Algunos productores de servicios de Vertex AI requieren que te conectes a sus servicios a través de interfaces Private Service Connect. Estos servicios se indican en la tabla Métodos de acceso de Vertex AI.
Cuando se crea una interfaz de Private Service Connect, también se crea una instancia de VM con al menos dos interfaces de red. La primera interfaz se conecta a una subred de una red de VPC de un productor. La segunda interfaz solicita una conexión a la subred NetworkAttachment en una red de consumidor. Si se acepta, a esta interfaz se le asigna una dirección IP interna de la subred del consumidor.
En el lado de la conexión privada del productor de servicios, hay una red de VPC en la que se aprovisionan los recursos de tu servicio. Esta red se crea exclusivamente para ti y solo contiene tus recursos. La conectividad entre la red del productor y la del consumidor se establece a través de la interfaz de Private Service Connect.
En el siguiente diagrama se muestra una arquitectura de Vertex AI Pipelines en la que la API de Vertex AI está habilitada y gestionada en la red del consumidor. Los recursos de Vertex AI Pipelines se implementan como una infraestructura como servicio (IaaS) gestionada por Google en la red VPC del productor de servicios. Como la interfaz de Private Service Connect se implementa con una dirección IP de la subred del consumidor, la red del productor tiene acceso a las rutas aprendidas del consumidor, que pueden abarcar redes de VPC, entornos multicloud y redes on-premise.
Características y limitaciones
Estas son las funciones y limitaciones de las interfaces de Private Service Connect (PSC):
- El consumidor del servicio crea un adjunto de red en su red de VPC, que es un recurso que representa su parte de la conexión privada.
- El productor de servicios crea el recurso gestionado con una interfaz de PSC que hace referencia a la vinculación de red del consumidor.
- Una vez que el consumidor acepta la conexión, se asigna una dirección IP interna a la interfaz de PSC desde una subred de la red de VPC del consumidor, lo que permite una comunicación segura, privada y bidireccional.
- La subred del adjunto de red admite direcciones RFC 1918 y no RFC 1918, excepto las subredes
100.64.0.0/10y240.0.0.0/4. - Vertex AI solo puede conectarse a intervalos de direcciones IP RFC 1918 a los que se pueda enrutar desde la red especificada.
- Las interfaces de Private Service Connect no admiten direcciones IP externas.
Vertex AI no puede acceder a una dirección IP pública utilizada de forma privada ni a estos intervalos que no son RFC 1918:
100.64.0.0/10192.0.0.0/24192.0.2.0/24198.18.0.0/15198.51.100.0/24203.0.113.0/24240.0.0.0/4
Preferencia de conexión de Private Service Connect
Private Service Connect ofrece una preferencia de conexión al implementar una vinculación de red que determina si las solicitudes de conexión de un productor se aceptan automáticamente o requieren aprobación manual. En Vertex AI, el acceso a un adjunto de red con la preferencia "Aceptar automáticamente las conexiones de todos los proyectos" (ACCEPT_AUTOMATIC) o "Aceptar las conexiones de los proyectos seleccionados" (ACCEPT_MANUAL) se trata de la siguiente manera:
- En Vertex AI, se admite una conexión de red configurada con la preferencia de conexión
ACCEPT_MANUALsin necesidad de configurar el ID de proyecto de Vertex AI en el proyecto aceptado. - Vertex AI usa los permisos
compute.networkAttachments.updateycompute.regionOperations.getpara autorizar al proyecto de inquilino que aloja Vertex AI a usar el adjunto de red para el despliegue de la interfaz PSC para las preferencias de conexiónACCEPT_AUTOMATICyACCEPT_MANUAL.
Para obtener más información sobre la gestión de identidades y accesos y las directrices de implementación, consulta el artículo Configurar una interfaz de Private Service Connect para recursos de Vertex AI.
Opciones de implementación de interfaces de Private Service Connect
Para crear una interfaz de Private Service Connect, primero debes implementar una subred en la VPC del consumidor que comparta la misma región que tu servicio de productor. Consulta los requisitos específicos del servicio para asegurarte de que no haya intervalos de subredes que debas evitar. A continuación, crea un archivo adjunto de red que haga referencia a la subred. Te recomendamos que dediques la subred asignada al adjunto de red exclusivamente a las implementaciones de la interfaz de Private Service Connect.
