Puoi configurare Vertex AI per il peering con Virtual Private Cloud (VPC) per connetterti direttamente a determinate risorse in Vertex AI, tra cui:
- Addestramento personalizzato
- Condivisioni NFS per l'addestramento personalizzato
- Endpoint di inferenza privati
- Ray su Vertex AI
- Corrispondenza vettoriale delle query online
- Pipeline
Questa guida mostra come configurare il peering di rete VPC per eseguire il peering della tua rete con le risorse Vertex AI. Questa guida è consigliata agli amministratori di rete che hanno già familiarità con i concetti di Google Cloud networking.
Panoramica
Questa guida tratta le seguenti attività:
- Configura l'accesso privato ai servizi per il VPC. In questo modo viene stabilita una connessione in peering tra il tuo VPC e la rete VPC condivisa di Google.
- Considera l'intervallo IP che devi riservare per Vertex AI.
- Se applicabile, esporta le route personalizzate in modo che Vertex AI possa importarle.
Prima di iniziare
- Seleziona un VPC di cui vuoi eseguire il peering con le risorse Vertex AI. Vertex AI può essere sottoposto a peering con una sola rete per regione alla volta.
- Seleziona o crea un progetto Google Cloud da utilizzare per Vertex AI.
-
Verify that billing is enabled for your Google Cloud project.
-
Enable the Compute Engine API, Vertex AI API, and Service Networking APIs.
- Facoltativamente, puoi utilizzare il VPC condiviso. Se utilizzi il VPC condiviso, in genere utilizzi Vertex AI in un progetto Google Cloud separato dal progetto host VPC. Abilita l'API Compute Engine e le API Service Networking in entrambi i progetti. Scopri come eseguire il provisioning del VPC condiviso.
- Installa gcloud CLI se vuoi eseguire gli esempi
gcloudin questa guida.
Ruoli obbligatori
Se non sei il proprietario o l'editor di un progetto, assicurati di disporre del
ruolo Amministratore di rete Compute
(roles/compute.networkAdmin), che
include i ruoli richiesti per gestire le risorse di rete.
Peering con una rete on-premise
Per il peering di rete VPC con una rete on-premise, sono necessari passaggi aggiuntivi:
- Collega la tua rete on-premise al tuo VPC. Puoi utilizzare un tunnel VPN o Interconnect.
- Configura le route personalizzate dalla rete VPC alla tua rete on-premise.
- Esporta le route personalizzate in modo che Vertex AI possa importarle.
Configura l'accesso privato ai servizi per il tuo VPC
Quando configuri l'accesso privato ai servizi, stabilisci una connessione privata tra la tua rete e una rete di proprietà di Google o di un servizio di terze parti (producer di servizi). In questo caso, Vertex AI è un producer di servizi. Per configurare l'accesso privato ai servizi, riserva un intervallo IP per i producer di servizi e poi crea una connessione in peering con Vertex AI.
Se hai già un VPC con l'accesso privato ai servizi configurato, vai a esportare le route personalizzate.
- Imposta le variabili di ambiente per l'ID progetto, il nome dell'intervallo riservato e il nome della rete. Se utilizzi un VPC condiviso, utilizza l'ID progetto del progetto host VPC. In caso contrario, utilizza l'ID progetto di Google Cloud progetto che utilizzi per Vertex AI.
- Abilita le API richieste. Se utilizzi VPC condiviso, consulta Utilizzare VPC condiviso con Vertex AI.
