Coba model Gemini 1.5, model multimodal terbaru di Vertex AI, dan lihat model yang dapat Anda bangun dengan jendela konteks hingga 2 juta token. Coba model Gemini 1.5, model multimodal terbaru di Vertex AI, dan lihat model yang dapat Anda bangun dengan jendela konteks hingga 2 juta token.

Halaman ini diterjemahkan oleh Cloud Translation API.

Menyiapkan Konektivitas dari Vertex AI ke Jaringan Lain

Pastikan Anda telah memahami materi di peering VPC sebelum membaca panduan ini.

Secara default, konfigurasi peering hanya mengizinkan jaringan Vertex AI yang di-peering untuk menjangkau endpoint di subnet lokal Anda. Dengan mengekspor rute kustom, jaringan produsen dapat menjangkau jaringan lain yang memiliki rute statis atau dinamis ke jaringan Anda.

Karena peering transitif tidak didukung, maka koneksi dari Vertex AI tidak dapat menjangkau endpoint di jaringan lain yang di-peering langsung ke jaringan Anda meskipun "Ekspor rute kustom" diaktifkan. Dalam contoh yang ditampilkan pada diagram berikut, paket dapat melewati Koneksi Peering #1, tetapi gagal melewati Koneksi Peering #2.

Dengan peering transitif

Agar Vertex AI dapat menjangkau Jaringan Pengguna #2, ganti Koneksi Peering #2 dengan VPN #2 seperti yang ditunjukkan pada diagram berikut.

Tanpa peering transitif

Dengan mengaktifkan rute kustom di Koneksi Peering #1, paket IP dari jaringan Vertex AI dapat menjangkau Jaringan Pengguna #2.

Agar paket respons dari Jaringan Pengguna #2 dapat dirutekan kembali ke jaringan Vertex AI, rute kembali juga harus ada di tabel perutean untuk Jaringan Pengguna #2. Karena rute VPN dipertukarkan menggunakan Border Gateway Protocol (BGP) di Cloud Router, maka kita dapat menyesuaikan konfigurasi BGP pada Pengguna #1 untuk mengiklankan rute ke rentang jaringan Vertex AI 10.1.0.0/16 ke Jaringan Pengguna peering #2.

Perlu diperhatikan bahwa Anda dapat mengedit kedua sisi konfigurasi BGP VPN #1 agar jaringan lokal dan jaringan Vertex AI dapat saling mempelajari rute. Karena tidak ada upaya untuk mengirimkan paket selanjutnya dari jaringan Vertex AI, atau paket respons melalui koneksi peering berurutan terkait jaringan tunggal mana pun, maka tidak satu pun dari upaya penerusan ini diblokir secara eksplisit.

Menyiapkan Konektivitas dari Vertex AI ke internet

Jika tidak ada jaringan yang ditentukan saat meluncurkan beban kerja, beban kerja akan berjalan di project produsen yang dikelola Google secara terpisah.

Jika jaringan ditentukan, beban kerja akan berjalan di project produsen yang dihubungkan ke project konsumen.

Secara default, jaringan Vertex AI memiliki rutenya sendiri ke internet dan jaringan produsen memiliki rute defaultnya sendiri ke internet.

Untuk memaksa koneksi keluar dari jaringan produsen untuk dirutekan melalui jaringan Anda, Anda dapat mengaktifkan Kontrol Layanan VPC untuk peering. Perhatikan bahwa ini adalah konfigurasi terpisah dari Kontrol Layanan VPC.

Mengaktifkan Kontrol Layanan VPC untuk peering akan menyebabkan perubahan berikut di jaringan Vertex AI:

Menghapus rute internet default.
Membuat rute untuk tujuan 199.36.153.4/30 dengan next hop gateway internet default.
Membuat zona pribadi yang dikelola Cloud DNS untuk *.googleapis.com dengan data yang sesuai agar dapat memetakan nama host ke salah satu dari empat alamat tersebut.
Mengizinkan zona tersebut untuk digunakan oleh jaringan VPC servicenetworking.

