Les services Vertex AI disposant d'une coche dans la colonne Accès aux services privés de la table Options d'accès privé pour Vertex AI nécessitent que vous vous y connectiez via l'accès aux services privés.
Ces services Vertex AI gérés par Google permettent une communication bidirectionnelle avec les charges de travail sur site, multicloud et VPC d'un client de service.
Cette communication privée s'effectue exclusivement à l'aide d'adresses IP internes. Les instances de VM n'ont pas besoin d'accès Internet ni d'adresses IP externes pour accéder aux services disponibles via l'accès aux services privés.
Vertex AI fournit des services hébergés dans un réseau VPC géré par Google. L'accès aux services privés vous permet d'atteindre les adresses IP internes de ces services Vertex AI et tiers via une connexion d'appairage de réseaux VPC.
Le schéma suivant présente une architecture d'entraînement personnalisé dans laquelle les API Vertex AI pour les jobs d'entraînement et les jobs de pipeline sont activées et gérées dans un projet de service (serviceproject
) lors du déploiement d'un VPC partagé.
Ces composants sont déployés en tant que modèle Infrastructure as a Service (IaaS) géré par Google dans le réseau VPC du producteur de services.
Le réseau VPC du client de service (hostproject
) accède à ces services via une connexion d'accès aux services privés.
Options de déploiement de l'accès aux services privés
Vous pouvez créer une connexion privée ou en modifier une existante. Avant de configurer l'accès aux services privés, tenez compte des considérations liées au choix d'un réseau VPC et d'une plage d'adresses IP.
Pour créer une connexion privée, vous devez d'abord créer une plage d'adresses IP allouée, puis créer une connexion privée entre votre réseau VPC et les services Vertex AI gérés par Google.
Vous pouvez également modifier une connexion existante. Pour en savoir plus, consultez la section Modifier une connexion privée.
Recommandations de sous-réseaux Vertex AI
Le tableau suivant répertorie les plages de sous-réseau recommandées pour les services Vertex AI.
Fonctionnalité Vertex AI | Plage de sous-réseau recommandée |
---|---|
les instances de notebooks gérés | /29 |
Vertex AI Pipelines | /21 |
Les tâches d'entraînement personnalisées | /19 |
Requêtes en ligne Vector Search | /16 |
Points de terminaison privés de prédiction en ligne | /21 |
Remarques relatives au déploiement
Vous trouverez ci-dessous quelques remarques importantes qui affectent la façon dont vous établissez la communication entre vos charges de travail sur site, multicloud et VPC, et les services Vertex AI gérés par Google.
Annonce IP
Vous devez annoncer la plage de sous-réseau d'accès aux services privés en tant que route annoncée personnalisée à partir du routeur Cloud Router. Pour plus d'informations, consultez la section Annoncer des plages d'adresses IP personnalisées.
Appairage de réseaux VPC
Il est possible que le réseau du producteur de services ne dispose pas des routes appropriées pour diriger le trafic vers votre réseau sur site. Par défaut, le réseau du producteur de services ne mémorise que les routes de sous-réseau émanant de votre réseau VPC. Par conséquent, toute requête qui ne provient pas d'une plage d'adresses IP de sous-réseau est ignorée par le producteur de services.
C'est pour cette raison que vous devez mettre à jour la connexion d'appairage dans votre réseau VPC pour exporter les routes personnalisées vers le réseau du producteur de services. L'exportation des routes envoie toutes les routes statiques et dynamiques éligibles de votre réseau VPC, telles que les routes vers votre réseau sur site, au réseau du producteur de services. Le réseau du producteur de services les importe automatiquement, puis peut renvoyer le trafic vers votre réseau sur site via le réseau VPC.
Règles de pare-feu
Vous devez mettre à jour les règles de pare-feu du réseau VPC qui connecte vos environnements sur site et multicloud à Google Cloud pour autoriser le trafic depuis et vers les sous-réseaux d'accès aux services privés.