- Imposta un intervallo riservato utilizzando
gcloud compute addresses create. Stabilisci una connessione in peering tra il tuo progetto host VPC e Service Networking di Google utilizzando
gcloud services vpc-peerings connect.Per gli endpoint di inferenza privati, consigliamo di riservare almeno un blocco
/21per la subnet per l'hosting del modello. La prenotazione di un blocco più piccolo può causare errori di deployment a causa di indirizzi IP insufficienti.PROJECT_ID=YOUR_PROJECT_ID gcloud config set project $PROJECT_ID # This is for display only; you can name the range anything. PEERING_RANGE_NAME=google-reserved-range NETWORK=YOUR_NETWORK_NAME # NOTE: `prefix-length=16` means a CIDR block with mask /16 will be # reserved for use by Google services, such as Vertex AI. gcloud compute addresses create $PEERING_RANGE_NAME \ --global \ --prefix-length=16 \ --description="peering range for Google service" \ --network=$NETWORK \ --purpose=VPC_PEERING # Create the VPC connection. gcloud services vpc-peerings connect \ --service=servicenetworking.googleapis.com \ --network=$NETWORK \ --ranges=$PEERING_RANGE_NAME \ --project=$PROJECT_ID
Scopri di più sull'accesso privato ai servizi.
Utilizzare VPC condiviso con Vertex AI
Se utilizzi VPC condiviso nel tuo progetto, scopri come eseguire il provisioning di VPC condiviso e assicurati di completare i seguenti passaggi:
Abilitare le API Compute Engine e Service Networking nel progetto host e nel progetto di servizio. L'API Vertex AI deve essere abilitata per il progetto di servizio.
Crea la connessione di peering di rete VPC tra la tua rete VPC e i servizi Google all'interno del progetto host.
Durante la creazione di Vertex AI, devi specificare il nome della rete a cui vuoi che Vertex AI abbia accesso al VPC condiviso.
Verifica che il servizio o l'account utente utilizzato disponga del ruolo Utente di rete Compute (
roles/compute.networkUser).
Prenota intervalli IP per Vertex AI
Quando prenoti un intervallo IP per i produttori di servizi, l'intervallo può essere utilizzato da Vertex AI e altri servizi. Se ti connetti a più produttori di servizi utilizzando lo stesso intervallo, alloca un intervallo più ampio per ospitarli, in modo da evitare l'esaurimento degli IP.
Scopri di più sugli intervalli IP stimati da prenotare per l'utilizzo dell'IP privato con diversi tipi di job di addestramento personalizzato.
Se un job viene avviato con il seguente parametro, verrà avviato in una rete gestita da Google con peering alla tua rete VPC e ad altre reti collegate:
--network = "projects/${host_project}/global/networks/${network}"
I job che non devono accedere alle tue reti possono essere avviati senza questa dichiarazione, preservando così le tue allocazioni IP.
Esporta route personalizzate
Se utilizzi route personalizzate, devi esportarle in modo che Vertex AI possa importarle. Se non utilizzi route personalizzate, salta questa sezione.
Per esportare route personalizzate, devi aggiornare la connessione in peering nel tuo VPC. L'esportazione di route personalizzate invia tutte le route statiche e dinamiche idonee presenti nella tua rete VPC, ad esempio le route alla tua rete on-premise, alle reti dei producer di servizi (Vertex AI in questo caso). In questo modo vengono stabilite le connessioni necessarie e i job di addestramento possono inviare il traffico alla tua rete on-premise.
Assicurati che la tua rete on-premise abbia route di ritorno agli intervalli di indirizzi IP allocati per Vertex AI in modo che le risposte vengano reindirizzate correttamente a Vertex AI. Ad esempio, utilizza annunci di route personalizzati del router Cloud che includono gli intervalli di indirizzi IP di Vertex AI.
Scopri di più sulle connessioni private con reti on-premise.
Console
- Vai alla pagina Peering di rete VPC nella console Google Cloud .
Vai alla pagina Peering di rete VPC - Seleziona la connessione di peering da aggiornare.
- Fai clic su Modifica.
- Seleziona Esporta route personalizzate.
gcloud
Trova il nome della connessione di peering da aggiornare. Se hai più connessioni di peering, ometti il flag
--format.gcloud services vpc-peerings list \ --network=$NETWORK \ --service=servicenetworking.googleapis.com \ --project=$PROJECT_ID \ --format "value(peering)"
Aggiorna la connessione in peering per esportare le route personalizzate.
gcloud compute networks peerings update PEERING-NAME \ --network=$NETWORK \ --export-custom-routes \ --project=$PROJECT_ID
Controllare lo stato delle connessioni di peering
Per verificare che le connessioni di peering siano attive, puoi elencarle utilizzando il seguente comando:
gcloud compute networks peerings list --network $NETWORK
Dovresti vedere che lo stato del peering che hai appena creato è ACTIVE.
