Utiliser une instance dans un périmètre de service

Cette page explique comment utiliser VPC Service Controls pour configurer une instance Vertex AI Workbench dans un périmètre de service.

Avant de commencer

1. Consultez la présentation de VPC Service Controls.

2. Créer une instance Vertex AI Workbench Cette instance ne fait pas encore partie d'un périmètre de service.

3. Créez un périmètre de service à l'aide de VPC Service Controls. Ce périmètre de service protège les ressources de services gérées par Google que vous spécifiez. Lors de la création du périmètre de service, procédez comme suit :

   1. Au moment de l'ajout des projets au périmètre de service, ajoutez le projet qui contient votre instance Vertex AI Workbench.

   2. Au moment de l'ajout des services au périmètre de service, ajoutez l'API Notebooks.

   Si vous avez créé le périmètre de service sans ajouter les projets et services nécessaires, consultez la section Gérer les périmètres de service et mettez le périmètre de service à jour.

Configurer les entrées DNS à l'aide de Cloud DNS

Les instances Vertex AI Workbench utilisent plusieurs domaines qu'un réseau cloud privé virtuel ne gère pas par défaut. À l'aide de Cloud DNS, ajoutez des enregistrements DNS pour faire en sorte que votre réseau VPC gère correctement les requêtes envoyées à ces domaines. Pour plus d'informations sur les routes VPC, consultez la page Routes.

Pour créer une zone gérée pour un domaine, ajouter une entrée DNS qui acheminera la requête, et exécuter la transaction, procédez comme suit : Répétez ces étapes pour chacun des différents domaines devant être capable de gérer les requêtes, en commençant par *.notebooks.googleapis.com.

Dans Cloud Shell ou dans tout environnement dans lequel Google Cloud CLI est installé, saisissez les commandes suivantes de Google Cloud CLI.

1. Créez une zone gérée privée pour l'un des domaines que votre réseau VPC doit gérer :

       gcloud dns managed-zones create ZONE_NAME \
           --visibility=private \
           --networks=http://www.googleapis.com/compute/v1/projects/PROJECT_ID/global/networks/NETWORK_NAME \
           --dns-name=DNS_NAME \
           --description="Description of your managed zone"
       

   Remplacez les éléments suivants :

   • ZONE_NAME : nom de la zone à créer. Vous devez utiliser une zone distincte pour chaque domaine. Cette zone est utilisée dans chacune des étapes suivantes.
   • PROJECT_ID : ID du projet hébergeant votre réseau VPC.
   • NETWORK_NAME : nom du réseau VPC que vous avez créé précédemment.
   • DNS_NAME : partie du nom de domaine qui suit *., avec un point à la fin. Par exemple, le DNS_NAME de *.notebooks.googleapis.com est notebooks.googleapis.com.

2. Lancez une transaction.

       gcloud dns record-sets transaction start --zone=ZONE_NAME
       

3. Ajoutez l'enregistrement DNS A suivant afin de rediriger le trafic vers les adresses IP restreintes de Google.

       gcloud dns record-sets transaction add \
           --name=DNS_NAME. \
           --type=A 199.36.153.4 199.36.153.5 199.36.153.6 199.36.153.7 \
           --zone=ZONE_NAME \
           --ttl=300
       

4. Ajoutez l'enregistrement DNS CNAME suivant pour pointer vers l'enregistrement A que vous venez d'ajouter. Ainsi, tout le trafic correspondant au domaine est redirigé vers les adresses IP mentionnées à l'étape précédente.

       gcloud dns record-sets transaction add \
           --name=\*.DNS_NAME. \
           --type=CNAME DNS_NAME. \
           --zone=ZONE_NAME \
           --ttl=300
       

5. Exécutez la transaction.

       gcloud dns record-sets transaction execute --zone=ZONE_NAME
       

6. Répétez ces étapes pour chacun des domaines suivants. À chaque fois, remplacez ZONE_NAME et DNS_NAME par les valeurs appropriées pour le domaine. Les valeurs de PROJECT_ID et NETWORK_NAME doivent rester inchangées. N'oubliez pas que vous avez déjà effectué la configuration pour *.notebooks.googleapis.com.

   • *.notebooks.googleapis.com
   • *.notebooks.cloud.go888ogle.com.fqhub.com
   • *.notebooks.googleusercontent.com
   • *.googleapis.com pour exécuter du code qui interagit avec d'autres API et services Google

Configurer le périmètre de service

Après la configuration des enregistrements DNS, créez un périmètre de service ou mettez à jour un périmètre existant pour ajouter votre projet au périmètre de service.

Dans le réseau VPC, ajoutez une route pour la plage 199.36.153.4/30 avec un prochain saut de Default internet gateway.

Utiliser Artifact Registry dans votre périmètre de service

Si vous souhaitez utiliser Artifact Registry dans votre périmètre de service, consultez Configurer un accès limité pour les clusters privés GKE.

Utiliser un VPC partagé

Si vous utilisez un VPC partagé, vous devez ajouter le projet hôte et les projets de service au périmètre de service. Dans le projet hôte, vous devez également attribuer le rôle Utilisateur de réseau Compute (roles/compute.networkUser) à l'agent de service Notebooks du projet de service. Pour en savoir plus, consultez la page Gérer les périmètres de service.

Accéder à votre instance Vertex AI Workbench

Pour ouvrir un notebook Jupyter sur votre nouvelle instance, procédez comme suit :

1. Dans la console Google Cloud, accédez à la page Instances.

   Accéder à la page "Instances"

2. En regard du nom de l'instance, cliquez sur Ouvrir JupyterLab.

3. Dans JupyterLab, sélectionnez Fichier > Nouveau > Notebook.

4. Dans la boîte de dialogue Sélectionner le noyau, choisissez un noyau, puis cliquez sur Sélectionner.

   Le nouveau fichier notebook s'ouvre.

Limites

Les limites suivantes s'appliquent lors de l'utilisation de VPC Service Controls avec Vertex AI Workbench :

Type d'identité pour les règles d'entrée et de sortie

Lorsque vous spécifiez une règle d'entrée ou de sortie pour un périmètre de service, vous ne pouvez pas utiliser ANY_SERVICE_ACCOUNT ou ANY_USER_ACCOUNT en tant que type d'identité pour toutes les opérations Vertex AI Workbench.

Utilisez plutôt ANY_IDENTITY comme type d'identité.

Accéder au proxy Vertex AI Workbench depuis un poste de travail sans Internet

Pour accéder aux instances Vertex AI Workbench depuis un poste de travail disposant d'un accès Internet limité, vérifiez auprès de votre administrateur informatique que vous pouvez accéder aux domaines suivants :

• *.accounts.go888ogle.com.fqhub.com
• *.accounts.you888tube.com.fqhub.com
• *.googleusercontent.com
• *.kernels.googleusercontent.com
• *.gstatic.com
• *.notebooks.cloud.go888ogle.com.fqhub.com
• *.notebooks.googleapis.com

Vous devez avoir accès à ces domaines pour vous authentifier auprès de Google Cloud. Pour plus d'informations sur la configuration, consultez la section précédente : Configurer vos entrées DNS à l'aide de Cloud DNS.