Configurazione del peering di rete VPC

Puoi configurare Vertex AI per il peering con Virtual Private Cloud (VPC) per la connessione diretta alcune risorse di Vertex AI, tra cui:

Questa guida mostra come configurare il peering di rete VPC per eseguire il peering della tua rete con le risorse Vertex AI. Questa guida è consigliata per gli amministratori di rete che hanno già familiarità con Google Cloud concetti di networking.

Panoramica

Questa guida illustra le seguenti attività:

  • Configura l'accesso privato ai servizi per il VPC. Questo stabilisce una connessione in peering tra il tuo VPC e rete VPC condivisa.
  • Considera l'intervallo IP che devi prenotare per Vertex AI.
  • Se applicabile, esporta le route personalizzate in modo che Vertex AI possa importarle.

Prima di iniziare

  • Seleziona un VPC con cui eseguire il peering alle risorse di Vertex AI. Vertex AI può essere accoppiato con una sola rete per regione alla volta.
  • Seleziona o crea un progetto Google Cloud da utilizzare per Vertex AI.

  • Make sure that billing is enabled for your Google Cloud project.

  • Enable the Compute Engine API, Vertex AI API, and Service Networking APIs.

    Enable the APIs

  • Facoltativamente, puoi utilizzare VPC condiviso. Se utilizzi un VPC condiviso, di solito usa Vertex AI in una Google Cloud rispetto al progetto host VPC. Abilita l'API Compute Engine e le API Service Networking in entrambi i progetti. Scopri come eseguire il provisioning di un VPC condiviso.
  • Installa gcloud CLI se vuoi eseguire gcloud esempi in questa guida.

Ruoli obbligatori

Se non sei un proprietario o un editor del progetto, assicurati di disporre del ruolo Amministratore di rete Compute (roles/compute.networkAdmin), che include i ruoli richiesti per gestire le risorse di rete.

Peering con una rete on-premise

Per il peering di rete VPC con una rete on-premise, sono previsti passaggi aggiuntivi:

  1. Connetti la tua rete on-premise al VPC. Puoi utilizzare un tunnel VPN o un interconnessione.
  2. Configura le route personalizzate dalla VPC alla tua rete on-premise.
  3. Esporta le route personalizzate in modo che Vertex AI possa importarle.

Configura l'accesso privato ai servizi per il tuo VPC

Quando imposti l'accesso privato ai servizi, stabilisci una connessione privata tra la tua rete e una rete di proprietà di Google o di un servizio di terze parti (producer di servizi). In questo caso, Vertex AI è un produttore di servizi. Per configurare l'accesso privato ai servizi, prenoti un intervallo IP per i producer di servizi e poi crei una connessione in peering con Vertex AI.

Se hai già un VPC con l'accesso privato ai servizi configurato, vai all'esportazione delle route personalizzate.

  1. Imposta le variabili di ambiente per l'ID progetto, il nome del tuo intervallo riservato e il nome della rete. Se utilizzi un VPC condiviso, usa l'ID progetto del tuo VPC progetto host. In caso contrario, utilizza l'ID progetto del progetto Google Cloud che utilizzi per Vertex AI.
  2. Abilita le API richieste. Se utilizzi un VPC condiviso, consulta Utilizzare VPC condiviso con Vertex AI.
  3. Imposta un intervallo riservato utilizzando gcloud compute addresses create

  4. Stabilisci una connessione in peering tra il progetto host VPC e Service Networking di Google utilizzando gcloud services vpc-peerings connect.

    Per gli endpoint di previsione privati, è consigliabile prenotare almeno un blocco /21 per la subnet per il modello hosting. La prenotazione di un blocco più piccolo può comportare errori di deployment a causa di indirizzi IP insufficienti. Puoi scegliere di utilizzare indirizzi non RFC 1918 per il deployment.

    PROJECT_ID=YOUR_PROJECT_ID
gcloud config set project $PROJECT_ID

# This is for display only; you can name the range anything.
PEERING_RANGE_NAME=google-reserved-range

NETWORK=YOUR_NETWORK_NAME

# NOTE: `prefix-length=16` means a CIDR block with mask /16 will be
# reserved for use by Google services, such as Vertex AI.
gcloud compute addresses create $PEERING_RANGE_NAME \
  --global \
  --prefix-length=16 \
  --description="peering range for Google service" \
  --network=$NETWORK \
  --purpose=VPC_PEERING

# Create the VPC connection.
gcloud services vpc-peerings connect \
  --service=servicenetworking.googleapis.com \
  --network=$NETWORK \
  --ranges=$PEERING_RANGE_NAME \
  --project=$PROJECT_ID

Scopri di più su accesso privato ai servizi.

Utilizzare VPC condiviso con Vertex AI

Se utilizzi una VPC condivisa nel tuo progetto, scopri come eseguire il provisioning di una VPC condivisa e assicurati di completare i seguenti passaggi:

  1. Abilita l'API Compute Engine e le API Service Networking in il progetto host e di servizio. L'API Vertex AI deve essere abilitata per progetto di servizio.

  2. Crea la connessione in peering di rete VPC tra VPC e dai servizi Google all'interno del progetto host.

  3. Durante la creazione di Vertex AI, devi specificare il nome della rete a cui vuoi che Vertex AI abbia accesso al VPC condiviso.

  4. Verifica che l'account di servizio o utente utilizzato abbia il ruolo Utente di rete Compute (roles/compute.networkUser).

