关于通过 Private Service Connect 端点访问 Vertex AI 服务

某些 Vertex AI 服务提供方要求您通过 Private Service Connect 端点连接到其服务。 Vertex AI 的专用访问通道选项表中列出了这些服务。它们支持从服务使用方的本地、多云和 VPC 工作负载与 Google 管理的 Vertex AI 服务进行单向通信。客户端使用内部 IP 地址连接到端点。Private Service Connect 执行网络地址转换 (NAT),以将请求路由到服务。

服务使用方可以使用自己的内部 IP 地址访问这些 Vertex AI 服务,而无需离开其 VPC 网络,或是通过创建使用方端点来使用外部 IP 地址。端点使用 Private Service Connect 转发规则连接到另一个 VPC 网络中的服务。

在专用连接的服务提供方一端有一个 VPC 网络,您可以在其中预配服务资源。此网络专门为您创建,仅包含您的资源。

下图展示了一个 Vector Search 架构,其中的服务项目 (serviceproject) 是共享 VPC 部署的一部分,在该服务项目中启用并管理 Vector Search API。Vector Search Compute Engine 资源以 Google 管理的基础设施即服务 (IaaS) 的形式部署在服务提供方的 VPC 网络中。

Private Service Connect 端点部署在服务使用方的 VPC 网络 (hostproject) 中以进行索引查询,此外还部署了 Google API 的 Private Service Connect 端点以进行专用索引创建。

如需了解详情,请参阅 Private Service Connect 端点

图片

在配置 Private Service Connect 端点之前,请先了解访问注意事项

Private Service Connect 端点部署选项

Private Service Connect 端点支持单租户和多租户部署。 它们还支持全球访问权限,允许从 Google Cloud 内的任何区域访问使用方端点,而后端仍为区域级后端。如需了解详情,请参阅通过端点访问已发布服务的简介

部署考虑事项

以下是有关从本地、多云和 VPC 工作负载与 Google 管理的 Vertex AI 服务进行通信的注意事项。

Private Service Connect 网络端点组 (NEG)

Google 不支持将 Private Service Connect 网络端点组 (NEG) 与 Vertex AI 在线预测端点搭配使用。

IP 通告

  • 使用 Private Service Connect 连接到另一个 VPC 网络中的服务时,您可以从您的 VPC 网络的常规子网中选择一个 IP 地址。

  • 默认情况下,除非配置自定义通告模式,否则 Cloud Router 会通告常规 VPC 子网。如需了解详情,请参阅自定义通告模式

  • 使用方端点的 IP 地址必须与服务提供方的服务连接处于同一区域。如需了解详情,请参阅服务连接通过端点访问已发布的服务

防火墙规则

您必须更新将本地和多云环境连接到 Google Cloud 的 VPC 网络的防火墙规则,以允许流向 Private Service Connect 端点子网的出站流量。如需了解详情,请参阅防火墙规则