Vertex AI admite opciones de redes empresariales para acceder a endpoints y servicios de Vertex AI que te ayudan a lo siguiente:
- Accede de forma segura a tus recursos de Vertex AI desde un entorno local o multinube.
- Protege tus artefactos de Vertex AI frente a la exfiltración.
- Configura el tráfico de red de tus recursos de Vertex AI.
Esta página está dirigida a arquitectos y administradores de redes empresariales que ya estén familiarizados con los conceptos de redes de Google Cloud .
Acceso público a Vertex AI
Los servicios de Vertex AI a los que se puede acceder desde Internet tienen una marca de verificación en la columna Internet público de la tabla Acceder a Vertex AI desde entornos locales y multicloud. Las APIs de estos servicios se resuelven en el nombre de dominio completo REGION-aiplatform.googleapis.com, que devuelve direcciones IP de enrutamiento público.
Opciones de acceso privado a Vertex AI
Vertex AI admite las siguientes opciones para acceder a los endpoints y servicios de Vertex AI de forma privada, sin asignar direcciones IP externas a tus recursos de Google Cloud :
- Vertex AI implementado con Private Service Connect (PSC)
permite un acceso seguro, privado y explícito a los servicios de Vertex AI, lo que elimina la necesidad de configuraciones complejas, como el emparejamiento de VPCs, que dan lugar al intercambio de tablas de rutas de redes emparejadas y a la asignación de direcciones IP. De esta forma, resulta más fácil conectarse a los servicios. Es una solución clave tanto para los consumidores como para los productores de servicios, ya que simplifica la gestión de la red y mejora la seguridad.
Private Service Connect
ofrece las siguientes funciones:
- Endpoints de PSC: un consumidor puede crear una regla de reenvío en su VPC que haga referencia a la vinculación de servicio. De esta forma, se crea una dirección IP privada en su red, lo que permite que los recursos internos (como las VMs) y los clientes entre nubes a través de redes híbridas accedan a Vertex AI.
- Backends de PSC: un consumidor puede usar un grupo de puntos finales de red (NEG) de PSC como backend de un balanceador de carga regional interno o externo. Esto desbloquea funciones del balanceador de carga, como las siguientes:
- Registro y monitorización del tráfico de entrada
- Gestión del tráfico
- Integración de Google Cloud Armor
- Transitividad a través del emparejamiento de VPC
- Los puntos finales de Private Service Connect para APIs de Google permiten que tus recursos o sistemas locales se conecten a un punto final de tu red de VPC, que reenvía las solicitudes a las APIs y los servicios de Google. Google Cloud
- Acceso privado de Google:
- Permite que tus Google Cloud recursos se conecten a las direcciones IP externas estándar o a los dominios y las direcciones IP virtuales (VIP) de Acceso privado a Google de las APIs y los servicios de Google a través de la pasarela de Internet predeterminada de la red de VPC.
- Permite que tus hosts on-premise se conecten a las APIs y los servicios de Google a través de un túnel de Cloud VPN o una vinculación de VLAN mediante uno de los dominios y VIPs específicos de Acceso privado a Google.
- Vertex AI implementado con acceso a servicios privados (PSA)
permite una conexión privada entre tu red de nube privada virtual (VPC) y la red de VPC del productor de servicios (Vertex AI).
La infraestructura subyacente del acceso a servicios privados es el peering de VPC entre la red del consumidor y la del productor, lo que permite el intercambio de rutas entre las redes.
A continuación, se indican las funciones y las limitaciones del acceso a servicios privados (PSA):
- PSA se basa en el emparejamiento entre redes de VPC. Cuando configuras PSA, seGoogle Cloud establece una conexión de emparejamiento entre tu red de VPC y la red de VPC del productor del servicio.
- Un requisito clave de PSA es que tú, el consumidor del servicio, debes asignar un intervalo de direcciones IP internas dedicado para que lo use el productor del servicio. Este intervalo está reservado y no se puede usar en tu propia VPC, lo que ayuda a evitar conflictos de direcciones IP.
- Una vez que se establece la conexión, el productor de servicios aprovisiona los recursos solicitados en su propia red de VPC mediante una dirección IP del intervalo de direcciones que has asignado. Estos recursos están aislados en tu proyecto.
