关于访问 Vertex AI API

您的应用可以从 Google Cloud 内部或混合（本地和多云）网络连接到 Google 的生产环境中的 API。Google Cloud 提供了以下公共和专用访问选项，可提供全球可访问性和 SSL/TLS 安全性：

1. 公共互联网访问：将流量发送到 REGION-aiplatform.googleapis.com。
2. 适用于本地主机的专用 Google 访问通道：使用 IP 地址子网范围 199.36.153.8/30 (private.googleapis.com) 或 199.36.153.4/30 (restricted.googleapis.com) 访问 REGION-aiplatform.googleapis.com。
3. Google API 的 Private Service Connect 端点：使用用户定义的内部 IP 地址（例如 10.0.0.100）来访问 REGION-aiplatform.googleapis.com 或已分配的 DNS 名称（例如 aiplatform-genai1.p.googleapis.com）。

下图展示了这些访问选项。

一些 Vertex AI 服务提供方要求您通过专用服务访问通道或通过 Private Service Connect 端点连接到其服务。Vertex AI 的专用访问通道选项表中列出了这些服务。

对 Vertex AI API 的公共互联网访问

如果您的应用使用 Vertex AI 支持的访问方法表中列出的 Google 服务，则您的应用可以通过对服务端点 (REGION-aiplatform.googleapis.com) 执行 DNS 查找来访问 API，该端点会返回公共可路由的虚拟 IP 地址。只要有互联网连接，您就可以在世界任何地方使用该 API。但是，从 Google Cloud 资源发送到这些 IP 地址的流量仍保留在 Google 的网络中。

对 Vertex AI API 的专用访问

专用访问通道是通过互联网连接到 Google API 和服务的替代方案。它可提供更高的带宽、可靠性和一致的性能。 Google Cloud 支持通过混合网络服务（例如 Cloud Interconnect、Cross-Cloud Interconnect、HA VPN over Cloud Interconnect 和 SD-WAN）以专用方式访问 Google API。

适用于本地主机的专用 Google 访问权限

用于本地主机的专用 Google 访问通道提供了一种让本地系统可以通过混合网络服务路由流量来连接到 Google API 和服务的方法。

专用 Google 访问通道要求您使用 Cloud Router 将以下子网 IP 地址范围之一通告为自定义通告路由：

• private.googleapis.com：199.36.153.8/30、2600:2d00:0002:2000::/64
• restricted.googleapis.com：199.36.153.4/30、2600:2d00:0002:1000::/64

如需了解详情，请参阅配置适用于本地主机的专用 Google 访问通道。

Vertex AI API 的 Private Service Connect 端点

通过 Private Service Connect，您可以使用 VPC 网络中的全局内部 IP 地址创建专用端点。 您可以使用有意义的名称（例如 aiplatform-genai1.p.googleapis.com 和 bigtable-adsteam.p.googleapis.com）将这些 DNS 名称分配给这些内部 IP 地址。这些名称和 IP 地址均属于 VPC 网络以及通过混合网络服务连接到该网络的任何本地网络的内部资源。您可以控制要将哪些流量引导至哪个端点，并且可以证明流量保留在 Google Cloud中。

• 您可以创建用户定义的全球 Private Service Connect 端点 IP 地址 (/32)。如需了解详情，请参阅 IP 地址要求。
• 您可以在与 Cloud Router 相同的 VPC 网络中创建 Private Service Connect 端点。
• 您可以使用有意义的名称（例如 aiplatform-prodpsc.p.googleapis.com）将这些 DNS 名称分配给这些内部 IP 地址。如需了解详情，请参阅关于通过端点访问 Google API。

部署考虑事项

以下是一些重要的注意事项，它们会影响您使用专用 Google 访问通道和 Private Service Connect 访问 Vertex AI API 的方式。

IP 通告

您必须将专用 Google 访问通道子网范围或 Private Service Connect 端点 IP 地址从 Cloud Router 路由器通告给本地和多云环境作为自定义通告路由。如需了解详情，请参阅通告自定义 IP 范围。

防火墙规则

您必须确保本地和多云环境的防火墙配置允许从专用 Google 访问通道或 Private Service Connect 子网的 IP 地址发出的出站流量。

DNS 配置

• 您的本地网络必须配置 DNS 区域和记录，以便对 REGION-aiplatform.googleapis.com 的请求解析为专用 Google 访问通道子网或 Private Service Connect 端点 IP 地址。
• 您可以创建 Cloud DNS 托管专用区域并使用 Cloud DNS 入站服务器政策，也可以配置本地域名服务器。例如，您可以使用 BIND 或 Microsoft Active Directory DNS。
• 如果您的本地网络连接到 VPC 网络，您可以使用 Private Service Connect 和端点的内部 IP 地址从本地主机访问 Google API 和服务。如需了解详情，请参阅从本地主机访问端点。