Vertex AI supporta le opzioni di rete aziendale per accedere a endpoint e servizi Vertex AI che ti aiutano a:
- Accedi in modo sicuro alle tue risorse Vertex AI da un ambiente on-premise o multi-cloud.
- Proteggi gli artefatti di Vertex AI dall'esfiltrazione.
- Configura il traffico di rete per le tue risorse Vertex AI.
Questa pagina è rivolta ad architetti e amministratori di reti aziendali che hanno già familiarità con i concetti di Google Cloud networking.
Accesso pubblico per Vertex AI
I servizi Vertex AI accessibili da internet
hanno un segno di spunta
nella colonna
Internet pubblico
della tabella
Accesso a Vertex AI da on-premise e multicloud. Le API per questi servizi vengono risolte nel nome di dominio completo REGION-aiplatform.googleapis.com, che restituisce indirizzi IP instradabili pubblicamente.
Opzioni di accesso privato per Vertex AI
Vertex AI supporta le seguenti opzioni per accedere privatamente agli endpoint e ai servizi Vertex AI, senza assegnare indirizzi IP esterni alle tue risorse Google Cloud :
- Vertex AI di cui è stato eseguito il deployment con Private Service Connect (PSC)
consente l'accesso sicuro, privato ed esplicito ai servizi Vertex AI, eliminando la necessità di configurazioni complesse come il peering VPC che comporta lo scambio di tabelle di routing di rete in peering e l'allocazione di indirizzi IP. In questo modo è più facile
connettersi ai servizi. È una soluzione chiave sia per i consumatori che per i produttori di servizi, in quanto semplifica la gestione della rete e migliora la sicurezza.
Private Service Connect
offre le seguenti funzionalità:
- Endpoint PSC: un consumer può creare una regola di forwarding nel proprio VPC che fa riferimento al collegamento del servizio. In questo modo viene creato un indirizzo IP privato all'interno della rete, consentendo alle risorse interne (come le VM) e ai client cross-cloud tramite il networking ibrido di accedere a Vertex AI.
- Backend PSC: un consumer può utilizzare un gruppo di endpoint di rete (NEG) PSC come backend per un bilanciatore del carico regionale interno o esterno. In questo modo vengono sbloccate funzionalità del bilanciatore del carico come:
- Logging e monitoraggio del traffico in entrata
- Gestione del traffico
- Integrazione di Google Cloud Armor
- Transitività tramite peering VPC
- Gli endpoint Private Service Connect per le API di Google consentono alle tue risorse Google Cloud o ai tuoi sistemi on-premise di connettersi a un endpoint nella tua rete VPC, che inoltra le richieste alle API e ai servizi Google.
- Private Google Access:
- Consente alle tue risorse Google Cloud di connettersi agli indirizzi IP esterni standard o ai domini e agli indirizzi IP virtuali (VIP) dell'accesso privato Google per le API e i servizi Google tramite il gateway internet predefinito della rete VPC.
- Consente agli host on-premise di connettersi alle API e ai servizi Google tramite un tunnel Cloud VPN o un collegamento VLAN utilizzando uno dei VIP e domini specifici per l'accesso Google privato.
- Vertex AI di cui è stato eseguito il deployment con l'accesso privato ai servizi (PSA)
consente una connessione privata tra la tua rete Virtual Private Cloud (VPC) e la rete VPC del producer di servizi (Vertex AI).
L'infrastruttura sottostante dell'accesso privato ai servizi è il peering VPC tra la rete consumer e quella producer, che consente lo scambio di route tra le reti.
Di seguito sono riportate le funzionalità e le limitazioni dell'accesso privato ai servizi (PSA):
- PSA si basa sul peering di rete VPC. Quando configuri l'accesso privato ai servizi, Google Cloud stabilisce una connessione in peering tra la tua rete VPC e la rete VPC del producer di servizi.
- Un requisito fondamentale di PSA è che tu, il consumer di servizi, devi allocare un intervallo di indirizzi IP interni dedicato all'utilizzo delproducer di servizii. Questo intervallo è riservato e non può essere utilizzato nel tuo VPC, il che contribuisce a evitare conflitti di indirizzi IP.
- Una volta stabilita la connessione, il producer di servizi esegue il provisioning delle risorse richieste all'interno della propria rete VPC, utilizzando un indirizzo IP dell'intervallo di indirizzi che hai allocato. Queste risorse sono isolate nel tuo progetto.
