VPC-Netzwerk-Peering einrichten

Sie können Vertex AI für das Peering mit Virtual Private Cloud (VPC) konfigurieren, um eine direkte Verbindung zu bestimmten Ressourcen in Vertex AI herzustellen, darunter:

In dieser Anleitung wird beschrieben, wie Sie VPC-Netzwerk-Peering einrichten, um Ihr Netzwerk mit Vertex AI-Ressourcen zu verbinden. Dieser Leitfaden wird Netzwerkadministratoren empfohlen, die bereits mit den Netzwerkkonzepten von Google Cloud vertraut sind.

Übersicht

In diesem Leitfaden werden folgende Aufgaben behandelt:

  • Zugriff auf private Dienste für die VPC konfigurieren. Dadurch wird eine Peering-Verbindung zwischen Ihrer VPC und dem freigegebenen VPC-Netzwerk von Google hergestellt.
  • Denken Sie über den IP-Bereich nach, den Sie für Vertex AI reservieren müssen.
  • Exportieren Sie gegebenenfalls benutzerdefinierte Routen, damit Vertex AI sie importieren kann.

Hinweis

  • Wählen Sie eine VPC aus, die Sie mit Vertex AI-Ressourcen verbinden möchten.
  • Wählen Sie ein Google Cloud-Projekt aus oder erstellen Sie eines, um es für Vertex AI zu verwenden.

  • Die Abrechnung für das Google Cloud-Projekt muss aktiviert sein.

  • Compute Engine API, Vertex AI API, and Service Networking APIs aktivieren.

    Aktivieren Sie die APIs

  • Optional können Sie eine freigegebene VPC verwenden. Wenn Sie eine freigegebene VPC verwenden, verwenden Sie in der Regel Vertex AI in einem anderen Google Cloud-Projekt als Ihr VPC-Hostprojekt. Aktivieren Sie die Compute Engine API und die Service Networking APIs in beiden Projekten. Freigegebene VPC bereitstellen
  • Installieren Sie die gcloud CLI, wenn Sie die gcloud-Beispiele in dieser Anleitung ausführen möchten.

Erforderliche Rollen

Wenn Sie kein Projektinhaber oder -bearbeiter sind, benötigen Sie die Rolle Compute-Netzwerkadministrator (roles/compute.networkAdmin), die die erforderlichen Rollen zum Verwalten von Netzwerkressourcen enthält.

Peering mit einem lokalen Netzwerk

Für VPC-Netzwerk-Peering mit einem lokalen Netzwerk sind zusätzliche Schritte erforderlich:

  1. Verbinden Sie Ihr lokales Netzwerk mit Ihrer VPC. Sie können einen VPN-Tunnel oder Interconnect verwenden.
  2. Richten Sie benutzerdefinierte Routen von der VPC zu Ihrem lokalen Netzwerk ein.
  3. Exportieren Sie Ihre benutzerdefinierten Routen, damit Vertex AI sie importieren kann.

Zugriff auf private Dienste für Ihre VPC einrichten

Wenn Sie den Zugriff auf private Dienste einrichten, stellen Sie eine private Verbindung zwischen Ihrem Netzwerk und einem Netzwerk von Google oder einem Drittanbieterdienst (Dienstersteller) her. In diesem Fall ist Vertex AI ein Dienstersteller. Zum Einrichten des Zugriffs auf private Dienste reservieren Sie einen IP-Bereich für Dienstersteller und erstellen dann eine Peering-Verbindung mit Vertex AI.

Wenn Sie bereits eine VPC mit Zugriff auf private Dienste konfiguriert haben, fahren Sie mit dem Exportieren benutzerdefinierter Routen fort.

  1. Legen Sie Umgebungsvariablen für Ihre Projekt-ID, den Namen des reservierten Bereichs und den Namen Ihres Netzwerks fest. Wenn Sie eine freigegebene VPC verwenden, verwenden Sie die Projekt-ID Ihres VPC-Hostprojekts. Andernfalls verwenden Sie die Projekt-ID des Google Cloud-Projekts, das Sie für Vertex AI verwenden.
  2. Aktivieren Sie die erforderlichen APIs. Wenn Sie eine freigegebene VPC verwenden, finden Sie weitere Informationen unter Freigegebene VPC mit Vertex AI verwenden.
  3. Legen Sie mit gcloud compute addresses create einen reservierten Bereich fest.

  4. Stellen Sie mithilfe von gcloud services vpc-peerings connect eine Peering-Verbindung zwischen Ihrem VPC-Hostprojekt und dem Google-Dienstnetzwerk her.

    Für private Vorhersageendpunkte empfehlen wir, für das Modellhosting mindestens einen /21-Block für das Subnetz zu reservieren. Das Reservieren eines kleineren Blocks kann aufgrund unzureichender IP-Adressen zu Bereitstellungsfehlern führen. Sie können Nicht-RFC 1918-Adressen für die Bereitstellung verwenden.

