Ihre Anwendungen können innerhalb von Google Cloud oder aus Hybridnetzwerken (lokal und Multi-Cloud) eine Verbindung zu APIs in der Produktionsumgebung von Google herstellen. Google Cloud bietet die folgenden Optionen für den öffentlichen und privaten Zugriff, die globale Erreichbarkeit und SSL/TLS-Sicherheit bieten:
- Öffentlicher Internetzugang: Senden Sie Traffic an
REGION-aiplatform.googleapis.com
. - Privater Google-Zugriff für lokale Hosts: Verwenden Sie den IP-Adressbereich-Subnetzbereich
199.36.153.8/30
(private.googleapis.com) oder199.36.153.4/30
(restricted.googleapis.com), um aufREGION-aiplatform.googleapis.com
zuzugreifen. - Private Service Connect-Endpunkte für Google APIs: Verwenden Sie eine benutzerdefinierte interne IP-Adresse wie
10.0.0.100
, um aufREGION-aiplatform.googleapis.com
oder einen zugewiesenen DNS-Namen wieaiplatform-genai1.p.googleapis.com
zuzugreifen.
Das folgende Diagramm veranschaulicht diese Zugriffsoptionen.
Einige Vertex AI-Dienstersteller erfordern, dass Sie eine Verbindung zu ihren Diensten über den Zugriff auf private Dienste oder über Private Service Connect-Endpunkte herstellen. Diese Dienste sind in der Tabelle Optionen für den privaten Zugriff auf Vertex AI aufgeführt.
Öffentlicher Internetzugriff auf die Vertex AI API
Wenn Ihre Anwendung einen Google-Dienst verwendet, der in der Tabelle der unterstützten Zugriffsmethoden für Vertex AI aufgeführt ist, kann Ihre Anwendung auf die API zugreifen, indem Sie einen DNS-Lookup gegen den Dienstendpunkt (REGION-aiplatform.googleapis.com
) durchführen, der öffentlich routingfähige virtuelle IP-Adressen zurückgibt. Sie können die API von überall auf der Welt aus verwenden, solange Sie eine Internetverbindung haben.
Traffic, der von Google Cloud-Ressourcen an diese IP-Adressen gesendet wird, verbleibt jedoch im Google-Netzwerk.
Privater Zugriff auf die Vertex AI API
Der private Zugriff ist eine Alternative zum Herstellen einer Verbindung zu Google APIs und Google-Diensten über das Internet. Sie bietet eine höhere Bandbreite, Zuverlässigkeit und gleichbleibende Leistung. Google Cloud unterstützt die folgenden Optionen für den privaten Zugriff auf Google APIs über Hybrid-Netzwerkdienste wie Cloud Interconnect, Cross-Cloud Interconnect, HA VPN over Cloud Interconnect und SD-WAN.
Privater Google-Zugriff für lokale Hosts
Mit dem privaten Google-Zugriff für lokale Hosts können lokale Systeme eine Verbindung zu Google APIs und Google-Diensten herstellen, indem der Traffic über hybride Netzwerkdienste weitergeleitet wird.
Für den privater Google-Zugriff müssen Sie mit Cloud Router einen der folgenden IP-Adressbereiche des Subnetzes als benutzerdefinierte beworbene Route angeben:
private.googleapis.com
:199.36.153.8/30
,2600:2d00:0002:2000::/64
restricted.googleapis.com
:199.36.153.4/30
,2600:2d00:0002:1000::/64
Konfigurations-Informationen finden Sie unter Privaten Google-Zugriff für lokale Hosts konfigurieren.
Private Service Connect-Endpunkte für die Vertex AI API
Mit Private Service Connect können Sie private Endpunkte mit globalen internen IP-Adressen innerhalb Ihres VPC-Netzwerks erstellen.
Sie können diesen internen IP-Adressen DNS-Namen mit aussagekräftigen Namen wie aiplatform-genai1.p.googleapis.com
und bigtable-adsteam.p.googleapis.com
zuweisen. Diese Namen und IP-Adressen sind intern in Ihrem VPC-Netzwerk und allen lokalen Netzwerken vergeben, die über Hybrid-Netzwerkdienste mit ihm verbunden sind.
Sie können steuern, welcher Traffic an welchen Endpunkt geleitet wird, und ob der Traffic innerhalb der Google Cloud bleiben soll.
- Sie können eine benutzerdefinierte globale IP-Adresse für den Private Service Connect-Endpunkt (/32) erstellen. Weitere Informationen finden Sie unter Anforderungen an IP-Adressen.
- Sie erstellen den Private Service Connect-Endpunkt im selben VPC-Netzwerk wie den Cloud Router.
- Sie können diesen internen IP-Adressen DNS-Namen mit aussagekräftigen Namen wie
aiplatform-prodpsc.p.googleapis.com
zuweisen. Weitere Informationen finden Sie unter Zugriff auf Google APIs über Endpunkte.
Überlegungen zur Bereitstellung
Im Folgenden finden Sie einige wichtige Aspekte, die sich darauf auswirken, wie Sie den privater Google-Zugriff und Private Service Connect für den Zugriff auf die Vertex AI API verwenden.
IP-Anzeigen
Sie müssen den Subnetzbereich des privater Google-Zugriff oder die IP-Adresse des Private Service Connect-Endpunkts vom Cloud Router als benutzerdefinierte beworbene Route an lokale und Multi-Cloud-Umgebungen ankündigen. Weitere Informationen finden Sie unter Benutzerdefinierte IP-Bereiche bewerben.
Firewallregeln
Die Firewallkonfiguration von lokalen und Multi-Cloud-Umgebungen muss ausgehenden Traffic von den IP-Adressen von Subnetzen für den privater Google-Zugriff oder Private Service Connect zulassen.
DNS-Konfiguration
- In Ihrem lokalen Netzwerk müssen DNS-Zonen und -Einträge konfiguriert sein, damit eine Anfrage an
REGION-aiplatform.googleapis.com
in das Subnetz für privaten Google-Zugriff oder die IP-Adresse des Private Service Connect-Endpunkts aufgelöst wird. - Sie können von Cloud DNS verwaltete private Zonen erstellen und eine Cloud DNS-Richtlinie für eingehenden Server verwenden oder lokale Nameserver konfigurieren. Beispielsweise können Sie BIND oder Microsoft Active Directory DNS verwenden.
- Wenn Ihr lokales Netzwerk mit einem VPC-Netzwerk verbunden ist, können Sie mit Private Service Connect von lokalen Hosts aus über die interne IP-Adresse des Endpunkts auf Google APIs und Google-Dienste zugreifen. Weitere Informationen finden Sie unter Über lokale Hosts auf den Endpunkt zugreifen.