Beberapa produsen layanan Vertex AI mewajibkan Anda terhubung ke layanan mereka melalui antarmuka Private Service Connect. Layanan ini tercantum dalam tabel Metode akses Vertex AI.
Saat antarmuka Private Service Connect dibuat, instance VM dengan setidaknya dua antarmuka jaringan juga dibuat. Antarmuka pertama terhubung ke subnet di jaringan VPC produsen. Antarmuka kedua meminta koneksi ke subnet lampiran jaringan di jaringan konsumen. Jika diterima, antarmuka ini akan diberi alamat IP internal dari subnet konsumen.
Di sisi produsen layanan, koneksi pribadi adalah jaringan VPC tempat resource layanan Anda disediakan. Jaringan ini dibuat khusus untuk Anda dan hanya berisi resource Anda. Konektivitas antara jaringan produsen dan konsumen dibuat melalui antarmuka Private Service Connect.
Diagram berikut menunjukkan arsitektur Vertex AI Pipelines yang memungkinkan Vertex AI API diaktifkan dan dikelola di jaringan konsumen. Resource Vertex AI Pipelines di-deploy sebagai infrastructure as a service (IaaS) yang dikelola Google di jaringan VPC produsen layanan. Karena antarmuka Private Service Connect di-deploy dengan alamat IP dari subnet konsumen, jaringan produsen memiliki akses ke rute yang dipelajari konsumen yang dapat mencakup jaringan VPC, lingkungan multicloud, dan jaringan lokal.
Fitur dan batasan
Berikut adalah fitur dan batasan antarmuka Private Service Connect (PSC):
- Konsumen layanan membuat lampiran jaringan di jaringan VPC-nya, yang merupakan resource yang merepresentasikan sisi koneksi pribadinya.
- Produsen layanan membuat resource terkelola dengan antarmuka PSC yang mereferensikan lampiran jaringan konsumen.
- Setelah konsumen menerima koneksi, antarmuka PSC akan diberi alamat IP internal dari subnet di jaringan VPC konsumen, sehingga memungkinkan komunikasi dua arah yang aman dan pribadi.
- Subnet lampiran jaringan
mendukung alamat RFC 1918 dan non-RFC 1918, kecuali subnet
100.64.0.0/10dan240.0.0.0/4. - Vertex AI hanya dapat terhubung ke rentang alamat IP RFC 1918 yang dapat dirutekan dari jaringan yang ditentukan.
- Antarmuka Private Service Connect tidak mendukung alamat IP eksternal.
Vertex AI tidak dapat menjangkau alamat IP publik yang digunakan secara pribadi atau rentang non-RFC 1918 berikut:
100.64.0.0/10192.0.0.0/24192.0.2.0/24198.18.0.0/15198.51.100.0/24203.0.113.0/24240.0.0.0/4
Preferensi koneksi Private Service Connect
Private Service Connect menawarkan preferensi koneksi saat men-deploy lampiran jaringan yang menentukan apakah permintaan koneksi dari produsen akan diterima secara otomatis atau memerlukan persetujuan manual. Di Vertex AI,
mengakses lampiran jaringan dengan preferensi "Automatically accept
connections for all projects" (ACCEPT_AUTOMATIC) atau "Accept connections for
selected projects" (ACCEPT_MANUAL) diperlakukan sebagai berikut:
- Lampiran jaringan yang dikonfigurasi dengan preferensi koneksi
ACCEPT_MANUALdidukung di Vertex AI tanpa mengonfigurasi ID project Vertex AI dalam project yang diterima. - Vertex AI menggunakan izin (
compute.networkAttachments.updatedancompute.regionOperations.get) untuk mengizinkan project tenant yang menghosting Vertex AI menggunakan lampiran jaringan untuk deployment Antarmuka PSC untuk preferensi koneksiACCEPT_AUTOMATICdanACCEPT_MANUAL.
Untuk mempelajari lebih lanjut pedoman IAM dan deployment, lihat Menyiapkan antarmuka Private Service Connect untuk resource Vertex AI.
Opsi deployment antarmuka Private Service Connect
Untuk membuat antarmuka Private Service Connect, pertama-tama deploy subnet dalam VPC konsumen yang berbagi region yang sama dengan layanan produsen Anda. Periksa persyaratan layanan tertentu untuk memastikan tidak ada rentang subnet yang harus Anda hindari. Kemudian, buat lampiran jaringan yang mereferensikan subnet. Sebaiknya Anda mendedikasikan subnet yang dialokasikan untuk lampiran jaringan secara eksklusif ke deployment antarmuka Private Service Connect.
