I Controlli di servizio VPC possono aiutarti a ridurre il rischio di esfiltrazione di dati da Vertex AI. Utilizza Controlli di servizio VPC per creare un perimetro di servizio in grado di proteggere le risorse e i dati specificati. Ad esempio, quando utilizzi Controlli di servizio VPC per proteggere Vertex AI, i seguenti artefatti non possono lasciare il perimetro di servizio:
- Dati di addestramento per un modello AutoML o personalizzato
- I modelli che hai creato
- Modelli cercati mediante Neural Architecture Search
- Richieste di previsioni online
- Risultati di una richiesta di previsione batch
Creazione del perimetro di servizio
Quando crei un perimetro di servizio, includi Vertex AI
(aiplatform.googleapis.com) e Vertex AI Workbench
(notebooks.googleapis.com) come servizi protetti. Non è necessario includere
altri servizi per il funzionamento di Vertex AI. Tuttavia, Vertex AI non potrà raggiungere risorse al di fuori del perimetro, ad esempio i file in un bucket Cloud Storage all'esterno del perimetro.
Per ulteriori informazioni sulla creazione di un perimetro di servizio, consulta Creazione di un perimetro di servizio nella documentazione dei Controlli di servizio VPC.
Abilita Controlli di servizio VPC per il peering per configurare la rete VPC servicenetworking senza una route predefinita. Il nome è un po' fuorviante, perché non è esplicitamente una configurazione VPC-SC; è piuttosto comunemente utilizzato quando si utilizza VPC-SC. Senza la route predefinita, dal punto di vista della rete VPC servicenetworking.
- I pacchetti a
199.36.153.4/30(restricted.googleapis.com) vengono inviati al gateway internet predefinito della rete VPCservicenetworking. Questo perché il comando crea una route personalizzata per questa destinazione. La route predefinita (o le route più ampie) nella rete VPC del cliente può essere utilizzata per instradare il traffico dalla rete VPC
servicenetworkingalla rete VPC del cliente o a una rete on-premise connessa alla rete VPC del cliente. Affinché questo comando funzioni, devono essere soddisfatte le seguenti condizioni.- Le route nella rete VPC del cliente devono utilizzare hop successivi diversi da quello del gateway internet predefinito. Le route che utilizzano l'hop successivo del gateway internet predefinito non vengono mai scambiate in una relazione di peering di rete VPC.
- La rete VPC del cliente deve essere configurata in modo da esportare le route personalizzate del peering nella rete VPC
servicenetworking. La reteservicenetworkingè già configurata per importare route personalizzate nella relazione di peering.
Per ulteriori informazioni su questo argomento, consulta Configurare la connettività da Vertex AI ad altre reti.
Supporto dei Controlli di servizio VPC per le pipeline di ottimizzazione dell'IA generativa
Il supporto per i Controlli di servizio VPC viene fornito nella pipeline di ottimizzazione dei seguenti modelli:
text-bison for PaLM 2BERTT5
Limitazioni
Quando utilizzi Controlli di servizio VPC, si applicano le seguenti limitazioni:
- Per l'etichettatura dei dati, devi aggiungere gli indirizzi IP degli etichettatori a un livello di accesso.
- Per i componenti di pipeline di Google Cloud, i componenti avviano container che
controllano l'immagine di base per verificare tutti i requisiti. Se mancano dei requisiti, scaricali dal file Python (PyPI).
Il pacchetto KFP, così come gli eventuali pacchetti elencati nell'argomento
packages_to_install, sono i requisiti per un container. Se specifichi un requisito che non è presente nell'immagine di base (fornita o personalizzata), il componente non riuscirà se non sarà in grado di scaricare il requisito. - Quando utilizzi Controlli di servizio VPC con kernel personalizzati in Vertex AI Workbench, devi configurare il peering DNS per inviare richieste per
*.notebooks.googleusercontent.comalla subnet 199.36.153.8/30 (private.googleapis.com) anziché a 199.36.153.4/30 (restricted.googleapis.com).
Passaggi successivi
- Scopri di più sui Controlli di servizio VPC.
- Scopri di più sulla risoluzione dei problemi dei Controlli di servizio VPC.