Alguns produtores de serviços do Vertex AI requerem que se ligue aos respetivos serviços através de interfaces do Private Service Connect. Estes serviços estão listados na tabela Métodos de acesso do Vertex AI.
Quando é criada uma interface do Private Service Connect, também é criada uma instância de VM com, pelo menos, duas interfaces de rede. A primeira interface liga-se a uma sub-rede numa rede VPC do produtor. A segunda interface pede uma ligação à sub-rede do anexo de rede numa rede de consumo. Se for aceite, esta interface é atribuída a um endereço IP interno da sub-rede do consumidor.
Do lado do produtor de serviços da ligação privada, existe uma rede VPC onde os recursos do seu serviço são aprovisionados. Esta rede é criada exclusivamente para si e contém apenas os seus recursos. A conetividade entre a rede do produtor e do consumidor é estabelecida através da interface do Private Service Connect.
O diagrama seguinte mostra uma arquitetura do Vertex AI Pipelines em que a API Vertex AI está ativada e é gerida na rede do consumidor. Os recursos do Vertex AI Pipelines são implementados como uma infraestrutura como serviço (IaaS) gerida pela Google na rede VPC do produtor de serviços. Uma vez que a interface do Private Service Connect é implementada com um endereço IP da sub-rede do consumidor, a rede do produtor tem acesso às rotas aprendidas do consumidor que podem abranger redes VPC, ambientes multicloud e redes no local.
Funcionalidades e limitações
Seguem-se as funcionalidades e as limitações das interfaces do Private Service Connect:
- O consumidor de serviços cria uma associação de rede na respetiva rede VPC, que é um recurso que representa o respetivo lado da ligação privada.
- O produtor de serviços cria o recurso gerido com uma interface do PSC que faz referência à associação de rede do consumidor.
- Assim que o consumidor aceita a ligação, é atribuído um endereço IP interno à interface do PSC a partir de uma sub-rede na rede VPC do consumidor, o que permite uma comunicação segura, privada e bidirecional.
- A sub-rede da associação de rede
suporta endereços RFC 1918 e não RFC 1918, com exceção das sub-redes
100.64.0.0/10e240.0.0.0/4. - O Vertex AI só pode estabelecer ligação a intervalos de endereços IP RFC 1918 encaminháveis a partir da rede especificada.
- As interfaces do Private Service Connect não suportam endereços IP externos.
O Vertex AI não consegue alcançar um endereço IP público usado de forma privada ou estes intervalos não RFC 1918:
100.64.0.0/10192.0.0.0/24192.0.2.0/24198.18.0.0/15198.51.100.0/24203.0.113.0/24240.0.0.0/4
Opções de implementação da interface do Private Service Connect
Para criar uma interface do Private Service Connect, primeiro implemente uma sub-rede na VPC do consumidor que partilhe a mesma região que o seu serviço de produtor. Verifique os requisitos de serviço específicos para se certificar de que não existem intervalos de sub-redes que deve evitar. Em seguida, crie uma associação de rede que faça referência à sub-rede. Recomendamos que dedique a sub-rede atribuída ao anexo de rede exclusivamente às implementações da interface do Private Service Connect.
As páginas seguintes abordam exemplos de utilização específicos das interfaces do Private Service Connect do Vertex AI:
- Configure a interface do Private Service Connect para um pipeline
- Use a interface do Private Service Connect para o Vertex AI Training
- Crie um cluster do Ray no Vertex AI
Considerações sobre a implementação
Seguem-se considerações para a comunicação das suas cargas de trabalho no local, em várias nuvens e na VPC para os serviços do Vertex AI geridos pela Google.
Recomendações de sub-rede do Vertex AI
A tabela seguinte indica os intervalos de sub-redes recomendados para os serviços do Vertex AI que suportam interfaces do Private Service Connect.
| Funcionalidade do Vertex AI | Intervalo de sub-rede recomendado |
|---|---|
| Vertex AI Pipelines | /28 |
| Tarefas de preparação personalizadas | /28 |
| Ray no Vertex AI | /28 |
Publicidade de IP
- Quando usa a interface Private Service Connect para se ligar a serviços na rede VPC do consumidor, escolhe um endereço IP numa lista de intervalos de IP suportados na sua rede VPC.
- Por predefinição, o Cloud Router anuncia sub-redes VPC normais, a menos que o modo de anúncio personalizado esteja configurado. Para mais informações, consulte Anúncio personalizado.
- Uma ligação entre uma associação de rede e uma interface do Private Service Connect é transitiva. As cargas de trabalho na rede VPC do produtor podem comunicar com as cargas de trabalho ligadas à rede VPC do consumidor.
Regras de firewall
As interfaces do Private Service Connect são criadas e geridas por uma organização produtora, mas estão localizadas numa rede VPC consumidora. Para a segurança do lado do consumidor, recomendamos regras de firewall baseadas em intervalos de endereços IP da rede VPC do consumidor. Tem de atualizar as regras da firewall para permitir que a sub-rede de ligação de rede aceda à rede do consumidor. Para mais informações, consulte o artigo Limite a entrada de dados do produtor para o consumidor.
Resolução do nome de domínio
Quando usar APIs Vertex AI que suportam interfaces Private Service Connect, a procura de resolução de nomes de domínio não é suportada. Se estiver a usar um domínio público, a pesquisa de DNS é suportada na rede do produtor. Para a procura de DNS privado, tem de definir variáveis de nome de anfitrião mapeadas para endereços IP da camada 3 do consumidor.
O que se segue?
- Saiba mais acerca das especificações de ligação à rede.
- Experimente um codelab sobre a utilização de interfaces do Private Service Connect com os Vertex AI Pipelines.