Vertex AI 支援企業網路選項,可存取 Vertex AI 端點和服務,協助您:
- 從地端部署或多雲環境安全存取 Vertex AI 資源。
- 防止 Vertex AI 構件遭外洩。
- 設定 Vertex AI 資源的網路流量。
本頁面適用於熟悉 Google Cloud 網路概念的企業網路架構師和管理員。
Vertex AI 公開存取
可從網際網路存取的 Vertex AI 服務,在「Public internet」(公用網際網路) 欄中會顯示勾號 ,請參閱「Accessing Vertex AI from on-premises and multi cloud」(從地端和多雲環境存取 Vertex AI) 表格。這些服務的 API 會解析為完整網域名稱 REGION-aiplatform.googleapis.com,並傳回可公開路由傳送的 IP 位址。
Vertex AI 的私人存取權選項
Vertex AI 支援下列選項,可讓您以私密方式存取 Vertex AI 端點和服務,不必為 Google Cloud 資源指派外部 IP 位址:
- 透過 Private Service Connect (PSC) 部署的 Vertex AI,可安全、私密且明確地存取 Vertex AI 服務,不必進行虛擬私有雲對等互連等複雜設定,也不會導致對等互連網路路由表交換和 IP 位址分配。這樣就能更輕鬆地連線至服務。這項解決方案可簡化網路管理作業並提升安全性,是服務消費者和生產者不可或缺的工具。Private Service Connect 提供下列功能:
- PSC 端點:消費者可以在虛擬私有雲中建立轉送規則,參照服務連結。這會在網路中建立私人 IP 位址,讓內部資源 (例如 VM) 和混合式網路中的跨雲端用戶端存取 Vertex AI。
- PSC 後端:消費者可以使用 PSC 網路端點群組 (NEG) 做為內部或外部區域負載平衡器的後端。這樣就能使用負載平衡器功能,例如:
- 記錄及監控輸入流量
- 流量管理
- 整合 Google Cloud Armor
- 透過虛擬私有雲對等互連的遞移性
- Google API 適用的 Private Service Connect 端點可讓您的 Google Cloud 資源或內部部署系統連線至 VPC 網路中的端點,該端點會將要求轉送至 Google API 和服務。
- Private Google Access:
- 讓 Google Cloud 資源透過虛擬私有雲網路的預設網際網路閘道,連線至 Google API 和服務的標準外部 IP 位址或私人 Google 存取權網域和虛擬 IP (VIP) 位址。
- 讓內部部署主機透過 Cloud VPN 通道或 VLAN 連結,使用私人 Google 存取權專屬網域和 VIP 連線至 Google API 和服務。
- 透過私人服務存取權 (PSA) 部署的 Vertex AI,可在您的虛擬私有雲 (VPC) 網路與服務供應商 (Vertex AI) 的虛擬私有雲網路之間建立私人連線。私人服務存取權的基礎架構是消費者和生產者網路之間的虛擬私有雲對等互連,可讓網路之間交換路徑。以下是私人服務連線 (PSA) 的功能和限制:
- PSA 是以虛擬私有雲網路對等互連為基礎建構而成,設定 PSA 時,Google Cloud 會在您的 VPC 網路與服務生產端的 VPC 網路之間建立對等互連連線。
- PSA 的主要規定是,您 (服務消費者) 必須為服務供應商分配專用的內部 IP 位址範圍。這個範圍是預留範圍,無法在您自己的虛擬私有雲中使用,有助於避免 IP 位址衝突。
- 連線建立完成後,服務供應商會在自己的虛擬私有雲網路中,使用您分配的位址範圍內的 IP 位址,佈建您要求的資源。這些資源會與專案隔離。
- 虛擬私有雲對等互連不具遞移性。
- Private Service Connect 透過端點、後端或介面,提供比私有服務存取功能更顯著的強化功能,包括網路傳遞性和降低 IP 位址耗用量。因此,建議使用 Private Service Connect。
透過 PSC 介面部署的 Vertex AI 可讓流量從服務供應商 (Vertex AI) 的網路流向消費者的網路。如果代管服務需要與客戶虛擬私有雲、地端部署或多雲網路中的資源互動,這項功能就非常實用。
以下是 PSC 介面的功能和限制:
- 服務用戶會在虛擬私有雲網路中建立網路連結,這個資源代表私人連線的用戶端。
- 服務生產者會建立代管資源,並使用參照消費者網路連結的 PSC 介面。
- 消費者接受連線後,系統會從消費者虛擬私有雲網路的子網路指派內部 IP 位址給 PSC 介面,以利安全、私密地進行雙向通訊。
- 網路附件的子網路支援 RFC 1918 和非 RFC 1918 位址,但
100.64.0.0/10和240.0.0.0/4子網路除外。 - Vertex AI 只能連線至可從指定網路路由傳輸的 RFC 1918 IP 位址範圍。
Vertex AI 無法連線至私用公開 IP 位址,或下列非 RFC 1918 範圍:
100.64.0.0/10192.0.0.0/24192.0.2.0/24198.18.0.0/15198.51.100.0/24203.0.113.0/24240.0.0.0/4
Vertex AI 存取方法
下表列出支援的存取方法,可從內部部署和多雲端環境連線至 Vertex AI 服務。下表中的勾號 表示支援存取方法。如要進一步瞭解如何搭配特定 Vertex AI 服務使用存取方法,請按一下「瞭解詳情」連結。
| Vertex AI 產品 | 公開網際網路 | 適用於 Google API 的 Private Service Connect | 私人 Google 存取權 | 私人服務存取權 | Private Service Connect |
|---|---|---|---|---|---|
| 批次推論 | |||||
| 資料集 | |||||
| Vertex AI 特徵儲存庫 (Bigtable 線上服務) | |||||
| Vertex AI 特徵儲存庫 (最佳化線上服務) | 瞭解詳情 |
||||
| Vertex AI 生成式 AI (Gemini) | |||||
| Model Registry | |||||
| 線上推論 | 瞭解詳情 |
||||
| Vector Search (建立索引) | |||||
| Vector Search (索引查詢) | 瞭解詳情 |
||||
| 自訂訓練 (控制層) | |||||
| 自訂訓練 (資料層) | 瞭解詳情 |
進一步瞭解 PSC-I |
|||
| Vertex AI Pipelines | 進一步瞭解 PSC-I |
||||
| 私人的線上推論端點 | 瞭解詳情 |
瞭解詳情 |
|||
| Vertex AI Agent Engine | 進一步瞭解 PSC-I |
保護 Vertex AI 資源
如要降低 Vertex AI 資源的資料外洩風險,可以使用 VPC Service Controls 將資源置於服務範圍內。
- 如要瞭解 VPC Service Controls,請參閱「VPC Service Controls 總覽」。
- 如需詳細指引,請參閱「搭配使用 VPC Service Controls 與 Vertex AI」。
- 如要瞭解費用,請參閱定價。
後續步驟
- 瞭解如何為 Vertex AI設定虛擬私有雲網路對等互連。
- 瞭解如何設定從 Vertex AI 連線至其他網路。
- 如需設定 VPC 網路的一般指南和最佳做法,請參閱「連結多個 VPC 網路」。
進一步瞭解如何使用 Google Cloud Network Connectivity 產品 (例如 Cloud VPN、Cloud Interconnect 和 Cloud Router),將非Google Cloud (內部部署或多雲) 網路連線至 Google Cloud虛擬私有雲 (VPC) 主機網路。