Alguns produtores de serviços do Vertex AI requerem que se ligue aos respetivos serviços através de interfaces do Private Service Connect. Estes serviços estão listados na tabela Métodos de acesso do Vertex AI.
Quando é criada uma interface do Private Service Connect, também é criada uma instância de VM com, pelo menos, duas interfaces de rede. A primeira interface liga-se a uma sub-rede numa rede VPC do produtor. A segunda interface pede uma ligação à sub-rede do anexo de rede numa rede de consumo. Se for aceite, esta interface é atribuída a um endereço IP interno da sub-rede do consumidor.
Do lado do produtor de serviços da ligação privada, existe uma rede VPC onde os recursos do seu serviço são aprovisionados. Esta rede é criada exclusivamente para si e contém apenas os seus recursos. A conetividade entre a rede do produtor e do consumidor é estabelecida através da interface do Private Service Connect.
O diagrama seguinte mostra uma arquitetura do Vertex AI Pipelines em que a API Vertex AI está ativada e é gerida na rede do consumidor. Os recursos do Vertex AI Pipelines são implementados como uma infraestrutura como serviço (IaaS) gerida pela Google na rede VPC do produtor de serviços. Uma vez que a interface do Private Service Connect é implementada com um endereço IP da sub-rede do consumidor, a rede do produtor tem acesso às rotas aprendidas do consumidor que podem abranger redes VPC, ambientes multicloud e redes no local.
Funcionalidades e limitações
Seguem-se as funcionalidades e as limitações das interfaces do Private Service Connect (PSC):
- O consumidor de serviços cria uma associação de rede na respetiva rede VPC, que é um recurso que representa o respetivo lado da ligação privada.
- O produtor de serviços cria o recurso gerido com uma interface do PSC que faz referência à associação de rede do consumidor.
- Assim que o consumidor aceita a ligação, é atribuído um endereço IP interno à interface do PSC a partir de uma sub-rede na rede VPC do consumidor, o que permite uma comunicação segura, privada e bidirecional.
- A sub-rede da associação de rede
suporta endereços RFC 1918 e não RFC 1918, com exceção das sub-redes
100.64.0.0/10e240.0.0.0/4. - O Vertex AI só pode estabelecer ligação a intervalos de endereços IP RFC 1918 encaminháveis a partir da rede especificada.
- As interfaces do Private Service Connect não suportam endereços IP externos.
O Vertex AI não consegue alcançar um endereço IP público usado de forma privada ou estes intervalos não RFC 1918:
100.64.0.0/10192.0.0.0/24192.0.2.0/24198.18.0.0/15198.51.100.0/24203.0.113.0/24240.0.0.0/4
Preferência de ligação do Private Service Connect
O Private Service Connect oferece uma preferência de ligação quando implementa uma associação de rede que determina se os pedidos de ligação de um produtor são aceites automaticamente ou requerem aprovação manual. No Vertex AI,
o acesso a uma associação de rede com a preferência "Aceitar automaticamente
ligações para todos os projetos" (ACCEPT_AUTOMATIC) ou "Aceitar ligações para
projetos selecionados" (ACCEPT_MANUAL) é tratado da seguinte forma:
- É suportado um anexo de rede configurado com a preferência de ligação
ACCEPT_MANUALno Vertex AI sem configurar o ID do projeto do Vertex AI no projeto aceite. - O Vertex AI usa as autorizações (
compute.networkAttachments.updateecompute.regionOperations.get) para autorizar o projeto de inquilino que aloja o Vertex AI a usar a associação de rede para a implementação da interface do PSC para as preferências de ligaçãoACCEPT_AUTOMATICeACCEPT_MANUAL.
Para saber mais sobre as diretrizes de IAM e implementação, consulte o artigo Configure uma interface do Private Service Connect para recursos da Vertex AI.
Opções de implementação da interface do Private Service Connect
Para criar uma interface do Private Service Connect, primeiro implemente uma sub-rede na VPC do consumidor que partilhe a mesma região que o seu serviço de produtor. Verifique os requisitos de serviço específicos para se certificar de que não existem intervalos de sub-redes que deve evitar. Em seguida, crie uma associação de rede que faça referência à sub-rede. Recomendamos que dedique a sub-rede atribuída ao anexo de rede exclusivamente às implementações da interface do Private Service Connect.
