Alcuni producer di servizi Vertex AI richiedono di connettersi ai loro servizi tramite gli endpoint Private Service Connect. Questi servizi sono elencati nella tabella Opzioni di accesso privato per Vertex AI. Supportano la comunicazione unidirezionale dai carichi di lavoro on-premise, multicloud e VPC di un consumatore di servizi ai servizi Vertex AI gestiti da Google. I client si connettono all'endpoint utilizzando indirizzi IP interni. Private Service Connect esegue la Network Address Translation (NAT) per inoltrare le richieste al servizio.
I consumer di servizi possono utilizzare i propri indirizzi IP interni per accedere a questi servizi Vertex AI senza uscire dalle loro reti VPC o utilizzare indirizzi IP esterni creando un endpoint consumer. L'endpoint si connette ai servizi in un'altra rete VPC utilizzando una regola di forwarding Private Service Connect.
Sul lato del producer di servizi della connessione privata, è presente una rete VPC in cui viene eseguito il provisioning delle risorse di servizio. Questa rete è creata esclusivamente per te e contiene solo le tue risorse.
Il seguente diagramma mostra un'architettura di ricerca vettoriale in cui l'API di ricerca vettoriale è abilitata e gestita in un progetto di servizio (serviceproject) nell'ambito di un deployment di VPC condivisa. Le risorse Compute Engine di Vector Search vengono implementate come Infrastructure as a Service (IaaS) gestita da Google nella rete VPC del producer di servizi.
Gli endpoint Private Service Connect vengono implementati nella rete VPC (hostproject) del consumer del servizio per le query sugli indici, oltre agli endpoint Private Service Connect per le API di Google per la creazione di indici privati.
Per ulteriori informazioni, consulta Endpoint di Private Service Connect.
Prima di configurare gli endpoint di Private Service Connect, tieni conto delle considerazioni relative all'accesso.
Opzioni di deployment degli endpoint Private Service Connect
Gli endpoint Private Service Connect supportano i deployment sia mono-tenant che multi-tenant. Supportano inoltre Global Access, che consente la raggiungibilità degli endpoint dei consumatori da qualsiasi regione all'interno di Google Cloud, mentre il backend rimane regionale. Per saperne di più, consulta Informazioni sull'accesso ai servizi pubblicati tramite endpoint.
Considerazioni sul deployment
Di seguito sono riportate alcune considerazioni per la comunicazione dai carichi di lavoro on-premise, multicloud e VPC ai servizi Vertex AI gestiti da Google.
Gruppi di endpoint di rete Private Service Connect (NEG)
Google non supporta l'utilizzo di gruppi di endpoint di rete (NEG) Private Service Connect con gli endpoint di previsione online di Vertex AI.
Pubblicità IP
Quando utilizzi Private Service Connect per connetterti ai servizi di un'altra rete VPC, scegli un indirizzo IP da una subnet normale nella tua rete VPC.
Per impostazione predefinita, il router Cloud annuncerà le sottoreti VPC standard, a meno che non sia configurata la modalità di annuncio personalizzato. Per ulteriori informazioni, consulta la sezione Modalità annunci personalizzati.
L'indirizzo IP dell'endpoint consumer deve trovarsi nella stessa regione dell'attacco del servizio del producer di servizi. Per ulteriori informazioni, consulta Allegamenti dei servizi e Accedere ai servizi pubblicati tramite gli endpoint.
Regole firewall
Devi aggiornare le regole del firewall per la rete VPC che connette i tuoi ambienti on-premise e multicloud a Google Cloud per consentire il traffico in uscita alla sottorete dell'endpoint Private Service Connect. Per ulteriori informazioni, consulta Regole firewall.