Vertex AI unterstützt Netzwerkoptionen für Unternehmen, um auf Vertex AI-Endpunkte und ‑Dienste zuzugreifen. Sie haben folgende Möglichkeiten:
- Sicherer Zugriff auf Ihre Vertex AI-Ressourcen aus einer lokalen oder Multi-Cloud-Umgebung
- Schützen Sie Ihre Vertex AI-Artefakte vor Datenexfiltration.
- Konfigurieren Sie den Netzwerktraffic für Ihre Vertex AI-Ressourcen.
Diese Seite richtet sich an Netzwerkspezialisten und Administratoren in Unternehmen, die bereits mit den Netzwerkkonzepten von Google Cloud vertraut sind.
Öffentlicher Zugriff für Vertex AI
Vertex AI-Dienste, die über das Internet zugänglich sind, haben ein Häkchen
in der Spalte Öffentliches Internet der Tabelle Zugriff auf Vertex AI von lokalen und Multi-Cloud-Umgebungen. Die APIs für diese Dienste werden in den vollständig qualifizierten Domainnamen REGION-aiplatform.googleapis.com aufgelöst, der öffentlich routingfähige IP-Adressen zurückgibt.
Optionen für den privaten Zugriff auf Vertex AI
Vertex AI unterstützt die folgenden Optionen für den privaten Zugriff auf Vertex AI-Endpunkte und ‑Dienste, ohne Ihren Google Cloud -Ressourcen externe IP-Adressen zuzuweisen:
- Vertex AI, bereitgestellt mit Private Service Connect (PSC), ermöglicht einen sicheren, privaten und expliziten Zugriff auf Vertex AI-Dienste. Komplexe Konfigurationen wie VPC-Peering, die zu einem Austausch von Routentabellen für das Peering-Netzwerk und einer IP-Adressenzuweisung führen, sind nicht erforderlich. So lässt sich leichter eine Verbindung zu Diensten herstellen. Sie ist eine wichtige Lösung für Dienstnutzer und ‑anbieter, da sie die Netzwerkverwaltung vereinfacht und die Sicherheit erhöht.
Private Service Connect bietet die folgenden Funktionen:
- PSC-Endpunkte: Ein Nutzer kann in seiner VPC eine Weiterleitungsregel erstellen, die auf den Dienstanhang verweist. Dadurch wird eine private IP-Adresse in ihrem Netzwerk erstellt, über die interne Ressourcen (z. B. VMs) und cloudübergreifende Clients über Hybrid Networking auf Vertex AI zugreifen können.
- PSC-Backends: Ein Kunde kann eine PSC-Netzwerk-Endpunktgruppe (NEG) als Backend für einen internen oder externen regionalen Load Balancer verwenden. Dadurch werden Load-Balancer-Funktionen wie die folgenden freigeschaltet:
- Logging und Monitoring von eingehendem Traffic
- Trafficverwaltung
- Google Cloud Armor-Integration
- Transitivität über VPC-Peering
- Mit Private Service Connect-Endpunkten für Google APIs können Ihre Google Cloud Ressourcen oder lokalen Systeme eine Verbindung zu einem Endpunkt in Ihrem VPC-Netzwerk herstellen, der Anfragen an APIs und Dienste von Google weiterleitet.
- Privater Google-Zugriff:
- Ermöglicht Ihren Google Cloud -Ressourcen eine Verbindung zu den standardmäßigen externen IP-Adressen oder den Domains für den privater Google-Zugriff und den virtuellen IP-Adressen (VIP) für Google APIs und Dienste über das Standard-Internetgateway des VPC-Netzwerk.
- Ihre lokalen Hosts können über einen Cloud VPN-Tunnel oder einen VLAN-Anhang eine Verbindung zu Google APIs und ‑Diensten herstellen. Verwenden Sie dazu eine der spezifischen Domains und VIPs für den privaten Google-Zugriff.
- Vertex AI mit Zugriff auf private Dienste (Private Services Access, PSA) ermöglicht eine private Verbindung zwischen Ihrem Virtual Private Cloud-Netzwerk (VPC) und dem VPC-Netzwerk des Diensterstellers (Vertex AI).
Die zugrunde liegende Infrastruktur des privaten Dienstzugriffs ist das VPC-Peering zwischen dem Netzwerk des Nutzers und dem Netzwerk des Diensterstellers, das den Austausch von Routen zwischen den Netzwerken ermöglicht.
Im Folgenden finden Sie Funktionen und Einschränkungen des Zugriffs auf private Dienste:
- PSA basiert auf VPC-Netzwerk-Peering. Wenn Sie PSA einrichten, stelltGoogle Cloud eine Peering-Verbindung zwischen Ihrem VPC-Netzwerk und dem VPC-Netzwerk des Diensterstellers her.
