As suas aplicações podem ligar-se a APIs no ambiente de produção da Google a partir de Google Cloud redesGoogle Cloud híbridas (no local e em várias nuvens) ou a partir destas. O Google Cloud oferece as seguintes opções de acesso público e privado, que oferecem acessibilidade global e segurança SSL/TLS:
- Acesso público à Internet: envie tráfego para
REGION-aiplatform.googleapis.com. - Acesso privado Google para anfitriões no local: use o intervalo de sub-redes de endereços IP
199.36.153.8/30(private.googleapis.com) ou199.36.153.4/30(restricted.googleapis.com) para aceder aREGION-aiplatform.googleapis.com. - Pontos finais do Private Service Connect para APIs Google: use um endereço IP interno definido pelo utilizador, como
10.0.0.100, para aceder aREGION-aiplatform.googleapis.comou a um nome DNS atribuído, comoaiplatform-genai1.p.googleapis.com.
O diagrama seguinte ilustra estas opções de acesso.
Alguns produtores de serviços da Vertex AI requerem que se ligue aos respetivos serviços através do acesso a serviços privados ou através de pontos finais do Private Service Connect. Estes serviços estão listados na tabela Opções de acesso privado para o Vertex AI.
Acesso público à Internet à API Vertex AI
Se a sua aplicação usar um serviço Google listado na tabela de métodos de acesso suportados para a Vertex AI, a sua aplicação pode aceder à API executando uma pesquisa de DNS no ponto final do serviço (REGION-aiplatform.googleapis.com), que devolve endereços IP virtuais encaminháveis publicamente. Pode usar a API a partir de qualquer localização no mundo, desde que tenha uma ligação à Internet.
No entanto, o tráfego enviado de Google Cloud recursos para esses endereços IP
permanece na rede da Google.
Acesso privado à API Vertex AI
O acesso privado é uma alternativa à ligação às APIs e aos serviços Google através da Internet. Oferece maior largura de banda, fiabilidade e desempenho consistente. Google Cloud Suporta as seguintes opções para aceder às APIs Google de forma privada através de serviços de rede híbrida, como o Cloud Interconnect, o Cross-Cloud Interconnect, a VPN de alta disponibilidade através do Cloud Interconnect e a SD-WAN.
Acesso privado Google para anfitriões no local
O acesso privado à Google para anfitriões no local oferece uma forma de os sistemas no local se ligarem às APIs e aos serviços Google através do encaminhamento do tráfego através de serviços de rede híbridos.
O acesso privado à Google requer que anuncie um dos seguintes intervalos de endereços IP de sub-rede como uma rota anunciada personalizada através do Cloud Router:
private.googleapis.com:199.36.153.8/30,2600:2d00:0002:2000::/64restricted.googleapis.com:199.36.153.4/30,2600:2d00:0002:1000::/64
Para mais informações, consulte o artigo Configure o acesso privado à Google para anfitriões no local.
Pontos finais do Private Service Connect para a API Vertex AI
Com o Private Service Connect, pode criar pontos finais privados
usando endereços IP internos globais na sua rede VPC.
Pode atribuir nomes DNS a estes endereços IP internos com nomes significativos, como aiplatform-genai1.p.googleapis.com e bigtable-adsteam.p.googleapis.com. Estes nomes e endereços IP são
internos à sua rede VPC e a quaisquer redes no local
que estejam ligadas a ela através de serviços de rede híbrida.
Pode controlar que tráfego é encaminhado para que ponto final e demonstrar que o tráfego permanece dentro do Google Cloud.
- Pode criar um endereço IP de ponto final do Private Service Connect global definido pelo utilizador (/32). Para mais informações, consulte os requisitos de endereço IP.
- Cria o ponto final do Private Service Connect na mesma rede VPC que o Cloud Router.
- Pode atribuir nomes DNS a estes endereços IP internos com nomes
significativos, como
aiplatform-prodpsc.p.googleapis.com. Para mais informações, consulte o artigo Acerca do acesso às APIs Google através de pontos finais.
Considerações sobre a implementação
Seguem-se algumas considerações importantes que afetam a forma como usa o acesso privado à Google e o Private Service Connect para aceder à API Vertex AI.
Acesso privado do Google
Como prática recomendada, deve ativar o acesso privado à Google nas sub-redes VPC para permitir que os recursos de computação (como as instâncias de VMs do Compute Engine e do GKE) que não têm endereços IP externos alcancem Google Cloud APIs e serviços (como o Vertex AI, o Cloud Storage e o BigQuery).
Publicidade de IP
Tem de anunciar o intervalo de sub-rede do acesso privado à Google ou o endereço IP do ponto final do Private Service Connect aos ambientes no local e de várias nuvens a partir do Cloud Router como uma rota anunciada personalizada. Para mais informações, consulte o artigo Anuncie intervalos de IP personalizados.
Regras de firewall
Tem de garantir que a configuração da firewall dos ambientes no local e de várias nuvens permite o tráfego de saída dos endereços IP do acesso privado à Google ou das sub-redes do Private Service Connect.
Configuração de DNS
- A sua rede no local tem de ter zonas e registos DNS configurados para que um pedido a
REGION-aiplatform.googleapis.comseja resolvido para o endereço IP da sub-rede de acesso privado à Google ou do ponto final do Private Service Connect. - Pode criar zonas privadas geridas do Cloud DNS e usar uma política de servidor de entrada do Cloud DNS, ou pode configurar servidores de nomes no local. Por exemplo, pode usar o BIND ou o DNS do Microsoft Active Directory.
- Se a sua rede no local estiver ligada a uma rede VPC, pode usar o Private Service Connect para aceder às APIs Google e aos serviços a partir de anfitriões no local através do endereço IP interno do ponto final. Para mais informações, consulte o artigo Aceda ao ponto final a partir de anfitriões no local.