I servizi Vertex AI contrassegnati da un segno di spunta nella colonna Accesso ai servizi privati della tabella Opzioni di accesso privato per Vertex AI richiedono di collegarti ai loro servizi tramite accesso ai servizi privati.
Questi servizi Vertex AI gestiti da Google supportano la comunicazione bidirezionale con i carichi di lavoro on-premise, multicloud e VPC di un consumatore di servizi.
Questa comunicazione privata avviene esclusivamente mediante indirizzi IP interni. Le istanze VM non richiedono accesso a internet o indirizzi IP esterni per raggiungere i servizi disponibili tramite l'accesso ai servizi privati.
Vertex AI fornisce servizi ospitati in una rete VPC gestita da Google. L'accesso privato ai servizi ti consente di raggiungere gli indirizzi IP interni di questi servizi Vertex AI e di terze parti tramite una connessione in peering della rete VPC.
Il seguente diagramma mostra un'architettura di addestramento personalizzato in cui le API Vertex AI per i job di addestramento e le pipeline sono attivate e gestite in un progetto di servizio (serviceproject) nell'ambito di un deployment di VPC condiviso.
Questi componenti vengono implementati come Infrastructure as a Service (IaaS) gestita da Google nella rete VPC del producer di servizi.
La rete VPC del consumer di servizi (hostproject) accede
a questi servizi tramite una connessione di accesso privato ai servizi.
Opzioni di implementazione dell'accesso privato ai servizi
Puoi creare una nuova connessione privata o modificarne una esistente. Prima di configurare l'accesso privato ai servizi, tieni presente le considerazioni per la scelta di una rete VPC e di un intervallo di indirizzi IP.
Per creare una nuova connessione privata, devi prima creare un intervallo di IP allocato e poi una connessione privata tra la tua rete VPC e i servizi Vertex AI gestiti da Google.
In alternativa, puoi modificare una connessione esistente. Per ulteriori informazioni, consulta Modificare una connessione privata.
Suggerimenti per le sottoreti Vertex AI
La tabella seguente elenca gli intervalli di sottorete consigliati per i servizi Vertex AI.
| Funzionalità Vertex AI | Intervallo di subnet consigliato |
|---|---|
| Istanze notebook gestite | /29 |
| Vertex AI Pipelines | /21 |
| Job di addestramento personalizzati | /19 |
| Query online di Ricerca vettoriale | /16 |
| Endpoint privati di previsione online | /21 |
Considerazioni sul deployment
Di seguito sono riportate alcune considerazioni importanti che influiscono sul modo in cui stabilisci la comunicazione tra i tuoi carichi di lavoro on-premise, multicloud e VPC e i servizi Vertex AI gestiti da Google.
Pubblicità IP
Devi pubblicizzare l'intervallo di subnet di accesso privato ai servizi dal router Cloud come route pubblicizzato personalizzato. Per ulteriori informazioni, consulta Annunci di intervalli IP personalizzati.
Peering di rete VPC
La rete del producer di servizi potrebbe non avere le route corrette per indirizzare il traffico alla tua rete on-premise. Per impostazione predefinita, la rete del producer di servizi apprende solo le route di subnet dalla tua rete VPC. Pertanto, qualsiasi richiesta che non provenga da un intervallo IP di una subnet viene ignorata dal producer di servizi.
Per questo motivo, nella tua rete VPC devi aggiornare la connessione in peering per esportare le route personalizzate nella rete del producer di servizi. L'esportazione delle route invia tutte le route statiche e dinamiche idonee presenti nella rete VPC, ad esempio le route alla rete on-premise, alla rete del producer di servizi. La rete del producer di servizi li importa automaticamente e può inviare nuovamente il traffico alla tua rete on-premise tramite la rete VPC.
Regole firewall
Devi aggiornare le regole del firewall per la rete VPC che connette i tuoi ambienti on-premise e multicloud a Google Cloud per consentire il traffico in entrata e in uscita dalle sottoreti di accesso ai servizi privati.