Tus aplicaciones pueden conectarse a las APIs del entorno de producción de Google desde Google Cloud o desde redes híbridas (on-premise y multinube). Google Cloud ofrece las siguientes opciones de acceso público y privado, que proporcionan accesibilidad global y seguridad SSL/TLS:
- Acceso público a Internet: envía tráfico a
REGION-aiplatform.googleapis.com. - Acceso privado a Google para hosts locales: usa el intervalo de subred de la dirección IP
199.36.153.8/30(private.googleapis.com) o199.36.153.4/30(restricted.googleapis.com) para acceder aREGION-aiplatform.googleapis.com. - Puntos finales de Private Service Connect para APIs de Google: usa una dirección IP interna definida por el usuario, como
10.0.0.100, para acceder aREGION-aiplatform.googleapis.como un nombre de DNS asignado, comoaiplatform-genai1.p.googleapis.com.
En el siguiente diagrama se muestran estas opciones de acceso.
Algunos productores de servicios de Vertex AI requieren que te conectes a sus servicios a través de acceso a servicios privados o de puntos finales de Private Service Connect. Estos servicios se enumeran en la tabla Opciones de acceso privado a Vertex AI.
Acceso a Internet público a la API Vertex AI
Si tu aplicación usa un servicio de Google que aparece en la tabla de métodos de acceso admitidos para Vertex AI, puede acceder a la API realizando una búsqueda de DNS en el endpoint del servicio (REGION-aiplatform.googleapis.com), que devuelve direcciones IP virtuales enrutables públicamente. Puedes usar la API desde cualquier lugar del mundo siempre que tengas conexión a Internet.
Sin embargo, el tráfico que se envía desde los recursos a esas direcciones IP permanece en la red de Google. Google Cloud
Acceso privado a la API Vertex AI
El acceso privado es una alternativa a la conexión a las APIs y los servicios de Google a través de Internet. Proporciona un mayor ancho de banda, fiabilidad y rendimiento constante. Google Cloud Admite las siguientes opciones para acceder a las APIs de Google de forma privada a través de servicios de redes híbridas, como Cloud Interconnect, Cross-Cloud Interconnect, HA VPN a través de Cloud Interconnect y SD-WAN.
Acceso privado de Google para hosts on‑premise
El acceso privado a Google para hosts locales permite que los sistemas locales se conecten a las APIs y los servicios de Google mediante el enrutamiento del tráfico a través de servicios de redes híbridas.
Para usar el acceso privado a Google, debe anunciar uno de los siguientes intervalos de direcciones IP de subred como una ruta anunciada personalizada mediante Cloud Router:
private.googleapis.com:199.36.153.8/30y2600:2d00:0002:2000::/64restricted.googleapis.com:199.36.153.4/30y2600:2d00:0002:1000::/64
Para obtener más información, consulta el artículo Configurar Acceso privado de Google para hosts on-premise.
Puntos finales de Private Service Connect para la API de Vertex AI
Con Private Service Connect, puedes crear endpoints privados con direcciones IP internas globales en tu red de VPC.
Puedes asignar nombres de DNS a estas direcciones IP internas con nombres significativos, como aiplatform-genai1.p.googleapis.com y bigtable-adsteam.p.googleapis.com. Estos nombres y direcciones IP son internos de tu red de VPC y de cualquier red local que esté conectada a ella a través de servicios de redes híbridas.
Puedes controlar qué tráfico llega a cada endpoint y demostrar que el tráfico se mantiene dentro de Google Cloud.
- Puedes crear una dirección IP de punto final de Private Service Connect global definida por el usuario (/32). Para obtener más información, consulta los requisitos de las direcciones IP.
- El endpoint de Private Service Connect se crea en la misma red de VPC que Cloud Router.
- Puedes asignar nombres de DNS a estas direcciones IP internas con nombres significativos, como
aiplatform-prodpsc.p.googleapis.com. Para obtener más información, consulta Información sobre el acceso a las APIs de Google a través de endpoints.
Consideraciones sobre la implementación
A continuación, se indican algunas consideraciones importantes que afectan a la forma en que usas el acceso privado a Google y Private Service Connect para acceder a la API Vertex AI.
Acceso privado de Google
Como práctica recomendada, debes habilitar el acceso privado de Google en las subredes de VPC para permitir que los recursos de computación (como las instancias de VM de Compute Engine y GKE) que no tienen direcciones IP externas accedan a las APIs y los servicios (como Vertex AI, Cloud Storage y BigQuery). Google Cloud
Anuncio de IP
Debes anunciar el intervalo de subred de Acceso privado a Google o la dirección IP del endpoint de Private Service Connect a los entornos on-premise y multicloud desde Cloud Router como una ruta anunciada personalizada. Para obtener más información, consulte Anunciar intervalos de direcciones IP personalizadas.
Reglas de cortafuegos
Debes asegurarte de que la configuración del cortafuegos de los entornos on-premise y multicloud permita el tráfico saliente desde las direcciones IP de las subredes de Acceso privado de Google o Private Service Connect.
Configuración de DNS
- Tu red local debe tener configuradas zonas y registros DNS para que una solicitud a
REGION-aiplatform.googleapis.comse resuelva en la dirección IP de la subred de acceso privado a Google o del punto final de Private Service Connect. - Puedes crear zonas privadas gestionadas de Cloud DNS y usar una política de servidor de entrada de Cloud DNS, o bien configurar servidores de nombres locales. Por ejemplo, puedes usar BIND o Microsoft Active Directory DNS.
- Si tu red on-premise está conectada a una red VPC, puedes usar Private Service Connect para acceder a las APIs y los servicios de Google desde hosts on-premise mediante la dirección IP interna del endpoint. Para obtener más información, consulta Acceder al endpoint desde hosts locales.