En este documento, se describen las prácticas recomendadas para crear un entorno de red seguro y resiliente para las cargas de trabajo de AI Hypercomputer. Estas recomendaciones están dirigidas a arquitectos de red, ingenieros de red y desarrolladores que desean configurar e implementar cargas de trabajo de inteligencia artificial (IA) y aprendizaje automático (AA) en AI Hypercomputer.
Establece roles de IAM claros y restringidos
Configurar IAM de forma correcta ayuda a mejorar la seguridad y el éxito de tus implementaciones de AI Hypercomputer. En los entornos de producción, los permisos inadecuados o mal configurados pueden provocar fallas en la implementación. Las implementaciones de AI Hypercomputer, en especial las que usan
Cluster Toolkit, suelen fallar en
entornos con posturas de seguridad reforzadas en las que la cuenta de servicio predeterminada de Compute Engine
no tiene el rol amplio Editor.
Para ayudar a mitigar los problemas de implementación que puedan ocurrir debido a problemas de permisos, sigue las prácticas recomendadas que se indican en esta sección.
Usa cuentas de servicio dedicadas
Para mejorar la seguridad y el control, evita usar la cuenta de servicio predeterminada de Compute Engine. En su lugar, crea una cuenta de servicio dedicada para tu implementación de AI Hypercomputer.
Otorga los roles de IAM necesarios
Otorga los siguientes roles de IAM a la cuenta de servicio dedicada que creaste:
- Administrador de Compute (
roles/compute.admin): Proporciona control total de los recursos de Compute Engine. - Usuario de cuenta de servicio (
roles/iam.serviceAccountUser): Permite que la cuenta de servicio se adjunte a otros recursos, lo que es fundamental para herramientas como Packer cuando se compilan imágenes personalizadas. - Administrador de almacenamiento (
roles/storage.admin): Requiere acceso a los buckets de Cloud Storage y su administración, por ejemplo, para almacenar imágenes de Packer o cualquier otro artefacto. - Administrador de Logging (
roles/logging.admin): Permite que la cuenta de servicio configure el registro y vea los registros, lo que es esencial para la depuración.
Verifica los permisos antes de la implementación
Antes de iniciar una implementación, verifica que tu cuenta de servicio tenga los permisos necesarios. Ejecuta el gcloud projects get-iam-policy
comando:
gcloud projects get-iam-policy PROJECT_ID \
--flatten="bindings[].members" \ format='table(bindings.role)' \
--filter="bindings.members:serviceAccount:SERVICE_ACCOUNT_EMAIL"
Reemplaza lo siguiente:
PROJECT_ID: Es el ID de tu Google Cloud proyecto.SERVICE_ACCOUNT_EMAIL: Es la dirección de correo electrónico de la cuenta de servicio que deseas verificar.
Este comando enumera todos los roles otorgados a tu cuenta de servicio en el proyecto especificado. Asegúrate de que los roles que se enumeran en Otorga los roles de IAM necesarios se muestren en el resultado.
Restringe el acceso a la red pública y refuerza la configuración del firewall
Restringe el acceso a la red pública y refuerza la configuración del firewall para mejorar la seguridad. Esta práctica de seguridad fundamental mitiga el riesgo de reglas de firewall predeterminadas demasiado permisivas.
Las fallas en la configuración de la máquina virtual (VM) pueden ocurrir en entornos de producción debido a configuraciones restrictivas de firewall que no están presentes en las pruebas internas. Los ingenieros podrían tener dificultades para diagnosticar estas fallas sin conocer las reglas de firewall específicas.
Revisa y actualiza las reglas de firewall para minimizar la exposición directa a Internet. Para obtener más información sobre las reglas de firewall de VPC, consulta Reglas de firewall de VPC.
Estandariza la configuración predeterminada de la red interna
Estandariza la configuración predeterminada de la red interna para reducir los riesgos y los desafíos de configuración. Los comportamientos de red predeterminados pueden crear riesgos o desafíos de configuración en entornos complejos o reforzados por la seguridad. Google recomienda las siguientes configuraciones:
- Usa el DNS zonal: Para proyectos nuevos, establece el sistema de nombres de dominio (DNS) interno solo en DNS zonal. Este enfoque ayuda a reducir el impacto de una posible interrupción global del DNS. Para obtener más información sobre el uso del DNS zonal, consulta Descripción general del uso del DNS zonal.
- Inhabilita las direcciones IP externas: Cuando sea posible, inhabilita las direcciones IP externas. Antes de inhabilitar las direcciones IP, debes planificar y probar cuidadosamente en un entorno de etapa de pruebas, ya que algunos servicios, como los grupos de instancias administrados (MIGs) o los clústeres de GKE con nodos públicos, dependen de ellas. Para obtener más información sobre cómo limitar las direcciones IP públicas, consulta Cómo limitar las direcciones IP públicas en Google Cloud.
Resumen de prácticas recomendadas
En la siguiente tabla, se resumen las prácticas recomendadas de este documento.
| Tema | Tarea |
|---|---|
| IAM | Establece roles de IAM claros y restringidos |
| Firewall | Restringe el acceso a la red pública y refuerza la configuración del firewall |
| Configuración predeterminada de la red | Estandariza la configuración predeterminada de la red interna |
¿Qué sigue?
- Obtén más información sobre las prácticas recomendadas para usar cuentas de servicio.
- Obtén más información sobre las reglas de firewall de VPC.
- Obtén más información sobre la arquitectura de red de AI Hypercomputer.