關於存取 Vertex AI API

應用程式可從 Google Cloud 內部或混合 (內部部署和多雲端) 網路連線至 Google 正式版環境中的 API。Google Cloud 提供下列公用和私人存取權選項，可提供全球可及性和 SSL/TLS 安全性：

1. 公開網際網路存取：將流量傳送至 REGION-aiplatform.googleapis.com。
2. 私人 Google 存取權 (適用於內部部署主機)：使用 IP 位址子網路範圍 199.36.153.8/30 (private.googleapis.com) 或 199.36.153.4/30 (restricted.googleapis.com) 存取 REGION-aiplatform.googleapis.com。
3. Google API 適用的 Private Service Connect 端點：使用使用者定義的內部 IP 位址 (例如 10.0.0.100) 存取 REGION-aiplatform.googleapis.com，或使用指派的 DNS 名稱 (例如 aiplatform-genai1.p.googleapis.com)。

下圖說明這些存取選項。

部分 Vertex AI 服務供應商要求您透過私人服務存取權或Private Service Connect 端點連線至其服務。這些服務列於「Vertex AI 的私人存取權選項」表格中。

透過公開網際網路存取 Vertex AI API

如果應用程式使用 Vertex AI 支援的存取方法表格中列出的 Google 服務，應用程式就能針對服務端點 (REGION-aiplatform.googleapis.com) 執行 DNS 查詢，並傳回可公開路由的虛擬 IP 位址。只要有網際網路連線，您就能在世界各地使用這個 API。不過，從 Google Cloud 資源傳送至這些 IP 位址的流量仍會保留在 Google 的網路內。

Vertex AI API 的私人存取權

私人存取權是透過網際網路連線至 Google API 和服務的替代方案。它可提供更高的頻寬、可靠性和一致的效能。 Google Cloud 支援下列選項，可透過混合式網路服務 (例如 Cloud Interconnect、Cross-Cloud Interconnect、採用 Cloud Interconnect 的高可用性 VPN 和 SD-WAN) 私下存取 Google API。

內部部署主機的私人 Google 存取

「內部部署主機的私人 Google 存取權」可讓內部部署系統透過混合式網路服務將流量路由，連線至 Google API 和服務。

私人 Google 存取權要求您使用 Cloud Router 宣告下列任一子網路 IP 位址範圍，做為自訂宣告路徑：

• private.googleapis.com：199.36.153.8/30、2600:2d00:0002:2000::/64
• restricted.googleapis.com：199.36.153.4/30、2600:2d00:0002:1000::/64

詳情請參閱「為內部部署主機設定私人 Google 存取權」。

Vertex AI API 的 Private Service Connect 端點

使用 Private Service Connect，您可以在虛擬私有雲網路中使用全域內部 IP 位址建立私人端點。您可以為這些內部 IP 位址指派 DNS 名稱，例如 aiplatform-genai1.p.googleapis.com 和 bigtable-adsteam.p.googleapis.com 等有意義的名稱。這些名稱和 IP 位址是虛擬私有雲網路的內部名稱和 IP 位址，以及透過混合式網路服務連線至該網路的任何地端部署網路。您可以控管哪些流量傳至哪個端點，並證實這些流量會留在 Google Cloud中。

• 您可以建立使用者定義的全球 Private Service Connect 端點 IP 位址 (/32)。詳情請參閱「IP 位址相關規定」。
• 您可以在與 Cloud Router 相同的 VPC 網路中建立 Private Service Connect 端點。
• 您可以為這些內部 IP 位址指派 DNS 名稱，例如 aiplatform-prodpsc.p.googleapis.com 等有意義的名稱。詳情請參閱「關於透過端點存取 Google API」。

部署考量事項

以下是一些重要考量事項，會影響您使用私人 Google 存取權和 Private Service Connect 存取 Vertex AI API 的方式。

私人 Google 存取權

最佳做法是在 VPC 子網路上啟用私人 Google 存取權，讓沒有外部 IP 位址的運算資源 (例如 Compute Engine 和 GKE VM 執行個體) 能夠連上 Google Cloud API 和服務 (例如 Vertex AI、Cloud Storage 和 BigQuery)。

IP 廣告

您必須透過 Cloud Router 將 Private Google Access 子網路範圍或 Private Service Connect 端點 IP 位址，做為自訂宣傳路徑，宣傳至內部部署和多雲環境。詳情請參閱「通告自訂 IP 範圍」。

防火牆規則

您必須確保內部部署和多雲環境的防火牆設定，允許來自私人 Google 存取權或 Private Service Connect 子網路 IP 位址的傳出流量。

DNS 設定

• 您的內部部署網路必須設定 DNS 區域和記錄，讓系統將對 REGION-aiplatform.googleapis.com 的要求解析為私人 Google 存取權子網路或Private Service Connect 端點 IP 位址。
• 您可以建立 Cloud DNS 代管不公開區域，並使用 Cloud DNS 傳入伺服器政策，也可以設定內部部署名稱伺服器。舉例來說，您可以使用 BIND 或 Microsoft Active Directory DNS。
• 如果內部部署網路已連線至虛擬私有雲網路，您可以使用 Private Service Connect，透過端點的內部 IP 位址，從內部部署主機存取 Google API 和服務。詳情請參閱「透過 on-premises 主機存取端點」。