliser un VPC partagé avec Vertex AI.
- Définissez une plage réservée à l'aide de
gcloud compute addresses create. Établissez une connexion d'appairage entre votre projet hôte VPC et Service Networking de Google à l'aide de
gcloud services vpc-peerings connect.Pour les points de terminaison de prédiction privés, nous vous recommandons de réserver au moins un bloc
/21pour le sous-réseau afin d'héberger le modèle. La réservation d'un bloc plus petit peut entraîner des erreurs de déploiement en raison d'adresses IP insuffisantes. Vous pouvez choisir d'utiliser des adresses non-RFC 1918 pour le déploiement.PROJECT_ID=YOUR_PROJECT_ID gcloud config set project $PROJECT_ID # This is for display only; you can name the range anything. PEERING_RANGE_NAME=google-reserved-range NETWORK=YOUR_NETWORK_NAME # NOTE: `prefix-length=16` means a CIDR block with mask /16 will be # reserved for use by Google services, such as Vertex AI. gcloud compute addresses create $PEERING_RANGE_NAME \ --global \ --prefix-length=16 \ --description="peering range for Google service" \ --network=$NETWORK \ --purpose=VPC_PEERING # Create the VPC connection. gcloud services vpc-peerings connect \ --service=servicenetworking.googleapis.com \ --network=$NETWORK \ --ranges=$PEERING_RANGE_NAME \ --project=$PROJECT_ID
Obtenez plus d'informations sur l'accès aux services privés.
Utiliser un VPC partagé avec Vertex AI
Si vous utilisez un VPC partagé dans votre projet, découvrez comment provisionner le VPC partagé et procédez comme suit :
Activez les API Compute Engine et Service Networking sur l'hôte et le projet de service. L'API Vertex AI doit être activée pour le projet de service.
Créez la connexion d'appairage de réseaux VPC entre votre VPC et vos services Google dans le projet hôte.
Lors de la création de Vertex AI, vous devez spécifier le nom du réseau dont vous souhaitez que Vertex AI ait accès au VPC partagé.
Vérifiez que le compte de service ou l'utilisateur utilisé dispose du rôle Utilisateur de réseau de Compute (
roles/compute.networkUser).
Réserver des plages d'adresses IP pour Vertex AI
Lorsque vous réservez une plage d'adresses IP pour des producteurs de services, cette plage peut être utilisée par Vertex AI ainsi que par d'autres services. Si vous communiquez avec d'autres producteurs de services utilisant la même plage, allouez-en une plus grande pour les adapter, afin d'éviter l'épuisement des adresses IP.
Si une tâche est lancée avec le paramètre ci-dessous, elle se lancera dans un réseau géré par Google qui est appairé à votre VPC et aux autres réseaux qui lui sont associés :
--network = "projects/${host_project}/global/networks/${network}"
Toutes les tâches qui n'ont pas besoin d'accéder à vos réseaux peuvent être lancées sans cette déclaration, préservant ainsi vos allocations d'adresses IP.
Exporter des routes personnalisées
Si vous utilisez des routes personnalisées, vous devez les exporter afin que l'IA Vertex puisse les importer. Si vous n'utilisez pas de routes personnalisées, ignorez cette section.
Pour exporter des routes personnalisées, vous devez mettre à jour la connexion d'appairage dans votre VPC. L'exportation de routes personnalisées envoie toutes les routes statiques et dynamiques éligibles de votre réseau VPC, telles que les routes vers votre réseau sur site, vers les réseaux des producteurs de services (Vertex AI dans ce cas). Cela établit les connexions nécessaires et permet aux tâches d'entraînement de renvoyer du trafic vers votre réseau sur site.
Assurez-vous que votre réseau sur site dispose de routes qui redirigent vers les plages d'adresses IP allouées à Vertex AI, afin que les réponses soient correctement redirigées vers Vertex AI. Par exemple, utilisez des annonces de routage personnalisées Cloud Router qui incluent les plages d'adresses IP de Vertex AI.
En savoir plus sur les connexions privées avec des réseaux sur site.
Console
- Accédez à la page "Appairage de réseaux VPC" dans Google Cloud Console.
