Sobre o acesso aos serviços da Vertex AI usando as interfaces do Private Service Connect

Alguns produtores de serviços da Vertex AI exigem que você se conecte aos serviços deles por meio de interfaces do Private Service Connect. Esses serviços estão listados na tabela Métodos de acesso da Vertex AI.

Quando uma interface do Private Service Connect é criada, uma instância de VM com pelo menos duas interfaces de rede também é criada. A primeira interface se conecta a uma sub-rede em uma rede VPC do produtor. A segunda interface solicita uma conexão com a sub-rede do anexo de rede em uma rede de consumidor. Se aceita, essa interface recebe um endereço IP interno da sub-rede do consumidor.

No lado do produtor de serviços, a conexão particular é uma rede VPC em que os recursos de serviço são provisionados. Essa rede é criada exclusivamente para você e contém apenas seus recursos. A conectividade entre as redes do produtor e do consumidor é estabelecida pela interface do Private Service Connect.

O diagrama a seguir mostra uma arquitetura do Vertex AI Pipelines em que a API Vertex AI é ativada e gerenciada na rede do consumidor. Os recursos dos Pipelines da Vertex AI são implantados como uma infraestrutura como serviço (IaaS) gerenciada pelo Google na rede VPC do produtor de serviços. Como a interface do Private Service Connect é implantada com um endereço IP da sub-rede do consumidor, a rede do produtor tem acesso às rotas aprendidas do consumidor que podem abranger redes VPC, ambientes multicloud e redes locais.

imagem

Recursos e limitações

Confira a seguir os recursos e limitações das interfaces do Private Service Connect (PSC):

  • O consumidor de serviço cria um anexo de rede na rede VPC, que é um recurso que representa o lado dele da conexão particular.
  • O produtor de serviços cria o recurso gerenciado com uma interface do PSC que faz referência ao anexo de rede do consumidor.
  • Depois que o consumidor aceita a conexão, a interface do PSC recebe um endereço IP interno de uma sub-rede na rede VPC do consumidor, permitindo uma comunicação bidirecional, particular e segura.
  • A sub-rede do anexo de rede aceita endereços RFC 1918 e não RFC 1918, exceto as sub-redes 100.64.0.0/10 e 240.0.0.0/4.
  • A Vertex AI só pode se conectar a intervalos de endereços IP RFC 1918 que são roteáveis da rede especificada.
  • As interfaces do Private Service Connect não aceitam endereços IP externos.

  • A Vertex AI não consegue acessar um endereço IP público usado de forma privada ou estes intervalos não RFC 1918:

    • 100.64.0.0/10
    • 192.0.0.0/24
    • 192.0.2.0/24
    • 198.18.0.0/15
    • 198.51.100.0/24
    • 203.0.113.0/24
    • 240.0.0.0/4

Preferência de conexão do Private Service Connect

O Private Service Connect oferece uma preferência de conexão ao implantar um anexo de rede que determina se as solicitações de conexão de um produtor são aceitas automaticamente ou exigem aprovação manual. Na Vertex AI, o acesso a um anexo de rede com a preferência "Aceitar conexões automaticamente para todos os projetos" (ACCEPT_AUTOMATIC) ou "Aceitar conexões para projetos selecionados" (ACCEPT_MANUAL) é tratado da seguinte maneira:

  • Um anexo de rede configurado com a preferência de conexão ACCEPT_MANUAL é compatível com a Vertex AI sem configurar o ID do projeto da Vertex AI no projeto aceito.
  • A Vertex AI usa as permissões (compute.networkAttachments.update e compute.regionOperations.get) para autorizar o projeto do locatário que hospeda a Vertex AI a usar a vinculação de rede para implantação da interface do PSC para as preferências de conexão ACCEPT_AUTOMATIC e ACCEPT_MANUAL.

Para saber mais sobre o IAM e as diretrizes de implantação, consulte Configurar uma interface do Private Service Connect para recursos da Vertex AI.

