Le tue applicazioni possono connettersi alle API nell'ambiente di produzione di Google da all'interno di Google Cloud o da reti ibride (on-premise e multi-cloud). Google Cloud offre le seguenti opzioni di accesso pubblico e privato, che offrono la connettività globale e la sicurezza SSL/TLS:
- Accesso a internet pubblico: invia il traffico a
REGION-aiplatform.googleapis.com. - Accesso privato Google per gli host on-premise: utilizza l'indirizzo IP
intervallo di subnet
199.36.153.8/30(private.googleapis.com) o199.36.153.4/30(restricted.googleapis.com) per accedereREGION-aiplatform.googleapis.com. - Endpoint Private Service Connect per le API di Google: utilizza un
indirizzo IP interno definito dall'utente, ad esempio
10.0.0.100, per accedereREGION-aiplatform.googleapis.como un nome DNS assegnato, ad esempioaiplatform-genai1.p.googleapis.com.
Il diagramma seguente illustra queste opzioni di accesso.
Alcuni producer di servizi Vertex AI richiedono la connessione al proprio servizi tramite accesso privato ai servizi o tramite Endpoint di Private Service Connect. Questi servizi sono elencati nella Opzioni di accesso privato per Vertex AI tabella.
Accesso a internet pubblico all'API Vertex AI
Se la tua applicazione utilizza un servizio Google elencato nella tabella dei metodi di accesso supportati per Vertex AI, può accedere all'API eseguendo una ricerca DNS sull'endpoint del servizio (REGION-aiplatform.googleapis.com), che restituisce indirizzi IP virtuali routabili pubblicamente. Puoi utilizzare l'API da qualsiasi località del mondo, a condizione di disporre di una connessione a internet.
Tuttavia, il traffico inviato dalle risorse Google Cloud a quell'IP
rimangono all'interno della rete Google.
Accesso privato all'API Vertex AI
L'accesso privato è un'alternativa alla connessione alle API di Google e servizi su internet. Offre larghezza di banda, affidabilità e prestazioni costanti. Google Cloud supporta le seguenti opzioni per accedere alle API di Google in modo privato tramite servizi di rete ibridi come Cloud Interconnect, Cross-Cloud Interconnect, VPN ad alta disponibilità su Cloud Interconnect SD-WAN.
Accesso privato Google per gli host on-premise
Accesso privato Google per gli host on-premise consente ai sistemi on-premise di connettersi alle API di Google e servizi instradando il traffico tramite servizi di rete ibridi.
L'accesso privato Google richiede che tu pubblicizzi una delle seguenti subnet Intervalli di indirizzi IP come route annunciata personalizzata mediante router Cloud:
private.googleapis.com:199.36.153.8/30e2600:2d00:0002:2000::/64restricted.googleapis.com:199.36.153.4/30e2600:2d00:0002:1000::/64
Per ulteriori informazioni, vedi Configurare l'accesso privato Google per gli host on-premise.
Endpoint Private Service Connect per l'API Vertex AI
Con Private Service Connect, puoi creare endpoint privati
utilizzando indirizzi IP interni globali
all'interno della tua rete VPC.
Puoi assegnare nomi DNS a questi indirizzi IP interni con nomi significativi
come aiplatform-genai1.p.googleapis.com e
bigtable-adsteam.p.googleapis.com. Questi nomi e indirizzi IP vengono
interni alla tua rete VPC e a qualsiasi rete on-premise
collegate tramite servizi di networking ibridi.
Puoi controllare il traffico diretto a un determinato endpoint e dimostrare
che rimane all'interno di Google Cloud.
- Puoi creare un'istanza globale definita dall'utente Indirizzo IP dell'endpoint di Private Service Connect (/32). Per ulteriori informazioni, consulta i requisiti relativi agli indirizzi IP.
- Devi creare l'endpoint Private Service Connect nello stesso rete VPC come router Cloud.
- Puoi assegnare nomi DNS a questi indirizzi IP interni con nomi
con nomi come
aiplatform-prodpsc.p.googleapis.com. Per ulteriori informazioni, vedi Informazioni sull'accesso alle API di Google tramite endpoint.
Considerazioni sul deployment
Di seguito sono riportate alcune considerazioni importanti che influiscono sul modo in cui utilizzi Accesso privato Google e Private Service Connect per accedere l'API Vertex AI.
Annuncio IP
Devi pubblicizzare l'intervallo di subnet di accesso privato Google o Indirizzo IP dell'endpoint Private Service Connect per l'infrastruttura ambienti multi-cloud dal router Cloud come route annunciata personalizzata. Per ulteriori informazioni, vedi Pubblicizza intervalli IP personalizzati.
Regole firewall
Devi assicurare che la configurazione del firewall delle applicazioni on-premise ambienti multi-cloud consentono il traffico in uscita dagli indirizzi IP dell'accesso privato Google Subnet Private Service Connect.
Configurazione DNS
- La rete on-premise deve avere zone e record DNS configurati in modo da
una richiesta a
REGION-aiplatform.googleapis.comviene risolta Subnet di accesso privato Google o il Endpoint Private Service Connect Indirizzo IP. - Puoi creare zone private gestite da Cloud DNS e utilizzare un criterio del server in entrata di Cloud DNS oppure puoi configurare i server dei nomi on-premise. Ad esempio, puoi utilizzare BIND o Microsoft Active Directory DNS.
- Se la tua rete on-premise è connessa a una rete VPC, puoi utilizzare Private Service Connect per accedere alle API di Google da host on-premise utilizzando l'indirizzo IP interno del endpoint. Per ulteriori informazioni, vedi Accedi all'endpoint da host on-premise.