Bei einigen Diensterstellern von Vertex AI müssen Sie sich über Private Service Connect-Schnittstellen mit ihren Diensten verbinden. Diese Dienste sind in der Tabelle Vertex AI-Zugriffsmethoden aufgeführt.
Wenn eine Private Service Connect-Schnittstelle erstellt wird, wird auch eine VM-Instanz mit mindestens zwei Netzwerkschnittstellen erstellt. Die erste Schnittstelle stellt eine Verbindung zu einem Subnetz in einem Ersteller-VPC-Netzwerk her. Die zweite Schnittstelle fordert eine Verbindung zum Subnetz des Netzwerkanhangs in einem Nutzer-Netzwerk an. Wenn die Anfrage akzeptiert wird, wird dieser Schnittstelle eine interne IP-Adresse aus dem Nutzersubnetz zugewiesen.
Auf der Diensterstellerseite der privaten Verbindung steht ein VPC-Netzwerk, in dem Ihre Dienstressourcen bereitgestellt werden. Dieses Netzwerk wird ausschließlich für Sie erstellt und enthält nur Ihre Ressourcen. Die Verbindung zwischen dem Ersteller- und dem Nutzer-Netzwerk wird über die Private Service Connect-Schnittstelle hergestellt.
Das folgende Diagramm zeigt eine Vertex AI Pipelines-Architektur, in der die Vertex AI API im Netzwerk des Nutzers aktiviert und verwaltet wird. Die Vertex AI Pipelines-Ressourcen werden als von Google verwaltete Infrastructure-as-a-Service (IaaS) im VPC-Netzwerk des Diensterstellers bereitgestellt. Da die Private Service Connect-Schnittstelle mit einer IP-Adresse aus dem Subnetz des Nutzers bereitgestellt wird, hat das Netzwerk des Erstellers Zugriff auf die gelernten Routen des Nutzers, die VPC-Netzwerke, Multicloud-Umgebungen und lokale Netzwerke umfassen können.
Funktionen und Einschränkungen
Im Folgenden finden Sie die Funktionen und Einschränkungen von Private Service Connect-Schnittstellen (PSC):
- Der Dienstnutzer erstellt in seinem VPC-Netzwerk einen Netzwerkanhang, der seine Seite der privaten Verbindung darstellt.
- Der Dienstanbieter erstellt die verwaltete Ressource mit einer PSC-Schnittstelle, die auf den Netzwerkanhang des Nutzers verweist.
- Sobald der Nutzer die Verbindung akzeptiert, wird der PSC-Schnittstelle eine interne IP-Adresse aus einem Subnetz im VPC-Netzwerk des Nutzers zugewiesen, was eine sichere, private und bidirektionale Kommunikation ermöglicht.
- Das Subnetz der Netzwerkverbindung unterstützt RFC 1918- und Nicht-RFC 1918-Adressen mit Ausnahme der Subnetze
100.64.0.0/10und240.0.0.0/4. - Vertex AI kann nur eine Verbindung zu RFC 1918-IP-Adressbereichen herstellen, die über das angegebene Netzwerk geroutet werden können.
- Private Service Connect-Schnittstellen unterstützen externe IP-Adressen nicht.
Vertex AI kann keine privat verwendete öffentliche IP-Adresse oder die folgenden Bereiche außerhalb von RFC 1918 erreichen:
100.64.0.0/10192.0.0.0/24192.0.2.0/24198.18.0.0/15198.51.100.0/24203.0.113.0/24240.0.0.0/4
Private Service Connect-Verbindung bevorzugen
Private Service Connect bietet beim Bereitstellen eines Netzwerkanhangs eine Verbindungseinstellung, die bestimmt, ob Verbindungsanfragen von einem Ersteller automatisch akzeptiert werden oder eine manuelle Genehmigung erforderlich ist. In Vertex AI wird der Zugriff auf einen Netzwerkanhang mit der Einstellung „Verbindungen für alle Projekte automatisch akzeptieren“ (ACCEPT_AUTOMATIC) oder „Verbindungen für ausgewählte Projekte akzeptieren“ (ACCEPT_MANUAL) so behandelt:
- Eine Netzwerkanbindung, die mit der Verbindungseinstellung
ACCEPT_MANUALkonfiguriert ist, wird in Vertex AI unterstützt, ohne dass die Vertex AI-Projekt-ID im akzeptierten Projekt konfiguriert werden muss. - Vertex AI verwendet die Berechtigungen (
compute.networkAttachments.updateundcompute.regionOperations.get), um das Mandantenprojekt, in dem Vertex AI gehostet wird, für die Verwendung des Netzwerkanhangs für die PSC-Schnittstelleneinrichtung für die VerbindungspräferenzenACCEPT_AUTOMATICundACCEPT_MANUALzu autorisieren.
Weitere Informationen zu IAM und Bereitstellungsrichtlinien finden Sie unter Private Service Connect-Schnittstelle für Vertex AI-Ressourcen einrichten.
Bereitstellungsoptionen für Private Service Connect-Schnittstellen
Wenn Sie eine Private Service Connect-Schnittstelle erstellen möchten, stellen Sie zuerst ein Subnetz in der Nutzer-VPC bereit, das sich in derselben Region wie Ihr Erstellerdienst befindet. Prüfen Sie die spezifischen Anforderungen des Dienstes, um sicherzugehen, dass es keine Subnetzbereiche gibt, die Sie vermeiden sollten. Erstellen Sie dann einen Netzwerkanhang, der auf das Subnetz verweist. Wir empfehlen, das für den Netzwerkanhang zugewiesene Subnetz ausschließlich für die Bereitstellung von Private Service Connect-Schnittstellen zu verwenden.