Scopri di più sulle connessioni di peering attive.
Risoluzione dei problemi
Questa sezione elenca alcuni problemi comuni relativi alla configurazione del peering di rete VPC con Vertex AI.
Quando configuri Vertex AI per utilizzare una rete VPC condiviso, specifica l'URI di rete nel seguente modo.
"projects/YOUR_SHARED_VPC_HOST_PROJECT/global/networks/YOUR_SHARED_VPC_NETWORK"
Se specifichi una rete VPC condiviso da utilizzare per Vertex AI, assicurati che a qualsiasi utente o attore del service account per Vertex AI nel progetto di servizio sia concesso il ruolo
compute.networkUsernel progetto host.Assicurati di aver allocato un intervallo IP sufficiente per tutti i produttori di servizi a cui si connette la tua rete, inclusa Vertex AI.
Se visualizzi i messaggi di errore
IP_SPACE_EXHAUSTED,RANGES_EXHAUSTEDoPEERING_RANGE_EXHAUSTED, devi aumentare la quantità di indirizzi IP disponibili per la prenotazioneservicenetworkingnella tua rete. Puoi aggiungere un nuovo intervallo alla configurazione di peering di rete VPC esistente o eliminare alcune risorse Vertex AI per rilasciare gli indirizzi IP allocati.Timeout di connessione: dopo l'esportazione delle route personalizzate, le connessioni da Vertex AI verranno instradate tramite la tua rete per raggiungere gli endpoint in altre reti. Tuttavia, questi endpoint potrebbero non passare attraverso la tua rete per inviare risposte indietro a Vertex AI. Assicurati di aggiungere anche route statiche o dinamiche in queste reti per il percorso di ritorno all'intervallo IP allocato di Vertex AI.
Timeout di connessione / Errori host non raggiungibile: poiché il peering transitivo non è supportato, le connessioni da Vertex AI non potranno raggiungere gli endpoint in altre reti con peering diretto alla tua rete, anche con l'opzione "Esporta route personalizzate" attivata. Collabora con l'amministratore di rete per assicurarti che non vengano effettuati tentativi di instradare direttamente la tua rete da una rete con peering diretto a un'altra. Se necessario, puoi sostituire uno di questi hop di peering con una soluzione che supporti route statiche o dinamiche.
Errori DNS host non raggiungibile: se il tuo job Vertex AI deve risolvere i nomi host nel tuo VPC, assicurati di aver completato la configurazione per condividere le zone DNS private con i produttori di servizi.
Se si verifica l'errore
Unable to create an instance within a Shared VPC network, consulta la sezione Risoluzione dei problemi di Vertex AI Workbench.Se visualizzi il messaggio di errore
For the peered network $network_name, couldn't find a free blocks in allocated IP ranges. This is needed to create the cluster., devi aumentare la quantità di intervalli allocati disponibili per il servizio. Puoi farlo nei seguenti modi:- Aggiungi un nuovo intervallo allocato alla tua rete e aggiungilo alla tua
connessione privata
servicenetworking-googleapis-com. Tieni presente che la dimensione minima dell'intervallo allocato richiesto è/18. - Elimina le risorse Vertex AI inutilizzate esistenti per rilasciare gli indirizzi IP allocati.
In alternativa, puoi prendere in considerazione la sostituzione del peering di rete VPC con una connessione di accesso privato ai servizi.
- Aggiungi un nuovo intervallo allocato alla tua rete e aggiungilo alla tua
connessione privata
Per ulteriori informazioni sulla risoluzione dei problemi, consulta la guida alla risoluzione dei problemi relativi al peering di rete VPC.
Passaggi successivi
- Scopri come utilizzare l'IP privato per l'addestramento personalizzato.
- Scopri come utilizzare gli endpoint privati per l'inferenza.
- Scopri di più sul peering di rete VPC.
- Consulta le architetture di riferimento e le best practice per la progettazione di VPC.