Opções de implantação da interface do Private Service Connect

Para criar uma interface do Private Service Connect, primeiro implante uma sub-rede na VPC do consumidor que compartilhe a mesma região do serviço do produtor. Verifique os requisitos específicos do serviço para garantir que não haja intervalos de sub-redes que você deva evitar. Em seguida, crie um anexo de rede que faça referência à sub-rede. Recomendamos dedicar a sub-rede alocada para o anexo de rede exclusivamente às implantações de interface do Private Service Connect.

As páginas a seguir discutem casos de uso específicos das interfaces do Private Service Connect da Vertex AI:

Considerações sobre o VPC Service Controls

A capacidade do serviço dos produtores da Vertex AI de acessar a Internet pública depende da configuração de segurança do seu projeto, especificamente se você está usando o VPC Service Controls.

  • Sem o VPC Service Controls: o host de tendas gerenciado pelo Google Vertex AI mantém o acesso padrão à Internet. Esse tráfego de saída sai diretamente do ambiente seguro e gerenciado pelo Google em que o serviço do produtor é executado.
  • Com o VPC Service Controls: quando seu projeto faz parte de um perímetro do VPC Service Controls, o acesso padrão à Internet do hosting de tendas gerenciado pelo Google da Vertex AI é bloqueado pelo perímetro para evitar a exfiltração de dados. Para permitir o acesso à Internet pública nesse cenário, configure explicitamente um caminho de saída seguro que roteie o tráfego pela sua rede VPC. A maneira recomendada de fazer isso é configurar um servidor proxy dentro do perímetro da VPC e criar um gateway do Cloud NAT para permitir que a VM proxy acesse a Internet.

Para saber mais sobre as considerações do VPC Service Controls, consulte VPC Service Controls com o Vertex AI.

Considerações sobre implantação

Confira a seguir as considerações para a comunicação das cargas de trabalho locais, de várias nuvens e da VPC com os serviços da Vertex AI gerenciados pelo Google.

Recomendações de sub-rede da Vertex AI

A tabela a seguir lista os intervalos de sub-redes recomendados para serviços da Vertex AI que oferecem suporte a interfaces do Private Service Connect.

Recurso da Vertex AI Intervalo de sub-rede recomendado
Vertex AI Pipelines /28
Jobs de treinamento personalizados /28
Ray na Vertex AI /28
Vertex AI Agent Engine /28

Divulgação de IP

  • Ao usar a interface do Private Service Connect para se conectar a serviços na rede VPC do consumidor, você escolhe um endereço IP em uma lista de intervalos de IP compatíveis na sua rede VPC.
  • Por padrão, o Cloud Router divulgará sub-redes VPC normais, a menos que um modo de divulgação personalizado esteja configurado. Para mais informações, consulte Divulgação personalizada.
  • Uma conexão entre um anexo de rede e uma interface do Private Service Connect é transitiva. As cargas de trabalho na rede VPC do produtor podem se comunicar com as que estão conectadas à rede VPC do consumidor.

Regras de firewall

As interfaces do Private Service Connect são criadas e gerenciadas por uma organização produtora, mas estão localizadas em uma rede VPC do consumidor. Para a segurança do consumidor, recomendamos regras de firewall baseadas em intervalos de endereços IP da rede VPC do consumidor. É preciso atualizar as regras de firewall para permitir que a sub-rede de anexação de rede acesse a rede do consumidor. Para mais informações, consulte Limitar a entrada de produtor para consumidor.

Resolução de nomes de domínio

Usar apenas uma interface do Private Service Connect exige a conexão com serviços pelos endereços IP internos deles. Essa não é uma prática recomendada para sistemas de produção, porque os endereços IP podem mudar, resultando em configurações instáveis.

Ao implementar o peering de DNS, os produtores da Vertex AI podem resolver e se conectar a serviços na sua VPC e em redes locais ou multicloud. Isso é feito consultando registros de uma zona particular do Cloud DNS na rede VPC, o que garante acesso estável e confiável ao serviço, mesmo que os endereços IP subjacentes sejam modificados.

Para mais informações, consulte Configurar um peering de DNS particular.

A seguir