As páginas seguintes abordam exemplos de utilização específicos das interfaces do Private Service Connect do Vertex AI:
- Configure a interface do Private Service Connect para um pipeline
- Use a interface do Private Service Connect para o Vertex AI Training
- Crie um cluster do Ray no Vertex AI
- Usar a interface do Private Service Connect com o Vertex AI Agent Engine
Considerações sobre os VPC Service Controls
A capacidade do serviço dos produtores do Vertex AI de aceder à Internet pública depende da configuração de segurança do seu projeto, especificamente se está a usar o VPC Service Controls.
- Sem os VPC Service Controls: a alojamento de tendas gerido pela Google do Vertex AI mantém o acesso à Internet predefinido. Este tráfego de saída sai diretamente do ambiente seguro gerido pela Google onde o seu serviço de produção é executado.
- Com os VPC Service Controls: quando o seu projeto faz parte de um perímetro dos VPC Service Controls, o acesso à Internet predefinido de alojamento de tendas gerido pela Google do Vertex AI é bloqueado pelo perímetro para evitar a exfiltração de dados. Para permitir que o serviço aceda à Internet pública neste cenário, tem de configurar explicitamente um caminho de saída seguro que encaminhe o tráfego através da rede VPC. A forma recomendada de o fazer é configurar um servidor proxy dentro do perímetro da VPC e criar um gateway Cloud NAT para permitir que a VM proxy aceda à Internet.
Para saber mais sobre as considerações do VPC Service Controls, consulte o artigo VPC Service Controls com a Vertex AI.
Considerações sobre a implementação
Seguem-se considerações para a comunicação das suas cargas de trabalho no local, em várias nuvens e na VPC para os serviços do Vertex AI geridos pela Google.
Recomendações de sub-rede do Vertex AI
A tabela seguinte indica os intervalos de sub-redes recomendados para os serviços do Vertex AI que suportam interfaces do Private Service Connect.
| Funcionalidade do Vertex AI | Intervalo de sub-rede recomendado |
|---|---|
| Vertex AI Pipelines | /28 |
| Tarefas de preparação personalizadas | /28 |
| Ray no Vertex AI | /28 |
| Vertex AI Agent Engine | /28 |
Publicidade de IP
- Quando usa a interface Private Service Connect para se ligar a serviços na rede VPC do consumidor, escolhe um endereço IP numa lista de intervalos de IP suportados na sua rede VPC.
- Por predefinição, o Cloud Router anuncia sub-redes VPC normais, a menos que o modo de anúncio personalizado esteja configurado. Para mais informações, consulte Anúncio personalizado.
- Uma ligação entre uma associação de rede e uma interface do Private Service Connect é transitiva. As cargas de trabalho na rede VPC do produtor podem comunicar com as cargas de trabalho ligadas à rede VPC do consumidor.
Regras de firewall
As interfaces do Private Service Connect são criadas e geridas por uma organização produtora, mas estão localizadas numa rede VPC consumidora. Para a segurança do lado do consumidor, recomendamos regras de firewall baseadas em intervalos de endereços IP da rede VPC do consumidor. Tem de atualizar as regras da firewall para permitir que a sub-rede de ligação de rede aceda à rede do consumidor. Para mais informações, consulte o artigo Limite a entrada de dados do produtor para o consumidor.
Resolução do nome de domínio
A utilização de uma interface do Private Service Connect isoladamente requer a ligação a serviços através dos respetivos endereços IP internos. Esta não é uma prática recomendada para sistemas de produção, porque os endereços IP podem mudar, o que leva a configurações instáveis.
Ao implementar o intercâmbio de DNS, os produtores da Vertex AI podem, em alternativa, resolver e estabelecer ligação a serviços na sua VPC e em redes no local ou multicloud. Isto é conseguido através da consulta de registos de uma zona privada do Cloud DNS na sua rede VPC, o que garante um acesso estável e fiável ao serviço, mesmo que os endereços IP subjacentes sejam modificados.
Para mais informações, consulte o artigo Configure uma interligação de DNS privado.
O que se segue?
- Saiba mais acerca das especificações de ligação à rede.
- Experimente um codelab sobre a utilização de interfaces do Private Service Connect com os Vertex AI Pipelines.
- Experimente um codelab sobre a utilização de um proxy explícito para alcançar pontos finais não RFC1918 com os Vertex AI Pipelines.