Ihre Anwendungen können innerhalb von Google Cloud oder über hybride Netzwerke (lokal und Multi-Cloud) eine Verbindung zu APIs in der Produktionsumgebung von Google herstellen. Google Cloud bietet die folgenden öffentlichen und privaten Zugriffsoptionen, die globale Erreichbarkeit und SSL/TLS-Sicherheit bieten:
- Öffentlicher Internetzugriff: Senden Sie Traffic an
REGION-aiplatform.googleapis.com. - Privater Google-Zugriff für lokale Hosts: Verwenden Sie den IP-Adressbereich-Subnetzbereich
199.36.153.8/30(private.googleapis.com) oder199.36.153.4/30(restricted.googleapis.com), um aufREGION-aiplatform.googleapis.comzuzugreifen. - Private Service Connect-Endpunkte für Google APIs: Verwenden Sie eine benutzerdefinierte interne IP-Adresse wie
10.0.0.100, um aufREGION-aiplatform.googleapis.comoder einen zugewiesenen DNS-Namen wieaiplatform-genai1.p.googleapis.comzuzugreifen.
Das folgende Diagramm veranschaulicht diese Zugriffsoptionen.
Einige Vertex AI-Dienstersteller erfordern, dass Sie eine Verbindung zu ihren Diensten über den Zugriff auf private Dienste oder über Private Service Connect-Endpunkte herstellen. Diese Dienste sind in der Tabelle Optionen für den privaten Zugriff für Vertex AI aufgeführt.
Öffentlicher Internetzugriff auf die Vertex AI API
Wenn Ihre Anwendung einen Google-Dienst verwendet, der in der Tabelle der unterstützten Zugriffsmethoden für Vertex AI aufgeführt ist, kann Ihre Anwendung auf die API zugreifen, indem Sie einen DNS-Lookup gegen den Dienstendpunkt (REGION-aiplatform.googleapis.com) durchführen, der öffentlich routingfähige virtuelle IP-Adressen zurückgibt. Sie können die API von überall auf der Welt aus verwenden, solange Sie eine Internetverbindung haben.
Traffic, der von Google Cloud-Ressourcen an diese IP-Adressen gesendet wird, verbleibt jedoch im Google-Netzwerk.
Privater Zugriff auf die Vertex AI API
Der private Zugriff ist eine Alternative zum Herstellen einer Verbindung zu Google APIs und Google-Diensten über das Internet. Sie bietet eine höhere Bandbreite, Zuverlässigkeit und konsistente Leistung. Google Cloud unterstützt die folgenden Optionen für den privaten Zugriff auf Google APIs über Hybridnetzwerkdienste wie Cloud Interconnect, Cross-Cloud Interconnect, HA VPN über Cloud Interconnect und SD-WAN.
Privater Google-Zugriff für lokale Hosts
Mit dem privaten Google-Zugriff für lokale Hosts können lokale Systeme eine Verbindung zu Google APIs und Google-Diensten herstellen, indem der Traffic über hybride Netzwerkdienste weitergeleitet wird.
Für den privaten Google-Zugriff müssen Sie mithilfe von Cloud Router einen der folgenden Subnetz-IP-Adressbereiche als benutzerdefinierte beworbene Route anbieten:
private.googleapis.com:199.36.153.8/30,2600:2d00:0002:2000::/64restricted.googleapis.com:199.36.153.4/30,2600:2d00:0002:1000::/64
Konfigurations-Informationen finden Sie unter Privaten Google-Zugriff für lokale Hosts konfigurieren.
Private Service Connect-Endpunkte für die Vertex AI API
Mit Private Service Connect können Sie private Endpunkte mit globalen internen IP-Adressen innerhalb Ihres VPC-Netzwerks erstellen.
Sie können diesen internen IP-Adressen DNS-Namen mit aussagekräftigen Namen wie aiplatform-genai1.p.googleapis.com und bigtable-adsteam.p.googleapis.com zuweisen. Diese Namen und IP-Adressen sind intern in Ihrem VPC-Netzwerk und allen lokalen Netzwerken vergeben, die über Hybridnetzwerkdienste mit ihm verbunden sind.
Sie können steuern, welcher Traffic an welchen Endpunkt geleitet wird, und ob der Traffic innerhalb der Google Cloud bleiben soll.
- Sie können eine benutzerdefinierte globale IP-Adresse für den Private Service Connect-Endpunkt (/32) erstellen. Weitere Informationen finden Sie unter Anforderungen an IP-Adressen.
- Sie erstellen den Private Service Connect-Endpunkt im selben VPC-Netzwerk wie den Cloud Router.
- Sie können diesen internen IP-Adressen DNS-Namen mit aussagekräftigen Namen wie
aiplatform-prodpsc.p.googleapis.comzuweisen. Weitere Informationen finden Sie unter Zugriff auf Google APIs über Endpunkte.
Überlegungen zur Bereitstellung
Im Folgenden finden Sie einige wichtige Überlegungen, die sich darauf auswirken, wie Sie den privaten Google-Zugriff und Private Service Connect für den Zugriff auf die Vertex AI API verwenden.
IP-Advertising
Sie müssen den Subnetzbereich des privaten Google-Zugriffs oder die IP-Adresse des Private Service Connect-Endpunkts vom Cloud Router als benutzerdefinierte beworbene Route an lokale und Multi-Cloud-Umgebungen ankündigen. Weitere Informationen finden Sie unter Benutzerdefinierte IP-Bereiche bewerben.
Firewallregeln
Sie müssen dafür sorgen, dass die Firewallkonfiguration lokaler und Multi-Cloud-Umgebungen ausgehenden Traffic von den IP-Adressen des privaten Google-Zugriffs oder der Private Service Connect-Subnetze zulässt.
DNS-Konfiguration
- In Ihrem lokalen Netzwerk müssen DNS-Zonen und -Einträge konfiguriert sein, damit eine Anfrage an
REGION-aiplatform.googleapis.comin das Subnetz für privaten Google-Zugriff oder die IP-Adresse des Private Service Connect-Endpunkts aufgelöst wird. - Sie können von Cloud DNS verwaltete private Zonen erstellen und eine Cloud DNS-Richtlinie für eingehenden Server verwenden oder lokale Nameserver konfigurieren. Beispielsweise können Sie BIND oder Microsoft Active Directory DNS verwenden.
- Wenn Ihr lokales Netzwerk mit einem VPC-Netzwerk verbunden ist, können Sie mit Private Service Connect von lokalen Hosts aus über die interne IP-Adresse des Endpunkts auf Google APIs und Google-Dienste zugreifen. Weitere Informationen finden Sie unter Über lokale Hosts auf den Endpunkt zugreifen.