Beberapa produsen layanan Vertex AI mengharuskan Anda terhubung ke layanan mereka melalui antarmuka Private Service Connect. Layanan ini tercantum dalam tabel Metode akses Vertex AI.
Saat antarmuka Private Service Connect dibuat, instance VM dengan setidaknya dua antarmuka jaringan juga dibuat. Antarmuka pertama terhubung ke subnet di jaringan VPC produsen. Antarmuka kedua meminta koneksi ke subnet lampiran jaringan di jaringan konsumen. Jika diterima, antarmuka ini akan diberi alamat IP internal dari subnet konsumen.
Di sisi produsen layanan, koneksi pribadi adalah jaringan VPC tempat resource layanan Anda disediakan. Jaringan ini dibuat khusus untuk Anda dan hanya berisi resource Anda. Konektivitas antara jaringan produsen dan konsumen dibuat melalui antarmuka Private Service Connect.
Diagram berikut menunjukkan arsitektur Vertex AI Pipelines yang memungkinkan Vertex AI API diaktifkan dan dikelola di jaringan konsumen. Resource Vertex AI Pipelines di-deploy sebagai infrastructure as a service (IaaS) yang dikelola Google di jaringan VPC produsen layanan. Karena antarmuka Private Service Connect di-deploy dengan alamat IP dari subnet konsumen, jaringan produsen memiliki akses ke rute yang dipelajari konsumen yang dapat mencakup jaringan VPC, lingkungan multicloud, dan jaringan lokal.
Fitur dan batasan
Berikut adalah fitur dan batasan antarmuka Private Service Connect:
- Konsumen layanan membuat lampiran jaringan di jaringan VPC-nya, yang merupakan resource yang merepresentasikan sisi koneksi pribadinya.
- Produsen layanan membuat resource terkelola dengan antarmuka PSC yang mereferensikan lampiran jaringan konsumen.
- Setelah konsumen menerima koneksi, antarmuka PSC akan diberi alamat IP internal dari subnet di jaringan VPC konsumen, sehingga memungkinkan komunikasi dua arah yang aman dan pribadi.
- Subnet lampiran jaringan
mendukung alamat RFC 1918 dan non-RFC 1918, kecuali subnet
100.64.0.0/10dan240.0.0.0/4. - Vertex AI hanya dapat terhubung ke rentang alamat IP RFC 1918 yang dapat dirutekan dari jaringan yang ditentukan.
- Antarmuka Private Service Connect tidak mendukung alamat IP eksternal.
Vertex AI tidak dapat menjangkau alamat IP publik yang digunakan secara pribadi atau rentang non-RFC 1918 berikut:
100.64.0.0/10192.0.0.0/24192.0.2.0/24198.18.0.0/15198.51.100.0/24203.0.113.0/24240.0.0.0/4
Opsi deployment antarmuka Private Service Connect
Untuk membuat antarmuka Private Service Connect, pertama-tama deploy subnet dalam VPC konsumen yang berbagi region yang sama dengan layanan produsen Anda. Periksa persyaratan layanan tertentu untuk memastikan tidak ada rentang subnet yang harus Anda hindari. Kemudian, buat lampiran jaringan yang mereferensikan subnet. Sebaiknya Anda mendedikasikan subnet yang dialokasikan untuk lampiran jaringan secara eksklusif ke deployment antarmuka Private Service Connect.
Halaman berikut membahas kasus penggunaan khusus untuk antarmuka Vertex AI Private Service Connect:
- Mengonfigurasi antarmuka Private Service Connect untuk pipeline
- Menggunakan antarmuka Private Service Connect untuk Vertex AI Training
- Membuat cluster Ray on Vertex AI
Pertimbangan deployment
Berikut adalah pertimbangan untuk komunikasi dari beban kerja lokal, multicloud, dan VPC Anda ke layanan Vertex AI yang dikelola Google.
Rekomendasi subnet Vertex AI
Tabel berikut mencantumkan rentang subnet yang direkomendasikan untuk layanan Vertex AI yang mendukung antarmuka Private Service Connect.
| Fitur Vertex AI | Rentang subnet yang direkomendasikan |
|---|---|
| Vertex AI Pipelines | /28 |
| Tugas pelatihan kustom | /28 |
| Ray di Vertex AI | /28 |
Iklan IP
- Saat menggunakan antarmuka Private Service Connect untuk terhubung ke layanan di jaringan VPC konsumen, Anda memilih alamat IP dari daftar rentang IP yang didukung di jaringan VPC Anda.
- Secara default, Cloud Router akan memberitahukan subnet VPC reguler kecuali jika mode pemberitahuan kustom dikonfigurasi. Untuk mengetahui informasi selengkapnya, lihat Pemberitahuan kustom.
- Koneksi antara lampiran jaringan dan antarmuka Private Service Connect bersifat transitif. Workload di jaringan VPC produsen dapat berkomunikasi dengan workload yang terhubung ke jaringan VPC konsumen.
Aturan firewall
Antarmuka Private Service Connect dibuat dan dikelola oleh organisasi produsen, tetapi mereka berada di jaringan VPC konsumen. Untuk keamanan sisi konsumen, kami merekomendasikan aturan firewall yang didasarkan pada rentang alamat IP dari jaringan VPC konsumen. Anda harus memperbarui aturan firewall untuk mengizinkan akses subnet lampiran jaringan ke jaringan konsumen. Untuk mengetahui informasi selengkapnya, lihat Membatasi ingress produsen ke konsumen.
Resolusi nama domain
Saat menggunakan Vertex AI API yang mendukung antarmuka Private Service Connect, pencarian resolusi nama domain tidak didukung. Jika Anda menggunakan domain publik, pencarian DNS didukung dalam jaringan produsen. Untuk pencarian DNS pribadi, Anda harus menentukan variabel nama host yang dipetakan ke alamat IP Layer 3 konsumen.
Langkah berikutnya
- Pelajari spesifikasi koneksi jaringan.
- Coba codelab tentang penggunaan antarmuka Private Service Connect dengan Vertex AI Pipelines.