部分 Vertex AI 服務生產端會要求您透過 Private Service Connect 介面連線至其服務。這些服務列於「Vertex AI 存取方法」表格中。
建立 Private Service Connect 介面時,系統也會建立至少有兩個網路介面的 VM 執行個體。第一個介面會連線至生產者虛擬私有雲網路中的子網路。第二個介面會要求連線至用戶端網路中的網路連結子網路。如果接受,系統會從使用端子網路為這個介面指派內部 IP 位址。
私人連線的服務供應商端是虛擬私有雲網路,其中佈建了您的服務資源。這個網路是專為您建立,並且只包含您的資源。生產端和用戶網路之間的連線是透過 Private Service Connect 介面建立。
下圖顯示 Vertex AI Pipelines 架構,其中 Vertex AI API 已在消費者網路中啟用及管理。Vertex AI Pipelines 資源會以 Google 管理的基礎架構即服務 (IaaS) 形式,部署在服務供應商的虛擬私有雲網路中。由於 Private Service Connect 介面是透過用戶端子網路的 IP 位址部署,因此供應商網路可以存取用戶端所學到的路徑,這些路徑可跨越虛擬私有雲網路、多雲環境和地端網路。
功能與限制
以下是 Private Service Connect (PSC) 介面的功能和限制:
- 服務用戶會在虛擬私有雲網路中建立網路連結,這個資源代表私人連線的用戶端。
- 服務生產者會建立代管資源,並使用參照消費者網路連結的 PSC 介面。
- 消費者接受連線後,系統會從消費者虛擬私有雲網路的子網路指派內部 IP 位址給 PSC 介面,以利安全、私密地進行雙向通訊。
- 網路附件的子網路支援 RFC 1918 和非 RFC 1918 位址,但子網路
100.64.0.0/10和240.0.0.0/4除外。 - Vertex AI 只能連線至可從指定網路路由傳送的 RFC 1918 IP 位址範圍。
- Private Service Connect 介面不支援外部 IP 位址。
Vertex AI 無法連線至私用公開 IP 位址,或下列非 RFC 1918 範圍:
100.64.0.0/10192.0.0.0/24192.0.2.0/24198.18.0.0/15198.51.100.0/24203.0.113.0/24240.0.0.0/4
Private Service Connect 連線偏好設定
部署網路連結時,Private Service Connect 會提供連線偏好設定,決定是否自動接受服務供應商的連線要求,或需要手動核准。在 Vertex AI 中,存取偏好設定為「自動接受所有專案的連線」(ACCEPT_AUTOMATIC) 或「接受所選專案的連線」(ACCEPT_MANUAL) 的網路連結時,系統會進行下列處理:
- 在 Vertex AI 中,只要設定偏好
ACCEPT_MANUAL連線的網路附件,即可使用,不必在接受的專案中設定 Vertex AI 專案 ID。 - Vertex AI 會使用權限 (
compute.networkAttachments.update和compute.regionOperations.get) 授權代管 Vertex AI 的租戶專案,以使用 PSC 介面的網路附件,部署ACCEPT_AUTOMATIC和ACCEPT_MANUAL連線偏好設定。
如要進一步瞭解 IAM 和部署指南,請參閱「為 Vertex AI 資源設定 Private Service Connect 介面」。
Private Service Connect 介面部署選項
如要建立 Private Service Connect 介面,請先在與供應商服務位於相同區域的用戶端虛擬私有雲中部署子網路。請檢查特定服務的規定,確認是否有應避免使用的子網路範圍。然後建立參照子網路的網路連結。建議您將為網路附件分配的子網路,專用於 Private Service Connect 介面部署作業。
以下頁面將討論 Vertex AI Private Service Connect 介面的特定用途:
- 為管道設定 Private Service Connect 介面
- 使用 Vertex AI Training 的 Private Service Connect 介面
- 在 Vertex AI 上建立 Ray 叢集
- 透過 Private Service Connect 介面使用 Vertex AI Agent Engine
VPC Service Controls 注意事項
Vertex AI 生產者服務能否存取公用網際網路,取決於專案的安全設定,特別是您是否使用 VPC Service Controls。
- 不使用 VPC Service Controls:Google 代管的 Vertex AI 租戶主機保留預設網際網路存取權。這類傳出流量會直接從安全無虞的 Google 管理環境傳出,也就是執行生產者服務的環境。但 Vertex AI Agent Engine 例外,因為該服務不提供網際網路輸出。 您必須部署具有 RFC 1918 位址的 Proxy VM,才能進行網際網路輸出。
- 使用 VPC Service Controls:如果專案屬於 VPC Service Controls 範圍,系統會封鎖 Google 代管的暫時性主機,禁止其存取 Vertex AI 預設網際網路,以防資料遭竊。如要允許存取公開網際網路,您必須明確設定安全輸出路徑,透過虛擬私有雲網路轉送流量。建議您在虛擬私有雲周邊設定 Proxy 伺服器,並建立 Cloud NAT 閘道,允許 Proxy VM 存取網際網路。
如要進一步瞭解 VPC Service Controls 注意事項,請參閱「搭配使用 VPC Service Controls 與 Vertex AI」。
部署考量事項
以下是從地端部署、多雲和 VPC 工作負載與 Google 管理的 Vertex AI 服務通訊時的注意事項。
Vertex AI 子網路建議
下表列出支援 Private Service Connect 介面的 Vertex AI 服務建議子網路範圍。
| Vertex AI 功能 | 建議的子網路範圍 |
|---|---|
| Vertex AI Pipelines | /28 |
| 自訂訓練工作 | /28 |
| Ray on Vertex AI | /28 |
| Vertex AI Agent Engine | /28 |
IP 廣告
- 使用 Private Service Connect 介面連線至用戶端虛擬私有雲網路中的服務時,請從虛擬私有雲網路的支援 IP 範圍清單中選擇 IP 位址。
- 根據預設,除非設定自訂通告模式,否則 Cloud Router 會通告一般 VPC 子網路。詳情請參閱「自訂廣告」。
- 網路連結與 Private Service Connect 介面之間的連線是遞移性。供應商虛擬私有雲網路中的工作負載,可以與連線至用戶虛擬私有雲網路的工作負載通訊。
防火牆規則
Private Service Connect 介面是由生產者機構建立及管理,但位於消費者虛擬私有雲網路中。為確保消費者端安全,建議您根據消費者虛擬私有雲網路的 IP 位址範圍,設定防火牆規則。您必須更新防火牆規則,允許網路連結子網路存取消費者網路。詳情請參閱「限制從生產者到消費者的傳入流量」。
網域名稱解析
單獨使用 Private Service Connect 介面時,必須透過服務的內部 IP 位址連線。由於 IP 位址可能會變更,導致設定不穩定,因此不建議在正式版系統中採用這種做法。
實作 DNS 對等互連後,Vertex AI 供應商就能解析並連線至您 VPC 和內部部署或多雲端網路中的服務。方法是在 VPC 網路中查詢 Cloud DNS 私人區域的記錄,即使基礎 IP 位址經過修改,也能確保服務存取穩定可靠。
詳情請參閱「設定私人 DNS 對等互連」。
後續步驟
- 瞭解網路連結規格。
- 請試用程式碼研究室,瞭解如何搭配使用 Private Service Connect 介面和 Vertex AI Pipelines。
- 請嘗試程式碼研究室,瞭解如何使用明確的 Proxy,透過 Vertex AI Pipelines 存取非 rfc1918 端點。