Auf den folgenden Seiten werden spezifische Anwendungsfälle für Vertex AI Private Service Connect-Schnittstellen beschrieben:
- Private Service Connect-Schnittstelle für eine Pipeline konfigurieren
- Private Service Connect-Schnittstelle für Vertex AI Training verwenden
- Ray-Cluster in Vertex AI erstellen
- Private Service Connect-Schnittstelle mit Vertex AI Agent Engine verwenden
VPC Service Controls – Überlegungen
Ob der Dienst von Vertex AI-Produzenten auf das öffentliche Internet zugreifen kann, hängt von der Sicherheitskonfiguration Ihres Projekts ab, insbesondere davon, ob Sie VPC Service Controls verwenden.
- Ohne VPC Service Controls: Das von Google verwaltete Hosting von Vertex AI behält den standardmäßigen Internetzugriff bei. Dieser ausgehende Traffic wird direkt aus der sicheren, von Google verwalteten Umgebung geleitet, in der Ihr Producer-Dienst ausgeführt wird.
- Mit VPC Service Controls: Wenn Ihr Projekt Teil eines VPC Service Controls-Perimeters ist, wird der von Google verwaltete Internetzugriff für die Vertex AI-Standardmandanten durch den Perimeter blockiert, um Daten-Exfiltration zu verhindern. Damit die Instanzen in diesem Szenario auf das öffentliche Internet zugreifen können, müssen Sie explizit einen sicheren Pfad für ausgehenden Traffic konfigurieren, der den Traffic über Ihr VPC-Netzwerk weiterleitet. Die empfohlene Methode hierfür ist, einen Proxyserver in Ihrem VPC-Perimeter einzurichten und ein Cloud NAT-Gateway zu erstellen, damit die Proxy-VM auf das Internet zugreifen kann.
Weitere Informationen zu VPC Service Controls finden Sie unter VPC Service Controls mit Vertex AI.
Überlegungen zur Bereitstellung
Im Folgenden finden Sie einige Überlegungen zur Kommunikation von Ihren lokalen, Multi-Cloud- und VPC-Arbeitslasten mit von Google verwalteten Vertex AI-Diensten.
Vertex AI-Empfehlungen für Subnetze
In der folgenden Tabelle sind die empfohlenen Subnetzbereiche für Vertex AI-Dienste aufgeführt, die Private Service Connect-Schnittstellen unterstützen.
| Vertex AI-Feature | Empfohlener Subnetzbereich |
|---|---|
| Vertex AI Pipelines | /28 |
| Benutzerdefinierte Trainingsjobs | /28 |
| Ray in Vertex AI | /28 |
| Vertex AI Agent Engine | /28 |
IP-Anzeigen
- Wenn Sie über die Private Service Connect-Schnittstelle eine Verbindung zu Diensten im VPC-Netzwerk des Nutzers herstellen, wählen Sie eine IP-Adresse aus einer Liste der unterstützten IP-Bereiche in Ihrem VPC-Netzwerk aus.
- Standardmäßig bewirbt der Cloud Router reguläre VPC-Subnetze, sofern kein benutzerdefinierter Advertising-Modus konfiguriert ist. Weitere Informationen finden Sie unter Benutzerdefinierte Werbung.
- Verbindungen zwischen einem Netzwerkanhang und einer Private Service Connect-Schnittstelle sind transitiv. Arbeitslasten im VPC-Netzwerk des Erstellers können mit Arbeitslasten kommunizieren, die mit dem VPC-Netzwerk des Nutzers verbunden sind.
Firewallregeln
Private Service Connect-Schnittstellen werden von einer Erstellerorganisation erstellt und verwaltet, befinden sich aber in einem Nutzer-VPC-Netzwerk. Für die Sicherheit auf Nutzerseite empfehlen wir Firewallregeln, die auf IP-Adressbereichen aus dem Nutzer-VPC-Netzwerk basieren. Sie müssen die Firewallregeln aktualisieren, damit das Subnetzwerk für die Netzwerkverbindung auf das Netzwerk des Kunden zugreifen kann. Weitere Informationen finden Sie unter Eingehenden Traffic von Produzenten zu Verbrauchern begrenzen.
Auflösung von Domainnamen
Wenn Sie nur eine Private Service Connect-Schnittstelle verwenden, müssen Sie über die internen IP-Adressen eine Verbindung zu Diensten herstellen. Dies ist für Produktionssysteme nicht empfehlenswert, da sich IP-Adressen ändern können, was zu instabilen Konfigurationen führt.
Durch die Implementierung von DNS-Peering können Vertex AI-Ersteller stattdessen Dienste in Ihrer VPC und in lokalen oder Multi-Cloud-Netzwerken auflösen und eine Verbindung zu ihnen herstellen. Dies wird erreicht, indem Einträge aus einer privaten Cloud DNS-Zone in Ihrem VPC-Netzwerk abgefragt werden. So ist ein stabiler und zuverlässiger Dienstzugriff gewährleistet, auch wenn die zugrunde liegenden IP-Adressen geändert werden.
Weitere Informationen finden Sie unter Private DNS-Peering einrichten.
Nächste Schritte
- Weitere Informationen zu den Spezifikationen für Netzwerkanhänge
- Codelab zur Verwendung von Private Service Connect-Schnittstellen mit Vertex AI Pipelines
- Codelab zur Verwendung eines expliziten Proxys für den Zugriff auf Nicht-RFC1918-Endpunkte mit Vertex AI Pipelines