- Eine wichtige Anforderung von PSA ist, dass Sie als Dienstnutzer einen dedizierten internen IP-Adressbereich für die Verwendung durch den Dienstersteller zuweisen müssen. Dieser Bereich ist reserviert und kann nicht in Ihrer eigenen VPC verwendet werden. So werden IP-Adresskonflikte vermieden.
- Sobald die Verbindung hergestellt ist, stellt der Dienstersteller die angeforderten Ressourcen in seinem eigenen VPC-Netzwerk bereit. Dabei wird eine IP-Adresse aus dem von Ihnen zugewiesenen Adressbereich verwendet. Diese Ressourcen sind auf Ihr Projekt beschränkt.
- VPC-Peering ist nicht transitiv.
- Private Service Connect bietet über Endpunkte, Back-Ends oder eine Schnittstelle erhebliche Verbesserungen im Vergleich zum privaten Dienstzugriff, darunter Netzwerktransitivität und geringerer Verbrauch von IP-Adressen. Daher ist Private Service Connect die empfohlene Lösung.
- Vertex AI mit PSC-Schnittstelle ermöglicht Traffic-Flüsse vom Netzwerk des Diensterstellers (Vertex AI) zum Netzwerk des Nutzers. Dies ist nützlich für Szenarien, in denen ein verwalteter Dienst mit Ressourcen im VPC-, On-Premise- oder Multicloud-Netzwerk des Kunden interagieren muss.
Vertex AI-Zugriffsmethoden
In der folgenden Tabelle sind die unterstützten Zugriffsmethoden für die Verbindung von lokalen und Multi-Cloud-Umgebungen mit Vertex AI-Diensten aufgeführt. In diesere Tabelle weißt ein Häkchen darauf hin, dass eine Zugriffsmethode unterstützt wird. Klicken Sie für weitere Informationen zur Verwendung einer Zugriffsmethode mit einem bestimmten Vertex AI-Dienst auf den Link Weitere Informationen.
| Vertex AI-Produkt | Öffentliches Internet | Private Service Connect für Google APIs | Privater Google-Zugriff | Zugriff auf private Dienste | Private Service Connect-Endpunkt | Private Service Connect-Schnittstelle |
|---|---|---|---|---|---|---|
| Batchinferenzen | ||||||
| Datasets | ||||||
| Vertex AI Feature Store (Bigtable-Onlinebereitstellung) | ||||||
| Vertex AI Feature Store (optimierte Onlinebereitstellung) | Weitere Informationen |
|||||
| Claude / Anthropic in Vertex AI | ||||||
| Generative AI in Vertex AI (Gemini) | ||||||
| Modell-Registry | ||||||
| Onlineinferenz – dedizierter öffentlicher Endpunkt | ||||||
| Onlineinferenz – freigegebener öffentlicher Endpunkt | ||||||
| Onlineinferenz – dedizierter privater Endpunkt | Weitere Informationen |
|||||
| Onlineinferenz – privater Endpunkt | Weitere Informationen |
|||||
| Vektorsuche (Indexerstellung) | ||||||
| Vektorsuche (Indexabfrage) | Weitere Informationen |
|||||
| Ray on Vertex AI (Datenebene) | Weitere Informationen |
|||||
| Vertex AI Pipelines, benutzerdefiniertes Training, Ray in Vertex AI (Steuerungsebene) | ||||||
| Benutzerdefiniertes Training (Datenebene) | Weitere Informationen |
Weitere Informationen |
||||
| Vertex AI Pipelines | Weitere Informationen |
|||||
| Vertex AI Agent Engine | Weitere Informationen |
Vertex AI-Ressourcen schützen
Um das Risiko einer Daten-Exfiltration für Vertex AI-Ressourcen zu verringern, platzieren Sie diese mit VPC Service Controls in einem Perimeter.
- Informationen zu VPC Service Controls finden Sie unter VPC Service Controls.
- Eine ausführliche Anleitung finden Sie unter VPC Service Controls mit Vertex AI.
- Informationen zu den Kosten finden Sie unter Preise.
Nächste Schritte
- VPC-Netzwerk-Peering für Vertex AI einrichten.
- Verbindung von Vertex AI zu anderen Netzwerken einrichten.
- Allgemeine Anleitungen und Best Practices zum Konfigurieren von VPC-Netzwerken finden Sie unter Mehrere VPC-Netzwerke verbinden.
Weitere Informationen zur Verwendung von Google Cloud Network Connectivity-Produkten wie Cloud VPN, Cloud Interconnect und Cloud Router, um Ihr Nicht-Google Cloud -Netzwerk(lokale Umgebung oder Multi-Cloud) mit einem Google Cloud-VPC-Hostnetzwerk (Virtual Private Cloud) zu verbinden.