Acerca del acceso a los servicios de Vertex AI a través del acceso privado a servicios

Los servicios de Vertex AI que tienen un ícono de verificación en la columna Acceso privado a servicios de la tabla Opciones de acceso privado para Vertex AI requieren que te conectes a sus servicios a través del acceso privado a servicios.

Estos servicios de Vertex AI administrados por Google son compatibles con comunicación con los entornos locales, de múltiples nubes y cargas de trabajo de VPC.

Esta comunicación privada se produce exclusivamente mediante el uso de direcciones IP. Las instancias de VM no necesitan acceso a Internet o direcciones IP externas para alcanzar los servicios que están disponibles a través del acceso privado a los servicios.

Vertex AI proporciona servicios alojados en una plataforma de VPC común. El acceso privado a servicios permite acceder a las direcciones IP internas de estos servicios de Vertex AI y de terceros a través de una conexión de intercambio de tráfico entre redes de VPC.

En el siguiente diagrama, se muestra una arquitectura de entrenamiento personalizado en la que se habilitan y administran las APIs de Vertex AI para trabajos de entrenamiento y de canalización en un proyecto de servicio (serviceproject) como parte de una implementación de VPC compartida. Estos componentes se implementan como una solución La infraestructura como servicio (IaaS) en la infraestructura de VPC común. La red de VPC del consumidor de servicios (hostproject) accede a estos servicios a través de una conexión de acceso privado a servicios.

imagen

Opciones de implementación de acceso privado a servicios

Puedes crear una conexión privada nueva o modificar una existente. Antes de configurar el acceso privado a servicios, consideraciones para elegir una red de VPC y un rango de direcciones IP.

Para crear una nueva conexión privada, primero debes crear un rango de IP asignado y, luego, crear una conexión privada entre tu red de VPC y los servicios de Vertex AI administrados por Google.

Como alternativa, puedes modificar una conexión existente. Para obtener más información, consulta Modifica una conexión privada.

Recomendaciones para las subredes de Vertex AI

En la siguiente tabla, se enumeran los rangos de subredes recomendados para Vertex AI.

Función de Vertex AI Rango de subred recomendado
Las instancias de notebooks administrados /29
Vertex AI Pipelines /21
Trabajos de entrenamiento personalizados /19
Consultas en línea de Búsqueda de vectores /16
Extremos privados de predicción en línea /21

Consideraciones sobre la implementación

Estas son algunas consideraciones importantes que afectan la forma en que estableces la comunicación entre tus cargas de trabajo locales, de múltiples nubes y de VPC, y servicios de Vertex AI.

Anuncio de IP

Debes anunciar el rango de subred de acceso privado a servicios del Cloud Router como una ruta anunciada personalizada. Para obtener más información, consulta Anuncia rangos de IP personalizados.

Intercambio de tráfico entre redes de VPC

Es posible que la red del productor de servicios no tenga las rutas correctas para dirigir el tráfico a tu red local. De forma predeterminada, la red del productor de servicios solo aprende las rutas de la subred desde tu red de VPC. Por lo tanto, el productor de servicios descarta cualquier solicitud que no sea de un rango de IP de subred.

Por este motivo, en tu red de VPC, debes actualizar la conexión de intercambio de tráfico para exportar rutas personalizadas a la red del productor de servicios. La exportación de rutas envía todas las rutas estáticas y dinámicas aptas que se encuentran en la red de VPC, como las rutas a tu red local, a la red del productor de servicios. La red del productor de servicios los importa de forma automática y, luego, puede enviar el tráfico a tu red local a través de la red de VPC.

Reglas de firewall

Debes actualizar las reglas de firewall para la red de VPC que conecta tus entornos locales y de múltiples nubes a Google Cloud para permitir el tráfico de entrada desde las subredes de acceso privado a servicios y el tráfico de salida hacia estas.