Certains producteurs de services Vertex AI exigent que vous vous connectiez à leurs services via des interfaces Private Service Connect. Ces services sont répertoriés dans le tableau Méthodes d'accès à Vertex AI.
Lorsqu'une interface Private Service Connect est créée, une instance de VM dotée d'au moins deux interfaces réseau est également créée. La première interface se connecte à un sous-réseau dans un réseau VPC producteur. La deuxième interface demande une connexion au sous-réseau rattachement de réseau dans un réseau consommateur. Si elle est acceptée, une adresse IP interne provenant du sous-réseau du consommateur est attribuée à cette interface.
Du côté du producteur de services de la connexion privée, il y a un réseau VPC dans lequel les ressources de votre service sont provisionnées. Ce réseau est créé exclusivement pour vous et ne contient que vos ressources. La connectivité entre le réseau du producteur et celui du consommateur est établie via l'interface Private Service Connect.
Le schéma suivant illustre une architecture Vertex AI Pipelines dans laquelle l'API Vertex AI est activée et gérée dans le réseau du consommateur. Les ressources Vertex AI Pipelines sont déployées en tant qu'infrastructure as a service (IaaS) gérée par Google dans le réseau VPC du producteur de services. Étant donné que l'interface Private Service Connect est déployée avec une adresse IP du sous-réseau du consommateur, le réseau du producteur a accès aux routes apprises du consommateur, qui peuvent s'étendre aux réseaux VPC, aux environnements multicloud et aux réseaux sur site.
Fonctionnalités et limites
Voici les fonctionnalités et les limites des interfaces Private Service Connect (PSC) :
- Le client de services crée un rattachement de réseau dans son réseau VPC. Il s'agit d'une ressource qui représente son côté de la connexion privée.
- Le producteur de services crée la ressource gérée avec une interface PSC qui fait référence au rattachement de réseau du consommateur.
- Une fois que le consommateur a accepté la connexion, une adresse IP interne est attribuée à l'interface PSC à partir d'un sous-réseau du réseau VPC du consommateur, ce qui permet une communication sécurisée, privée et bidirectionnelle.
- Le sous-réseau du rattachement réseau est compatible avec les adresses RFC 1918 et non-RFC 1918, à l'exception des sous-réseaux
100.64.0.0/10et240.0.0.0/4. - Vertex AI ne peut se connecter qu'aux plages d'adresses IP RFC 1918 qui sont routables à partir du réseau spécifié.
- Les interfaces Private Service Connect ne sont pas compatibles avec les adresses IP externes.
Vertex AI ne peut pas accéder à une adresse IP publique utilisée en mode privé ni à ces plages non-RFC 1918 :
100.64.0.0/10192.0.0.0/24192.0.2.0/24198.18.0.0/15198.51.100.0/24203.0.113.0/24240.0.0.0/4
Préférence de connexion Private Service Connect
Lorsque vous déployez un rattachement de réseau, Private Service Connect propose une préférence de connexion qui détermine si les demandes de connexion d'un producteur sont automatiquement acceptées ou nécessitent une approbation manuelle. Dans Vertex AI, l'accès à un rattachement de réseau avec la préférence "Accepter automatiquement les connexions pour tous les projets" (ACCEPT_AUTOMATIC) ou "Accepter les connexions pour les projets sélectionnés" (ACCEPT_MANUAL) est traité comme suit :
- Une pièce jointe réseau configurée avec la préférence de connexion
ACCEPT_MANUALest acceptée dans Vertex AI sans que vous ayez à configurer l'ID du projet Vertex AI dans le projet accepté. - Vertex AI utilise les autorisations
compute.networkAttachments.updateetcompute.regionOperations.getpour autoriser le projet locataire hébergeant Vertex AI à utiliser le rattachement réseau pour le déploiement de l'interface PSC pour les préférences de connexionACCEPT_AUTOMATICetACCEPT_MANUAL.
Pour en savoir plus sur IAM et les consignes de déploiement, consultez Configurer une interface Private Service Connect pour les ressources Vertex AI.
Options de déploiement des interfaces Private Service Connect
Pour créer une interface Private Service Connect, commencez par déployer un sous-réseau dans le VPC consommateur qui partage la même région que votre service producteur. Consultez les exigences spécifiques du service pour vous assurer qu'il n'y a pas de plages de sous-réseaux à éviter. Créez ensuite un rattachement de réseau qui fait référence au sous-réseau. Nous vous recommandons de dédier le sous-réseau alloué au rattachement de réseau exclusivement aux déploiements d'interfaces Private Service Connect.
