Zugriff auf Vertex AI-Dienste über den Zugriff auf private Dienste

Bei Vertex AI-Diensten, die in der Tabelle Optionen für den privaten Zugriff auf Vertex AI in der Spalte Zugriff auf private Dienste mit einem Häkchen versehen sind, müssen Sie sich mit diesen Diensten über den Zugriff auf private Dienste verbinden.

Diese von Google verwalteten Vertex AI-Dienste unterstützen die bidirektionale Kommunikation mit den lokalen, Multi-Cloud- und VPC-Arbeitslasten eines Dienstnutzers.

Diese private Kommunikation erfolgt ausschließlich über interne IP-Adressen. VM-Instanzen erfordern keinen Internetzugang oder externe IP-Adressen, um verfügbare Dienste über den Zugriff auf private Dienste zu erreichen.

Vertex AI stellt Dienste bereit, die in einem von Google verwalteten VPC-Netzwerk gehostet werden. Mit dem Zugriff auf private Dienste können Sie die internen IP-Adressen dieser Vertex AI- und Drittanbieterdienste über eine VPC-Netzwerk-Peering-Verbindung erreichen.

Das folgende Diagramm zeigt eine Architektur für benutzerdefiniertes Training, in der Vertex AI APIs für Trainingsjobs und Pipelinejobs in einem Dienstprojekt aktiviert und als Teil einer Shared VPC-Bereitstellung verwaltet werden (serviceproject). Diese Komponenten werden als von Google verwaltete Infrastructure-as-a-Service (IaaS) im VPC-Netzwerk des Diensterstellers bereitgestellt. Das VPC-Netzwerk des Dienstnutzers (hostproject) greift über eine Verbindung für den Zugriff auf private Dienste auf diese Dienste zu.

Bild

Bereitstellungsoptionen für den Zugriff auf private Dienste

Sie können eine neue private Verbindung erstellen oder eine vorhandene ändern. Bevor Sie den Zugriff auf private Dienste konfigurieren, sollten Sie sich mit den Hinweisen zur Auswahl eines VPC-Netzwerks und eines IP-Adressbereichs vertraut machen.

Wenn Sie eine neue private Verbindung erstellen möchten, müssen Sie zuerst einen zugewiesenen IP-Bereich erstellen und dann eine private Verbindung zwischen Ihrer VPC und von Google verwalteten Vertex AI-Diensten erstellen.

Alternativ können Sie eine vorhandene Verbindung ändern. Weitere Informationen finden Sie unter Private Verbindung ändern.

Vertex AI-Subnetzempfehlungen

In der folgenden Tabelle sind die empfohlenen Subnetzbereiche für Vertex AI-Dienste aufgeführt.

Vertex AI-Feature Empfohlener Subnetzbereich
Verwaltete Notebookinstanzen /29
Vertex AI Pipelines /21
Benutzerdefinierte Trainingsjobs /19
Onlineabfragen für die Vektorsuche /16
Private Endpunkte für Onlinevorhersagen /21

Überlegungen zur Bereitstellung

Im Folgenden finden Sie einige wichtige Überlegungen, die sich auf die Einrichtung der Kommunikation zwischen lokalen, Multi-Cloud- und VPC-Arbeitslasten und von Google verwalteten Vertex AI-Diensten auswirken.

IP-Advertising

Sie müssen den Subnetzbereich für den Zugriff auf private Dienste vom Cloud Router als benutzerdefinierte beworbene Route anbieten. Weitere Informationen finden Sie unter Benutzerdefinierte IP-Bereiche bewerben.

VPC-Netzwerk-Peering

Im Netzwerk des Diensterstellers sind möglicherweise nicht die richtigen Routen vorhanden, um Traffic zu Ihrem lokalen Netzwerk zu leiten. Standardmäßig erlernt das Netzwerk des Diensterstellers nur die Subnetzrouten aus Ihrem VPC-Netzwerk. Daher wird jede Anfrage, die nicht aus einem Subnetz-IP-Bereich stammt, vom Dienstersteller verworfen.

Aus diesem Grund müssen Sie in Ihrem VPC-Netzwerk die Peering-Verbindung aktualisieren, um benutzerdefinierte Routen zum Netzwerk des Diensterstellers zu exportieren. Beim Exportieren von Routen werden alle zulässigen statischen und dynamischen Routen, die sich in Ihrem VPC-Netzwerk befinden, z. B. Routen zu Ihrem lokalen Netzwerk, an das Netzwerk des Diensterstellers gesendet. Das Netzwerk des Diensterstellers importiert sie automatisch und kann dann über das VPC-Netzwerk Traffic zurück an Ihr lokales Netzwerk senden.

Firewallregeln

Sie müssen die Firewallregeln für das VPC-Netzwerk aktualisieren, das Ihre lokalen und Multi-Cloud-Umgebungen mit Google Cloud verbindet, um eingehenden Traffic von und ausgehenden Traffic zu Subnetzen für den Zugriff auf private Dienste zuzulassen.