Halaman berikut membahas kasus penggunaan khusus untuk antarmuka Vertex AI Private Service Connect:
- Mengonfigurasi antarmuka Private Service Connect untuk pipeline
- Menggunakan antarmuka Private Service Connect untuk Vertex AI Training
- Membuat cluster Ray on Vertex AI
- Menggunakan antarmuka Private Service Connect dengan Vertex AI Agent Engine
Pertimbangan Kontrol Layanan VPC
Kemampuan layanan produsen Vertex AI untuk mengakses internet publik bergantung pada konfigurasi keamanan project Anda, khususnya apakah Anda menggunakan Kontrol Layanan VPC.
- Tanpa Kontrol Layanan VPC: Hosting tenda yang dikelola Google untuk Vertex AI mempertahankan akses internet defaultnya. Traffic keluar ini keluar langsung dari lingkungan yang aman dan dikelola Google tempat layanan produser Anda berjalan.
- Dengan Kontrol Layanan VPC: Jika project Anda adalah bagian dari perimeter Kontrol Layanan VPC, akses internet default yang dikelola Google untuk hosting sementara Vertex AI akan diblokir oleh perimeter untuk mencegah pemindahan data yang tidak sah. Untuk mengizinkan akses ke internet publik dalam skenario ini, Anda harus secara eksplisit mengonfigurasi jalur keluar yang aman yang merutekan traffic melalui jaringan VPC Anda. Cara yang direkomendasikan untuk melakukannya adalah dengan menyiapkan server proxy di dalam perimeter VPC Anda dan membuat gateway Cloud NAT untuk mengizinkan VM proxy mengakses internet.
Untuk mempelajari lebih lanjut pertimbangan Kontrol Layanan VPC, lihat Kontrol Layanan VPC dengan Vertex AI.
Pertimbangan deployment
Berikut adalah pertimbangan untuk komunikasi dari beban kerja lokal, multicloud, dan VPC Anda ke layanan Vertex AI yang dikelola Google.
Rekomendasi subnet Vertex AI
Tabel berikut mencantumkan rentang subnet yang direkomendasikan untuk layanan Vertex AI yang mendukung antarmuka Private Service Connect.
| Fitur Vertex AI | Rentang subnet yang direkomendasikan |
|---|---|
| Vertex AI Pipelines | /28 |
| Tugas pelatihan kustom | /28 |
| Ray di Vertex AI | /28 |
| Vertex AI Agent Engine | /28 |
Iklan IP
- Saat menggunakan antarmuka Private Service Connect untuk terhubung ke layanan di jaringan VPC konsumen, Anda memilih alamat IP dari daftar rentang IP yang didukung di jaringan VPC Anda.
- Secara default, Cloud Router akan memberitahukan subnet VPC reguler kecuali jika mode pemberitahuan kustom dikonfigurasi. Untuk mengetahui informasi selengkapnya, lihat Pemberitahuan kustom.
- Koneksi antara lampiran jaringan dan antarmuka Private Service Connect bersifat transitif. Workload di jaringan VPC produsen dapat berkomunikasi dengan workload yang terhubung ke jaringan VPC konsumen.
Aturan firewall
Antarmuka Private Service Connect dibuat dan dikelola oleh organisasi produsen, tetapi mereka berada di jaringan VPC konsumen. Untuk keamanan sisi konsumen, kami merekomendasikan aturan firewall yang didasarkan pada rentang alamat IP dari jaringan VPC konsumen. Anda harus memperbarui aturan firewall untuk mengizinkan akses subnet lampiran jaringan ke jaringan konsumen. Untuk mengetahui informasi selengkapnya, lihat Membatasi ingress produsen ke konsumen.
Resolusi nama domain
Penggunaan antarmuka Private Service Connect saja memerlukan koneksi ke layanan melalui alamat IP internalnya. Ini bukan praktik yang direkomendasikan untuk sistem produksi, karena alamat IP dapat berubah, sehingga menyebabkan konfigurasi menjadi tidak stabil.
Dengan menerapkan peering DNS, produsen Vertex AI dapat menyelesaikan dan terhubung ke layanan di VPC dan jaringan lokal atau multicloud Anda. Hal ini dicapai dengan mengkueri data dari zona pribadi Cloud DNS dalam jaringan VPC Anda, yang memastikan akses layanan yang stabil dan andal meskipun alamat IP yang mendasarinya dimodifikasi.
Untuk mengetahui informasi selengkapnya, lihat Menyiapkan peering DNS pribadi.
Langkah berikutnya
- Pelajari spesifikasi koneksi jaringan.
- Coba codelab tentang penggunaan antarmuka Private Service Connect dengan Vertex AI Pipelines.
- Coba codelab tentang cara menggunakan proxy eksplisit untuk menjangkau endpoint non-rfc1918 dengan Vertex AI Pipelines.