關於透過私人服務存取權存取 Vertex AI 服務

注意：請為支援 Private Service Connect (PSC) 的 Vertex AI 服務使用這項功能，因為這是建議的連線方法。只有在無法使用 PSC 的服務，才使用私人服務存取權。

在「Vertex AI 的私密存取選項」表格的「私人服務連線」欄中，凡是標有勾號的 Vertex AI 服務，都必須透過私人服務連線連線。

這些 Google 管理的 Vertex AI 服務支援與服務取用者內部部署、多雲端和 VPC 工作負載的雙向通訊。

這項私密通訊完全使用內部 IP 位址。VM 執行個體不需要網際網路存取權或外部 IP 位址，就可以透過私人服務存取權與服務連線。

Vertex AI 提供的服務會代管在 Google 管理的 VPC 網路中。透過私人服務存取權，您可以使用虛擬私有雲網路對等互連連線，連線至這些 Vertex AI 和第三方服務的內部 IP 位址。

下圖顯示自訂訓練架構，其中訓練工作和管道工作的 Vertex AI API 會在服務專案 (serviceproject) 中啟用及管理，做為共用虛擬私有雲部署作業的一部分。這些元件會以 Google 管理的基礎架構即服務 (IaaS) 形式，部署在服務生產者的 VPC 網路中。服務用戶的虛擬私有雲網路 (hostproject) 會透過私人服務存取連線存取這些服務。

私人服務存取權部署選項

您可以建立新的私人連線，或修改現有連線。 設定私人服務存取權之前，請先瞭解選擇虛擬私有雲網路和 IP 位址範圍的注意事項。

如要建立新的私人連線，您必須先建立已分配的 IP 範圍，然後在虛擬私有雲網路與 Google 管理的 Vertex AI 服務之間建立私人連線。

或者，您也可以修改現有連結。詳情請參閱「修改私人連線」。

Vertex AI 子網路建議

下表列出 Vertex AI 服務的建議子網路範圍。

Vertex AI 功能	建議的子網路範圍
代管型筆記本執行個體	/29
Vertex AI Pipelines	/21
自訂訓練工作	/19
Vector Search 線上查詢	/16
私有服務存取端點	/21

部署考量事項

以下是一些重要考量，會影響您在內部部署、多雲端和 VPC 工作負載與 Google 管理的 Vertex AI 服務之間建立通訊的方式。

IP 廣告

您必須從 Cloud Router 通告私人服務存取子網路範圍，做為自訂通告路徑。詳情請參閱「通告自訂 IP 範圍」。

虛擬私有雲網路對等互連

服務供應商的網路可能沒有正確的路徑，可將流量導向內部部署網路。根據預設，服務生產端的網路只會從您的 VPC 網路取得子網路路徑。因此，服務供應商會捨棄任何不是來自子網路 IP 範圍的要求。

因此，您必須在虛擬私有雲網路中更新對等互連連線，將自訂路徑匯出至服務生產端的網路。匯出路徑會將虛擬私有雲網路中所有符合資格的靜態和動態路徑 (例如內部部署網路的路徑) 傳送至服務供應商的網路。服務生產者的網路會自動匯入這些路徑，然後透過虛擬私有雲網路將流量傳回您的內部部署網路。

防火牆規則

您必須更新虛擬私有雲網路的防火牆規則，將內部部署和多雲環境連線至 Google Cloud ，允許來自私人服務存取權子網路的傳入流量，以及傳向該子網路的輸出流量。