Algunos productores de servicios de Vertex AI requieren que te conectes a sus servicios a través de interfaces Private Service Connect. Estos servicios se indican en la tabla Métodos de acceso de Vertex AI.
Cuando se crea una interfaz de Private Service Connect, también se crea una instancia de VM con al menos dos interfaces de red. La primera interfaz se conecta a una subred de una red de VPC de un productor. La segunda interfaz solicita una conexión a la subred NetworkAttachment en una red de consumidor. Si se acepta, a esta interfaz se le asigna una dirección IP interna de la subred del consumidor.
En el lado de la conexión privada del productor de servicios, hay una red de VPC en la que se aprovisionan los recursos de tu servicio. Esta red se crea exclusivamente para ti y solo contiene tus recursos. La conectividad entre la red del productor y la del consumidor se establece a través de la interfaz de Private Service Connect.
En el siguiente diagrama se muestra una arquitectura de Vertex AI Pipelines en la que la API de Vertex AI está habilitada y gestionada en la red del consumidor. Los recursos de Vertex AI Pipelines se implementan como una infraestructura como servicio (IaaS) gestionada por Google en la red VPC del productor de servicios. Como la interfaz de Private Service Connect se implementa con una dirección IP de la subred del consumidor, la red del productor tiene acceso a las rutas aprendidas del consumidor, que pueden abarcar redes de VPC, entornos multicloud y redes on-premise.
Opciones de implementación de interfaces de Private Service Connect
Para crear una interfaz de Private Service Connect, primero debes implementar una subred en la VPC del consumidor que comparta la misma región que tu servicio de productor. Consulta los requisitos específicos del servicio para asegurarte de que no haya intervalos de subredes que debas evitar. A continuación, crea un archivo adjunto de red que haga referencia a la subred. Te recomendamos que dediques la subred asignada al adjunto de red exclusivamente a las implementaciones de la interfaz de Private Service Connect.
En las páginas siguientes se describen casos prácticos específicos de las interfaces de Vertex AI Private Service Connect:
- Configurar la interfaz de Private Service Connect para una canalización
- Usar la interfaz de Private Service Connect para Vertex AI Training
- Crear un clúster de Ray en Vertex AI
Consideraciones sobre la implementación
A continuación, se indican algunos aspectos que debes tener en cuenta para la comunicación desde tus cargas de trabajo on-premise, multicloud y de VPC a los servicios de Vertex AI gestionados por Google.
Recomendaciones de subredes de Vertex AI
En la siguiente tabla se indican los intervalos de subred recomendados para los servicios de Vertex AI que admiten interfaces de Private Service Connect.
| Función de Vertex AI | Intervalo de subred recomendado |
|---|---|
| Vertex AI Pipelines | /28 |
| Tareas de entrenamiento personalizadas | /28 |
| Ray en Vertex AI | /28 |
Anuncio de IP
- Cuando usas la interfaz de Private Service Connect para conectarte a los servicios de la red de VPC del consumidor, eliges una dirección IP de una subred normal de tu red de VPC.
- De forma predeterminada, Cloud Router anunciará las subredes de VPC normales, a menos que se configure el modo de anuncio personalizado. Para obtener más información, consulte Anuncio personalizado.
- La conexión entre una vinculación de red y una interfaz de Private Service Connect es transitiva. Las cargas de trabajo de la red de VPC del productor pueden comunicarse con las cargas de trabajo conectadas a la red de VPC del consumidor.
Reglas de cortafuegos
Las interfaces de Private Service Connect las crea y gestiona una organización productora, pero se encuentran en una red de VPC de consumidor. Para la seguridad del lado del consumidor, recomendamos reglas de cortafuegos basadas en intervalos de direcciones IP de la red de VPC del consumidor. Debes actualizar las reglas de cortafuegos para permitir que la subred de conexión de red acceda a la red del consumidor. Para obtener más información, consulta Limitar el acceso de productores a consumidores.
Resolución de nombres de dominio
Cuando se usan APIs de Vertex AI que admiten interfaces de Private Service Connect, no se admite la búsqueda de resolución de nombres de dominio. Si usas un dominio público, se admite la búsqueda de DNS en la red del productor. Para la búsqueda de DNS privados, debe definir variables de nombre de host que se asignen a direcciones IP de capa 3 de consumidor.
Siguientes pasos
- Consulta las especificaciones de los archivos adjuntos de red.
- Prueba un codelab sobre cómo usar interfaces de Private Service Connect con Vertex AI Pipelines.