Zugriff auf die Vertex AI API

Ihre Anwendungen können innerhalb von Google Cloud oder aus Hybridnetzwerken (lokal und Multi-Cloud) eine Verbindung zu APIs in der Produktionsumgebung von Google herstellen. Google Cloud bietet die folgenden Optionen für den öffentlichen und privaten Zugriff, die globale Erreichbarkeit und SSL/TLS-Sicherheit bieten:

  1. Öffentlicher Internetzugang: Senden Sie Traffic an REGION-aiplatform.googleapis.com.
  2. Privater Google-Zugriff für lokale Hosts: Verwenden Sie den IP-Adressbereich-Subnetzbereich 199.36.153.8/30 (private.googleapis.com) oder 199.36.153.4/30 (restricted.googleapis.com), um auf REGION-aiplatform.googleapis.com zuzugreifen.
  3. Private Service Connect-Endpunkte für Google APIs: Verwenden Sie eine benutzerdefinierte interne IP-Adresse wie 10.0.0.100, um auf REGION-aiplatform.googleapis.com oder einen zugewiesenen DNS-Namen wie aiplatform-genai1.p.googleapis.com zuzugreifen.

Das folgende Diagramm veranschaulicht diese Zugriffsoptionen.

Architekturdiagramm für den Zugriff auf die Vertex AI API über öffentliche und private Methoden

Einige Vertex AI-Dienstersteller erfordern, dass Sie eine Verbindung zu ihren Diensten über den Zugriff auf private Dienste oder über Private Service Connect-Endpunkte herstellen. Diese Dienste sind in der Tabelle Optionen für den privaten Zugriff auf Vertex AI aufgeführt.

Öffentlicher Internetzugriff auf die Vertex AI API

Wenn Ihre Anwendung einen Google-Dienst verwendet, der in der Tabelle der unterstützten Zugriffsmethoden für Vertex AI aufgeführt ist, kann Ihre Anwendung auf die API zugreifen, indem Sie einen DNS-Lookup gegen den Dienstendpunkt (REGION-aiplatform.googleapis.com) durchführen, der öffentlich routingfähige virtuelle IP-Adressen zurückgibt. Sie können die API von überall auf der Welt aus verwenden, solange Sie eine Internetverbindung haben. Traffic, der von Google Cloud-Ressourcen an diese IP-Adressen gesendet wird, verbleibt jedoch im Google-Netzwerk.

Privater Zugriff auf die Vertex AI API

Der private Zugriff ist eine Alternative zum Herstellen einer Verbindung zu Google APIs und Google-Diensten über das Internet. Sie bietet eine höhere Bandbreite, Zuverlässigkeit und gleichbleibende Leistung. Google Cloud unterstützt die folgenden Optionen für den privaten Zugriff auf Google APIs über Hybrid-Netzwerkdienste wie Cloud Interconnect, Cross-Cloud Interconnect, HA VPN over Cloud Interconnect und SD-WAN.

Privater Google-Zugriff für lokale Hosts

Mit dem privaten Google-Zugriff für lokale Hosts können lokale Systeme eine Verbindung zu Google APIs und Google-Diensten herstellen, indem der Traffic über hybride Netzwerkdienste weitergeleitet wird.

Für den privater Google-Zugriff müssen Sie mit Cloud Router einen der folgenden IP-Adressbereiche des Subnetzes als benutzerdefinierte beworbene Route angeben:

  • private.googleapis.com: 199.36.153.8/30, 2600:2d00:0002:2000::/64
  • restricted.googleapis.com: 199.36.153.4/30, 2600:2d00:0002:1000::/64

Konfigurations-Informationen finden Sie unter Privaten Google-Zugriff für lokale Hosts konfigurieren.

Private Service Connect-Endpunkte für die Vertex AI API

Mit Private Service Connect können Sie private Endpunkte mit globalen internen IP-Adressen innerhalb Ihres VPC-Netzwerks erstellen. Sie können diesen internen IP-Adressen DNS-Namen mit aussagekräftigen Namen wie aiplatform-genai1.p.googleapis.com und bigtable-adsteam.p.googleapis.com zuweisen. Diese Namen und IP-Adressen sind intern in Ihrem VPC-Netzwerk und allen lokalen Netzwerken vergeben, die über Hybrid-Netzwerkdienste mit ihm verbunden sind. Sie können steuern, welcher Traffic an welchen Endpunkt geleitet wird, und ob der Traffic innerhalb der Google Cloud bleiben soll.

  • Sie können eine benutzerdefinierte globale IP-Adresse für den Private Service Connect-Endpunkt (/32) erstellen. Weitere Informationen finden Sie unter Anforderungen an IP-Adressen.
  • Sie erstellen den Private Service Connect-Endpunkt im selben VPC-Netzwerk wie den Cloud Router.
  • Sie können diesen internen IP-Adressen DNS-Namen mit aussagekräftigen Namen wie aiplatform-prodpsc.p.googleapis.com zuweisen. Weitere Informationen finden Sie unter Zugriff auf Google APIs über Endpunkte.

Überlegungen zur Bereitstellung

Im Folgenden finden Sie einige wichtige Aspekte, die sich darauf auswirken, wie Sie den privater Google-Zugriff und Private Service Connect für den Zugriff auf die Vertex AI API verwenden.

IP-Anzeigen

Sie müssen den Subnetzbereich des privater Google-Zugriff oder die IP-Adresse des Private Service Connect-Endpunkts vom Cloud Router als benutzerdefinierte beworbene Route an lokale und Multi-Cloud-Umgebungen ankündigen. Weitere Informationen finden Sie unter Benutzerdefinierte IP-Bereiche bewerben.

Firewallregeln

Die Firewallkonfiguration von lokalen und Multi-Cloud-Umgebungen muss ausgehenden Traffic von den IP-Adressen von Subnetzen für den privater Google-Zugriff oder Private Service Connect zulassen.

DNS-Konfiguration