Prenotare intervalli IP per Vertex AI

Quando prenoti un intervallo IP per i produttori di servizi, l'intervallo può essere utilizzato da Vertex AI e da altri servizi. Se ti colleghi a più produttori di servizi che utilizzano lo stesso intervallo, alloca un intervallo più ampio per accomodarli, in modo da evitare l'esaurimento degli IP.

Scopri di più sugli intervalli IP stimati da prenotare per l'utilizzo di IP privato con indirizzi IP diversi di addestramento personalizzato.

Se un job viene avviato con il parametro seguente, verrà avviato in un ambiente gestito da Google rete connessa in peering con il tuo VPC e con altre reti collegate:

--network = "projects/${host_project}/global/networks/${network}"

Tutti i job che non devono accedere alle tue reti possono essere avviati senza questa dichiarazione, preservando così le allocazioni IP.

Esporta route personalizzate

Se utilizzi route personalizzate, devi esportarle in modo che Vertex AI possa importarle. Se non utilizzi route personalizzate, salta questa sezione.

Per esportare le route personalizzate, aggiornare la connessione in peering nel tuo VPC. L'esportazione delle route personalizzate invia tutte le route statiche e dinamiche idonee che si trovano nella rete VPC, ad esempio le route per la rete on-premise, alle reti dei producer di servizi (in questo caso Vertex AI). In questo modo vengono stabilite le connessioni necessarie e i job di addestramento possono inviare nuovamente il traffico alla tua rete on-premise.

Assicurati che la tua rete on-premise abbia route di ritorno agli intervalli di indirizzi IP assegnati per Vertex AI in modo che le risposte vengano reindirizzate correttamente a Vertex AI. Ad esempio, utilizza gli annunci route personalizzati di Cloud Router che includono gli intervalli di indirizzi IP di Vertex AI.

Scopri di più su connessioni private con reti on-premise.

Console

  1. Vai alla pagina Paritetà di rete VPC nella console Google Cloud.
    Vai alla pagina Peering di rete VPC
  2. Seleziona la connessione di peering da aggiornare.
  3. Fai clic su Modifica.
  4. Seleziona Esporta route personalizzate.

gcloud

  1. Trova il nome della connessione in peering da aggiornare. Se disponi di più connessioni in peering, ometti il flag --format.

    gcloud services vpc-peerings list \
  --network=$NETWORK \
  --service=servicenetworking.googleapis.com \
  --project=$PROJECT_ID \
  --format "value(peering)"

  2. Aggiorna la connessione in peering per esportare le route personalizzate.

    gcloud compute networks peerings update PEERING-NAME \
    --network=$NETWORK \
    --export-custom-routes \
    --project=$PROJECT_ID

Controllare lo stato delle connessioni in peering

Per verificare che le connessioni di peering siano attive, puoi elencarle utilizzando

gcloud compute networks peerings list --network $NETWORK

Dovresti vedere che lo stato del peering che hai appena creato è ACTIVE. Scopri di più sulle connessioni in peering attive.

Risoluzione dei problemi

Questa sezione elenca alcuni problemi comuni per la configurazione del peering di rete VPC con Vertex AI.

  • Quando configuri Vertex AI per utilizzare una rete VPC condiviso, specifica l'URI di rete nel seguente modo.

    "projects/YOUR_SHARED_VPC_HOST_PROJECT/global/networks/YOUR_SHARED_VPC_NETWORK"

  • Se specifichi una rete VPC condivisa da utilizzare per Vertex AI, assicurati che tutti gli attori utente o account di servizio per Vertex AI nel progetto di servizio abbiano il ruolo compute.networkUser concesso nel progetto host.

  • Assicurati di aver allocato un intervallo IP sufficiente per tutti i produttori di servizi a cui si connette la tua rete, incluso Vertex AI.

  • Se viene visualizzato il messaggio di errore IP_SPACE_EXHAUSTED, RANGES_EXHAUSTED o PEERING_RANGE_EXHAUSTED devi aumenta la quantità di IP disponibili indirizzi per la prenotazione servicenetworking nella tua rete. Puoi aggiungere un nuovo intervallo alla configurazione esistente del peering di rete VPC o eliminare alcune risorse Vertex AI per rilasciare gli indirizzi IP allocati.

  • Tempo di attesa della connessione: dopo aver esportato le route personalizzate, le connessioni da Vertex AI verranno indirizzate tramite la tua rete per raggiungere gli endpoint in altre reti. Tuttavia, questi endpoint potrebbero non passare attraverso la tua rete per inviare le risposte di nuovo a Vertex AI. Assicurati di aggiungere anche route statici o dinamici in queste reti per il percorso di ritorno all'intervallo IP allocato da Vertex AI.

  • Timeout connessione / errori Host non raggiungibile: poiché il peering transitivo non è supportato, le connessioni da Vertex AI non potrà raggiungere gli endpoint in altre reti che sono direttamente connesse in peering verso la rete, anche con l'opzione "Esporta route personalizzate" in un bucket in cui è abilitato il controllo delle versioni. Collaborare con l'amministratore di rete per assicurarti che non ci siano tentativi di instradare direttamente la tua rete da una rete in peering diretto a un'altra. Se necessario, puoi sostituire uno di questi hop di peering con una soluzione che supporti route statiche o dinamiche.

  • Errori DNS: host non raggiungibile: se il tuo job Vertex AI deve risolvere i nomi host nella tua VPC, assicurati di aver completato la configurazione per condividere le zone DNS private con i produttori di servizi.

Per ulteriori informazioni sulla risoluzione dei problemi, consulta la guida alla risoluzione dei problemi relativi al peering di rete VPC.

Passaggi successivi