Algunos productores de servicios de Vertex AI requieren que te conectes a sus servicios a través de las interfaces de Private Service Connect. Estos servicios se enumeran en la tabla de métodos de acceso a Vertex AI.
Cuando se crea una interfaz de Private Service Connect, también se crea una instancia de VM con al menos dos interfaces de red. La primera interfaz se conecta a una subred en una red de VPC de productor. La segunda interfaz solicita una conexión a la subred del adjunto de red en una red del consumidor. Si se acepta, a esta interfaz se le asigna una dirección IP interna de la subred del consumidor.
En el lado del productor de servicios de la conexión privada, hay una red de VPC, en la que se aprovisionan los recursos de servicio. Esta red se crea exclusivamente para ti y contiene solo tus recursos. La conectividad entre la red del productor y la del consumidor se establece a través de la interfaz de Private Service Connect.
En el siguiente diagrama, se muestra una arquitectura de Vertex AI Pipelines en la que la API de Vertex AI está habilitada y administrada en la red del consumidor. Los recursos de Vertex AI Pipelines se implementan como una infraestructura como servicio (IaaS) administrada por Google en la red de VPC del productor de servicios. Dado que la interfaz de Private Service Connect se implementa con una dirección IP de la subred del consumidor, la red del productor tiene acceso a las rutas aprendidas del consumidor que pueden abarcar redes de VPC, entornos de varias nubes y redes locales.
Funciones y limitaciones
A continuación, se indican las funciones y limitaciones de las interfaces de Private Service Connect:
- El consumidor de servicios crea un adjunto de red en su red de VPC, que es un recurso que representa su lado de la conexión privada.
- El productor de servicios crea el recurso administrado con una interfaz de PSC que hace referencia al adjunto de red del consumidor.
- Una vez que el consumidor acepta la conexión, se le asigna a la interfaz de PSC una dirección IP interna de una subred en la red de VPC del consumidor, lo que permite una comunicación segura, privada y bidireccional.
- La subred de la conexión de red admite direcciones RFC 1918 y no RFC 1918, con la excepción de las subredes
100.64.0.0/10y240.0.0.0/4. - Vertex AI solo puede conectarse a rangos de direcciones IP de RFC 1918 que se puedan enrutar desde la red especificada.
- Las interfaces de Private Service Connect no admiten direcciones IP externas.
Vertex AI no puede acceder a una dirección IP pública de uso privado ni a estos rangos que no son RFC 1918:
100.64.0.0/10192.0.0.0/24192.0.2.0/24198.18.0.0/15198.51.100.0/24203.0.113.0/24240.0.0.0/4
Opciones de implementación de la interfaz de Private Service Connect
Para crear una interfaz de Private Service Connect, primero implementa una subred dentro de la VPC del consumidor que comparta la misma región que tu servicio del productor. Consulta los requisitos específicos del servicio para asegurarte de que no haya rangos de subred que debas evitar. Luego, crea un adjunto de red que haga referencia a la subred. Te recomendamos que dediques la subred asignada para la conexión de red exclusivamente a las implementaciones de la interfaz de Private Service Connect.
En las siguientes páginas, se analizan casos de uso específicos de las interfaces de Private Service Connect de Vertex AI:
- Configura la interfaz de Private Service Connect para una canalización
- Usa la interfaz de Private Service Connect para Vertex AI Training
- Crea un clúster de Ray en Vertex AI
Consideraciones sobre la implementación
A continuación, se incluyen consideraciones para la comunicación desde tus cargas de trabajo locales, de múltiples nubes y de VPC a los servicios de Vertex AI administrados por Google.
Recomendaciones para las subredes de Vertex AI
En la siguiente tabla, se enumeran los rangos de subredes recomendados para los servicios de Vertex AI que admiten interfaces de Private Service Connect.
| Función de Vertex AI | Rango de subred recomendado |
|---|---|
| Vertex AI Pipelines | /28 |
| Trabajos de entrenamiento personalizados | /28 |
| Ray on Vertex AI | /28 |
Anuncio de IP
- Cuando usas la interfaz de Private Service Connect para conectarte a servicios en la red de VPC del consumidor, debes elegir una dirección IP de una lista de rangos de IP admitidos en tu red de VPC.
- De forma predeterminada, Cloud Router anunciará las VPC normales a menos que se configure el modo de anuncio personalizado. Para obtener más información, consulta Anuncio personalizado.
- Una conexión entre un adjunto de red y una interfaz de Private Service Connect es transitiva. Las cargas de trabajo en la red de VPC del productor pueden comunicarse con las cargas de trabajo que están conectadas a la red de VPC del consumidor.
Reglas de firewall
Una organización del productor crea y administra las interfaces de Private Service Connect, pero se encuentran en una red de VPC del consumidor. Para la seguridad del consumidor, recomendamos reglas de firewall basadas en rangos de direcciones IP de la red de VPC del consumidor. Debes actualizar las reglas de firewall para permitir que la subred de la conexión de red acceda a la red del consumidor. Para obtener más información, consulta Limita el ingreso de productor a consumidor.
Resolución de nombres de dominio
Cuando se usan las APIs de Vertex AI que admiten interfaces de Private Service Connect, no se admite la búsqueda de resolución de nombres de dominio. Si usas un dominio público, se admite la búsqueda de DNS dentro de la red del productor. Para la búsqueda de DNS privada, debes definir variables de nombre de host que se asignen a direcciones IP de capa 3 del consumidor.
¿Qué sigue?
- Obtén más información sobre las especificaciones de los adjuntos de red.
- Prueba un codelab sobre el uso de interfaces de Private Service Connect con Vertex AI Pipelines.