Dengan perubahan ini, Anda dapat mengekspor rute default dari jaringan Anda guna memastikan bahwa koneksi keluar ke internet dirutekan melalui jaringan VPC Anda. Perubahan ini juga memungkinkan Anda menerapkan kebijakan yang diperlukan ke traffic keluar dari Vertex AI.

Anda dapat membuat kueri status Kontrol Layanan VPC untuk Penautan dengan menjalankan perintah berikut;

gcloud services vpc-peerings get-vpc-service-controls \
  --network YOUR_NETWORK

Tindakan ini akan menampilkan enabled: true jika konfigurasi diaktifkan dan daftar kosong ({}) jika dinonaktifkan.

Menggunakan Kontrol Layanan VPC

Jika jaringan ditentukan untuk beban kerja dan Kontrol Layanan VPC diaktifkan, beban kerja akan berjalan di jaringan produsen yang di-peering ke project konsumen dan tunduk pada kebijakan yang sama dengan jaringan konsumen.

Jika kebijakan ini memblokir traffic keluar, workload juga tidak akan dapat menjangkau internet. Dalam hal ini, Anda harus mengikuti langkah-langkah di bagian sebelumnya untuk memaksa traffic keluar dari beban kerja agar melewati instance NAT di jaringan VPC Anda.

Menyiapkan Konektivitas dari Vertex AI menggunakan proxy

Pola lain untuk mengontrol IP keluar dari Vertex AI adalah memaksa koneksi keluar dari beban kerja untuk melalui proxy web yang Anda kontrol. Hal ini juga memungkinkan pemeriksaan koneksi keluar untuk kepatuhan.

Namun, penggunaan proxy pihak ketiga akan memaksa pengguna untuk mengelola sertifikat proxy untuk keluhan autentikasi. Selain itu, proxy ini mungkin tidak mengusulkan daftar cipher suite yang bersinggungan dengan yang diharapkan oleh SDK dan API Vertex AI.

Google Cloud kini menawarkan Secure Web Proxy untuk memfasilitasi pola ini. Sekarang Anda dapat mengikuti panduan memulai Men-deploy instance Secure Web Proxy dan menyesuaikan beban kerja untuk menggunakannya untuk koneksi keluar. Koneksi ini akan tampak berasal dari alamat IP sumber proxy.

Jika library KFP belum diinstal di image komponen, pipeline akan mencoba menginstalnya sebelum menjalankan kode apa pun yang mungkin telah Anda tentukan proxy-nya.

Jika pipeline bergantung pada proxy untuk menginstal paket dari internet, percobaan ini akan gagal dan Anda mungkin melihat error seperti berikut:

Could not find a version that satisfies the requirement kfp==2.7.0

Dalam kasus seperti ini, saat tidak dapat menginstal KFP sebelum menjalankan kode, Anda harus menggunakan image dengan KFP yang sudah diinstal.

Anda dapat menambahkan KFP ke image dasar apa pun dan mendorongnya ke repositori Anda.

Contoh Dockerfile berikut menambahkan KFP ke image dasar python:3.8.

FROM python:3.8
RUN pip install kfp==2.7.0

Kemudian, Anda dapat mengonfigurasi @component pipeline untuk menggunakan image ini:

@component(base_image="$PATH_TO_YOUR_REPOSITORY:YOUR_IMAGE")

Setelah komponen pipeline berjalan, kode Anda dapat dengan bebas menginstal paket lain melalui proxy. Contoh berikut menginstal numpy menggunakan proxy di https://10.10.10.10:443.

import subprocess
subprocess.call(['pip', 'install', '--proxy', 'https://10.10.10.10:443', 'numpy'])`

Menyiapkan daftar yang diizinkan untuk akses API

Untuk transaksi antara workload Vertex AI dan Google API, Anda harus mengizinkan akses dari workload ke rentang IP yang digunakan oleh Google API. Untuk melakukannya, Anda dapat menjalankan skrip untuk menampilkan alamat IP untuk domain default yang disediakan.