Les pages suivantes abordent des cas d'utilisation spécifiques des interfaces Vertex AI Private Service Connect :
- Configurer une interface Private Service Connect pour un pipeline
- Utiliser l'interface Private Service Connect pour Vertex AI Training
- Créer un cluster Ray sur Vertex AI
- Utiliser l'interface Private Service Connect avec Vertex AI Agent Engine
Points à prendre en compte concernant VPC Service Controls
La capacité du service des producteurs Vertex AI à accéder à l'Internet public dépend de la configuration de sécurité de votre projet, en particulier si vous utilisez VPC Service Controls.
- Sans VPC Service Controls : l'hébergement de tentes géré par Google pour Vertex AI conserve son accès Internet par défaut. Ce trafic sortant sort directement de l'environnement sécurisé géré par Google dans lequel votre service de producteur s'exécute.
- Avec VPC Service Controls : lorsque votre projet fait partie d'un périmètre VPC Service Controls, l'accès Internet par défaut de l'hébergement de tente géré par Google pour Vertex AI est bloqué par le périmètre afin d'empêcher l'exfiltration de données. Pour autoriser l'accès à l'Internet public dans ce scénario, vous devez configurer explicitement un chemin de sortie sécurisé qui achemine le trafic via votre réseau VPC. La méthode recommandée consiste à configurer un serveur proxy dans votre périmètre VPC et à créer une passerelle Cloud NAT pour permettre à la VM proxy d'accéder à Internet.
Pour en savoir plus sur les considérations relatives à VPC Service Controls, consultez VPC Service Controls avec Vertex AI.
Remarques relatives au déploiement
Vous trouverez ci-dessous les points à prendre en compte concernant la communication entre vos charges de travail sur site, multicloud et VPC, et les services Vertex AI gérés par Google.
Recommandations de sous-réseaux Vertex AI
Le tableau suivant répertorie les plages de sous-réseau recommandées pour les services Vertex AI compatibles avec les interfaces Private Service Connect.
| Fonctionnalité Vertex AI | Plage de sous-réseau recommandée |
|---|---|
| Vertex AI Pipelines | /28 |
| Les tâches d'entraînement personnalisées | /28 |
| Ray sur Vertex AI | /28 |
| Vertex AI Agent Engine | /28 |
Annonce IP
- Lorsque vous utilisez l'interface Private Service Connect pour vous connecter à des services sur le réseau VPC du consommateur, vous choisissez une adresse IP dans une liste de plages d'adresses IP compatibles de votre réseau VPC.
- Par défaut, le routeur Cloud Router annonce les sous-réseaux VPC standards, sauf si le mode d'annonce personnalisé est configuré. Pour en savoir plus, consultez Annonce personnalisée.
- Une connexion entre un rattachement de réseau et une interface Private Service Connect est transitive. Les charges de travail du réseau VPC producteur peuvent communiquer avec les charges de travail connectées au réseau VPC consommateur.
Règles de pare-feu
Les interfaces Private Service Connect sont créées et gérées par une organisation de producteurs, mais elles se trouvent sur un réseau VPC utilisateur. Pour la sécurité côté client, nous recommandons les règles de pare-feu basées sur les plages d'adresses IP du réseau VPC utilisateur. Vous devez mettre à jour les règles de pare-feu pour autoriser le sous-réseau de rattachement réseau à accéder au réseau du consommateur. Pour en savoir plus, consultez Limiter le trafic entrant du producteur vers le consommateur.
Résolution de nom de domaine
L'utilisation d'une interface Private Service Connect seule nécessite de se connecter aux services via leurs adresses IP internes. Il n'est pas recommandé de procéder ainsi pour les systèmes de production, car les adresses IP peuvent changer, ce qui entraîne des configurations fragiles.
En implémentant l'appairage DNS, les producteurs Vertex AI peuvent résoudre les services dans vos réseaux VPC, sur site ou multicloud, et s'y connecter. Pour ce faire, il interroge les enregistrements d'une zone privée Cloud DNS au sein de votre réseau VPC, ce qui garantit un accès stable et fiable aux services, même si les adresses IP sous-jacentes sont modifiées.
Pour en savoir plus, consultez Configurer un appairage DNS privé.
Étapes suivantes
- En savoir plus sur les spécifications des rattachements de réseau
- Essayez un atelier de programmation sur l'utilisation des interfaces Private Service Connect avec Vertex AI Pipelines.
- Essayez un atelier de programmation sur l'utilisation d'un proxy explicite pour accéder aux points de terminaison non-rfc1918 avec Vertex AI Pipelines.