- Il peering VPC non è transitivo.
- Private Service Connect, tramite endpoint, backend o un'interfaccia, offre miglioramenti significativi rispetto all'accesso privato ai servizi, tra cui la transitività di rete e un consumo inferiore di indirizzi IP. Pertanto, Private Service Connect è la soluzione consigliata.
Vertex AI di cui è stato eseguito il deployment con l'interfaccia PSC consente i flussi di traffico dalla rete del producer di servizi (Vertex AI) alla rete del consumer. Ciò è utile per gli scenari in cui un servizio gestito deve interagire con le risorse nelle reti VPC, on-premise o multicloud del cliente.
Di seguito sono riportate le funzionalità e le limitazioni dell'interfaccia PSC:
- Il consumer di servizi crea un collegamento di rete nella propria rete VPC, ovvero una risorsa che rappresenta la sua parte della connessione privata.
- Il producer di servizi crea la risorsa gestita con un'interfaccia PSC che fa riferimento al collegamento di rete del consumer.
- Una volta che il consumer accetta la connessione, all'interfaccia PSC viene assegnato un indirizzo IP interno da una subnet nella rete VPC del consumer, consentendo una comunicazione sicura, privata e bidirezionale.
- La subnet dell'allegato di rete
supporta indirizzi RFC 1918 e non RFC 1918, ad eccezione delle subnet
100.64.0.0/10e240.0.0.0/4. - Vertex AI può connettersi solo a intervalli di indirizzi IP RFC 1918 instradabili dalla rete specificata.
Vertex AI non può raggiungere un indirizzo IP pubblico utilizzato privatamente o questi intervalli non RFC 1918:
100.64.0.0/10192.0.0.0/24192.0.2.0/24198.18.0.0/15198.51.100.0/24203.0.113.0/24240.0.0.0/4
Metodi di accesso a Vertex AI
La tabella seguente mostra i metodi di accesso supportati per la connessione da ambienti on-premise e multi-cloud ai servizi Vertex AI. In questa tabella, un segno di spunta indica che un metodo di accesso è supportato. Per ulteriori informazioni sull'utilizzo di un metodo di accesso con un servizio Vertex AI specifico, fai clic sul link Scopri di più.
| Prodotto Vertex AI | Rete internet pubblica | Private Service Connect per le API di Google | Accesso privato Google | Accesso privato ai servizi | Private Service Connect |
|---|---|---|---|---|---|
| Inferenze batch | |||||
| Set di dati | |||||
| Vertex AI Feature Store (servizio online Bigtable) | |||||
| Vertex AI Feature Store (servizio online ottimizzato) | Scopri di più |
||||
| AI generativa su Vertex AI (Gemini) | |||||
| Model Registry | |||||
| Inferenza online | Scopri di più |
||||
| Vector Search (creazione dell'indice) | |||||
| Vector Search (query dell'indice) | Scopri di più |
||||
| Addestramento personalizzato (piano di controllo) | |||||
| Addestramento personalizzato (data plane) | Scopri di più |
Scopri di più sull'utilizzo di PSC-I |
|||
| Vertex AI Pipelines | Scopri di più sull'utilizzo di PSC-I |
||||
| Endpoint di inferenza online privati | Scopri di più |
Scopri di più |
|||
| Motore Vertex AI Agent | Scopri di più sull'utilizzo di PSC-I |
Protezione delle risorse Vertex AI
Per ridurre il rischio di esfiltrazione di dati per le risorse Vertex AI, puoi inserirle all'interno di un perimetro di servizio utilizzando i Controlli di servizio VPC.
- Per comprendere i Controlli di servizio VPC, consulta la Panoramica dei Controlli di servizio VPC.
- Per indicazioni dettagliate, consulta Controlli di servizio VPC con Vertex AI.
- Per comprendere i costi, consulta la sezione Prezzi.
Passaggi successivi
- Scopri come configurare il peering di rete VPC per Vertex AI.
- Scopri come configurare la connettività da Vertex AI ad altre reti.
- Per indicazioni generali e best practice per la configurazione delle reti VPC, consulta Connessione di più reti VPC.
Scopri di più sull'utilizzo dei prodotti di connettività di rete come Cloud VPN, Cloud Interconnect e router Cloud per connettere la tua rete nonGoogle Cloud (on-premise o multicloud) a una rete host Virtual Private Cloud (VPC).Google Cloud Google Cloud