En las páginas siguientes se describen casos prácticos específicos de las interfaces de Vertex AI Private Service Connect:
- Configurar la interfaz de Private Service Connect para una canalización
- Usar la interfaz de Private Service Connect para Vertex AI Training
- Crear un clúster de Ray en Vertex AI
- Usar la interfaz de Private Service Connect con Vertex AI Agent Engine
Consideraciones sobre los Controles de Servicio de VPC
La capacidad del servicio de productores de Vertex AI para acceder a Internet público depende de la configuración de seguridad de tu proyecto, en concreto, de si usas Controles de servicio de VPC.
- Sin controles de servicio de VPC: el alojamiento de Vertex AI en un contenedor gestionado por Google conserva su acceso a Internet predeterminado. Este tráfico saliente sale directamente del entorno seguro gestionado por Google en el que se ejecuta tu servicio de productor.
- Con Controles de Servicio de VPC: si tu proyecto forma parte de un perímetro de Controles de Servicio de VPC, el perímetro bloquea el acceso predeterminado a Internet de la carpa alojada gestionada por Google de Vertex AI para evitar la exfiltración de datos. Para permitir que acceda a Internet público en este caso, debes configurar explícitamente una ruta de salida segura que dirija el tráfico a través de tu red de VPC. La forma recomendada de hacerlo es configurar un servidor proxy dentro de tu perímetro de VPC y crear una pasarela Cloud NAT para permitir que la VM proxy acceda a Internet.
Para obtener más información sobre las consideraciones de Controles de Servicio de VPC, consulta Controles de Servicio de VPC con Vertex AI.
Consideraciones sobre la implementación
A continuación, se indican algunos aspectos que debes tener en cuenta para la comunicación desde tus cargas de trabajo on-premise, multicloud y de VPC a los servicios de Vertex AI gestionados por Google.
Recomendaciones de subredes de Vertex AI
En la siguiente tabla se indican los intervalos de subred recomendados para los servicios de Vertex AI que admiten interfaces de Private Service Connect.
| Función de Vertex AI | Intervalo de subred recomendado |
|---|---|
| Vertex AI Pipelines | /28 |
| Tareas de entrenamiento personalizadas | /28 |
| Ray en Vertex AI | /28 |
| Vertex AI Agent Engine | /28 |
Anuncio de IP
- Cuando usas la interfaz de Private Service Connect para conectarte a servicios de la red de VPC del consumidor, eliges una dirección IP de una lista de intervalos de IP admitidos de tu red de VPC.
- De forma predeterminada, Cloud Router anunciará las subredes de VPC normales, a menos que se configure el modo de anuncio personalizado. Para obtener más información, consulte Anuncio personalizado.
- La conexión entre una vinculación de red y una interfaz de Private Service Connect es transitiva. Las cargas de trabajo de la red de VPC del productor pueden comunicarse con las cargas de trabajo conectadas a la red de VPC del consumidor.
Reglas de cortafuegos
Las interfaces de Private Service Connect las crea y gestiona una organización productora, pero se encuentran en una red de VPC de consumidor. Para la seguridad del lado del consumidor, recomendamos reglas de cortafuegos basadas en intervalos de direcciones IP de la red de VPC del consumidor. Debes actualizar las reglas de cortafuegos para permitir que la subred de conexión de red acceda a la red del consumidor. Para obtener más información, consulta Limitar el acceso de productores a consumidores.
Resolución de nombres de dominio
Si solo usas una interfaz de Private Service Connect, debes conectarte a los servicios a través de sus direcciones IP internas. No es una práctica recomendada para los sistemas de producción, ya que las direcciones IP pueden cambiar, lo que provoca configuraciones frágiles.
Al implementar el emparejamiento de DNS, los productores de Vertex AI pueden resolver y conectarse a servicios de tu VPC y de tus redes locales o multicloud. Para ello, se consultan registros de una zona privada de Cloud DNS en tu red de VPC, lo que garantiza un acceso al servicio estable y fiable aunque se modifiquen las direcciones IP subyacentes.
Para obtener más información, consulta Configurar un peering de DNS privado.
Siguientes pasos
- Consulta las especificaciones de los archivos adjuntos de red.
- Prueba un codelab sobre cómo usar interfaces de Private Service Connect con Vertex AI Pipelines.
- Prueba un codelab sobre cómo usar un proxy explícito para acceder a endpoints que no sean rfc1918 con Vertex AI Pipelines.