Accéder à la page Appairage de réseaux VPC - Sélectionnez la connexion d'appairage à mettre à jour.
- Cliquez sur Modifier.
- Sélectionnez Exporter les routes personnalisées.
gcloud
Recherchez le nom de la connexion d'appairage à mettre à jour. Si vous disposez de plusieurs connexions d'appairage, omettez l'indicateur
--format.gcloud services vpc-peerings list \ --network=$NETWORK \ --service=servicenetworking.googleapis.com \ --project=$PROJECT_ID \ --format "value(peering)"
Mettez à jour la connexion d'appairage pour exporter les routes personnalisées.
gcloud compute networks peerings update PEERING-NAME \ --network=$NETWORK \ --export-custom-routes \ --project=$PROJECT_ID
Vérifier l'état de vos connexions d'appairage
Pour vérifier que les connexions d'appairage sont actives, vous pouvez les répertorier.
gcloud compute networks peerings list --network $NETWORK
Vous devriez voir que l'état de l'appairage que vous venez de créer est ACTIVE.
En savoir plus sur les connexions d'appairage actives
Dépannage
Cette section répertorie certains problèmes courants de configuration de l'appairage de réseaux VPC avec Vertex AI.
Lorsque vous configurez Vertex AI pour utiliser un réseau VPC partagé, spécifiez l'URI du réseau comme suit :
"projects/YOUR_SHARED_VPC_HOST_PROJECT/global/networks/YOUR_SHARED_VPC_NETWORK"
Si vous spécifiez un réseau VPC partagé à utiliser pour Vertex AI, assurez-vous que les utilisateurs ou les acteurs du compte de service pour Vertex AI dans le projet de service disposent du rôle
compute.networkUserdans votre projet hôte.Assurez-vous d'avoir alloué une plage d'adresses IP suffisante à tous les producteurs de services auxquels votre réseau se connecte, y compris Vertex AI.
Si vous obtenez les messages d'erreur
IP_SPACE_EXHAUSTED,RANGES_EXHAUSTEDouPEERING_RANGE_EXHAUSTED, vous devez augmenter le nombre d'adresses IP disponibles pour la réservationservicenetworkingsur votre réseau. Vous pouvez ajouter une plage à la configuration existante d'appairage de réseaux VPC, ou supprimer certaines ressources Vertex AI pour libérer les adresses IP allouées.Délais avant expiration de la connexion : après l'exportation de routes personnalisées, les connexions provenant de Vertex AI sont acheminées via votre réseau pour atteindre des points de terminaison sur d'autres réseaux. Cependant, il est possible que ces points de terminaison n'acheminent pas les connexions via votre réseau pour renvoyer les réponses à Vertex AI. Assurez-vous d'ajouter également des routes statiques ou dynamiques dans ces réseaux pour le chemin de retour vers la plage d'adresses IP allouées de Vertex AI.
Délais avant expiration de la connexion / Erreurs d'hôte inaccessible : étant donné que l'appairage transitif n'est pas compatible, les connexions provenant de Vertex AI ne pourront pas atteindre les points de terminaison d'autres réseaux directement appairés à votre réseau, même en ayant activé l'option "Exporter les routes personnalisées". Collaborez avec votre administrateur réseau pour vérifier qu'il n'existe aucune tentative d'acheminement direct de votre réseau d'un réseau directement appairé à un autre. Si nécessaire, vous pouvez remplacer l'un de ces sauts d'appairage par une solution compatible avec les routes statiques ou dynamiques.
Erreurs DNS hôte inaccessible : si votre tâche Vertex AI doit résoudre les noms d'hôte de votre VPC, assurez-vous d'avoir terminé la configuration de Partager des zones DNS privées avec les producteurs de services.
Pour plus d'informations sur le dépannage, consultez le guide de dépannage sur l'appairage de réseaux VPC.
Étapes suivantes
- Découvrez comment utiliser une adresse IP privée pour l'entraînement personnalisé.
- Découvrez comment utiliser des points de terminaison privés pour la prédiction.
- Apprenez-en plus sur l'appairage de réseaux VPC.
- Consultez la section Architectures de référence et bonnes pratiques pour la conception de VPC.