- El emparejamiento de VPC no es transitivo.
- Private Service Connect, a través de endpoints, backends o una interfaz, ofrece mejoras significativas en comparación con el acceso a servicios privados, como la transitividad de la red y un menor consumo de direcciones IP. Por lo tanto, Private Service Connect es la solución recomendada.
Vertex AI implementado con la interfaz de PSC permite que el tráfico fluya desde la red del productor de servicios (Vertex AI) a la red del consumidor. Esto resulta útil en situaciones en las que un servicio gestionado necesita interactuar con recursos de la VPC, la red local o las redes multicloud del cliente.
A continuación, se indican las funciones y las limitaciones de la interfaz de PSC:
- El consumidor del servicio crea un adjunto de red en su red de VPC, que es un recurso que representa su parte de la conexión privada.
- El productor de servicios crea el recurso gestionado con una interfaz de PSC que hace referencia a la vinculación de red del consumidor.
- Una vez que el consumidor acepta la conexión, se asigna una dirección IP interna a la interfaz de PSC desde una subred de la red de VPC del consumidor, lo que permite una comunicación segura, privada y bidireccional.
- La subred del adjunto de red admite direcciones RFC 1918 y no RFC 1918, excepto las subredes
100.64.0.0/10y240.0.0.0/4. - Vertex AI solo puede conectarse a intervalos de direcciones IP RFC 1918 a los que se pueda enrutar desde la red especificada.
Vertex AI no puede acceder a una dirección IP pública utilizada de forma privada ni a estos intervalos que no son RFC 1918:
100.64.0.0/10192.0.0.0/24192.0.2.0/24198.18.0.0/15198.51.100.0/24203.0.113.0/24240.0.0.0/4
Métodos de acceso a Vertex AI
En la siguiente tabla se muestran los métodos de acceso admitidos para conectarse desde entornos on-premise y multicloud a los servicios de Vertex AI. En esta tabla, una marca de verificación indica que se admite un método de acceso. Para obtener más información sobre cómo usar un método de acceso con un servicio específico de Vertex AI, haz clic en el enlace Más información.
| Producto de Vertex AI | Internet con acceso público | Private Service Connect para APIs de Google | Acceso privado de Google | Acceso a servicios privados | Private Service Connect |
|---|---|---|---|---|---|
| Inferencia por lotes | |||||
| Conjuntos de datos | |||||
| Vertex AI Feature Store (servicio online de Bigtable) | |||||
| Vertex AI Feature Store (servicio online optimizado) | Más información |
||||
| IA generativa en Vertex AI (Gemini) | |||||
| Registro de modelos | |||||
| Inferencia online | Más información |
||||
| Vector Search (creación de índices) | |||||
| Vector Search (consulta de índice) | Más información |
||||
| Entrenamiento personalizado (plano de control) | |||||
| Entrenamiento personalizado (plano de datos) | Más información |
Más información sobre PSC-I |
|||
| Vertex AI Pipelines | Más información sobre PSC-I |
||||
| Endpoints de inferencia online privados | Más información |
Más información |
|||
| Vertex AI Agent Engine | Más información sobre PSC-I |
Proteger los recursos de Vertex AI
Para reducir el riesgo de filtración externa de datos de tus recursos de Vertex AI, puedes colocarlos dentro de un perímetro de servicio mediante Controles de Servicio de VPC.
- Para obtener información sobre Controles de Servicio de VPC, consulta la descripción general de Controles de Servicio de VPC.
- Para obtener instrucciones detalladas, consulta Controles de Servicio de VPC con Vertex AI.
- Para conocer los costes, consulta los precios.
Siguientes pasos
- Consulta cómo configurar el emparejamiento entre redes de VPC para Vertex AI.
- Consulta cómo configurar la conectividad de Vertex AI a otras redes.
- Para obtener directrices generales y prácticas recomendadas sobre cómo configurar tus redes de VPC, consulta Conectar varias redes de VPC.
Consulta más información sobre cómo usar los Google Cloud productos de conectividad de red como Cloud VPN, Cloud Interconnect y Cloud Router para conectar tu red que no es deGoogle Cloud (on-premise o multicloud) a una red de host de Google Cloudnube privada virtual (VPC).