    PROJECT_ID=YOUR_PROJECT_ID
gcloud config set project $PROJECT_ID

# This is for display only; you can name the range anything.
PEERING_RANGE_NAME=google-reserved-range

NETWORK=YOUR_NETWORK_NAME

# NOTE: `prefix-length=16` means a CIDR block with mask /16 will be
# reserved for use by Google services, such as Vertex AI.
gcloud compute addresses create $PEERING_RANGE_NAME \
  --global \
  --prefix-length=16 \
  --description="peering range for Google service" \
  --network=$NETWORK \
  --purpose=VPC_PEERING

# Create the VPC connection.
gcloud services vpc-peerings connect \
  --service=servicenetworking.googleapis.com \
  --network=$NETWORK \
  --ranges=$PEERING_RANGE_NAME \
  --project=$PROJECT_ID

Weitere Informationen zum Zugriff auf private Dienste

Freigegebene VPC mit Vertex AI verwenden

Wenn Sie in Ihrem Projekt eine freigegebene VPC verwenden, gehen Sie wie unter Freigegebene VPC bereitstellen beschrieben vor und führen Sie die folgenden Schritte aus:

  1. Aktivieren Sie die Compute Engine API und die Service Networking APIs im Host- und Dienstprojekt. Die Vertex AI API muss für das Dienstprojekt aktiviert sein.

  2. Erstellen Sie die VPC-Netzwerk-Peering-Verbindung zwischen Ihrer VPC und den Google-Diensten innerhalb des Hostprojekts.

  3. Während der Erstellung von Vertex AI müssen Sie den Namen des Netzwerks angeben, auf das Vertex AI Zugriff auf Shared VPC haben soll.

  4. Prüfen Sie, ob der verwendete Dienst oder das Nutzerkonto die Rolle „Compute-Netzwerknutzer“ (roles/compute.networkUser) hat.

IP-Bereiche für Vertex AI reservieren

Wenn Sie einen IP-Bereich für Dienstersteller reservieren, kann der Bereich von AI Platform und anderen Diensten verwendet werden. Wenn Sie eine Verbindung zu mehreren Diensterstellern herstellen, die denselben Bereich verwenden, weisen Sie diesen einen größeren Bereich zu, um die IP-Auslastung zu vermeiden.

Informieren Sie sich über geschätzte IP-Bereiche, die für die Verwendung privater IP-Adressen mit verschiedenen Arten von benutzerdefinierten Trainingsjobs reserviert werden sollen.

Wenn ein Job mit dem folgenden Parameter gestartet wird, wird er in einem von Google verwalteten Netzwerk gestartet, das eine Peering-Verbindung zu Ihrer VPC und anderen damit verbundenen Netzwerken herstellt:

--network = "projects/${host_project}/global/networks/${network}"

Alle Jobs, die nicht auf Ihre Netzwerke zugreifen müssen, können ohne diese Angabe gestartet werden, wodurch Ihre IP-Zuweisungen erhalten bleiben.

Benutzerdefinierte Routen exportieren

Wenn Sie benutzerdefinierte Routen verwenden, müssen Sie diese exportieren, damit Vertex AI sie importieren kann. Wenn Sie keine benutzerdefinierten Routen verwenden, überspringen Sie diesen Abschnitt.

Zum Exportieren benutzerdefinierter Routen aktualisieren Sie die Peering-Verbindung in Ihrer VPC. Beim Exportieren von benutzerdefinierten Routen werden alle aktiven statischen und dynamischen Routen, die sich in Ihrem VPC-Netzwerk befinden, z. B. Routen zu Ihrem lokalen Netzwerk, an die Netzwerke der Dienstersteller gesendet (in diesem Fall Vertex AI). Dadurch werden die erforderlichen Verbindungen hergestellt und Trainingsjobs können Traffic an Ihr lokales Netzwerk zurücksenden.

Achten Sie darauf, dass Ihr lokales Netzwerk Routen Zurück zu den IP-Adressbereichen hat, die Vertex AI zugewiesen sind, damit Antworten korrekt an Vertex AI weitergeleitet werden. Verwenden Sie beispielsweise benutzerdefiniertes Route Advertisement von Cloud Router, das die Vertex AI-IP-Adressbereiche enthält.

Weitere Informationen zu privaten Verbindungen mit lokalen Netzwerken

Console

  1. Rufen Sie in der Google Cloud Console die Seite „VPC-Netzwerk-Peering“ auf.
    Zur Seite "VPC-Netzwerk-Peering"
  2. Wählen Sie die zu aktualisierende Peering-Verbindung aus.
  3. Klicken Sie auf Bearbeiten.
  4. Wählen Sie Benutzerdefinierte Routen exportieren aus.

gcloud

  1. Suchen Sie den Namen der zu aktualisierenden Peering-Verbindung. Wenn Sie mehrere Peering-Verbindungen haben, lassen Sie das Flag --format weg.

    gcloud services vpc-peerings list \
  --network=$NETWORK \
  --service=servicenetworking.googleapis.com \
  --project=$PROJECT_ID \
  --format "value(peering)"

  2. Aktualisieren Sie die Peering-Verbindung, um benutzerdefinierte Routen zu exportieren.

    gcloud compute networks peerings update PEERING-NAME \
    --network=$NETWORK \
    --export-custom-routes \
    --project=$PROJECT_ID

Status der Peering-Verbindungen prüfen

Wenn Sie sehen möchten, dass Peering-Verbindungen aktiv sind, können Sie sie hiermit auflisten:

gcloud compute networks peerings list --network $NETWORK

Der Status des gerade erstellten Peerings sollte ACTIVE lauten. Weitere Informationen zu aktiven Peering-Verbindungen

Fehlerbehebung

In diesem Abschnitt werden einige häufige Probleme bei der Konfiguration von VPC-Netzwerk-Peering mit Vertex AI aufgelistet.

  • Wenn Sie Vertex AI für die Verwendung eines freigegebenen VPC-Netzwerks konfigurieren, geben Sie den Netzwerk-URI so an:

    "projects/YOUR_SHARED_VPC_HOST_PROJECT/global/network/YOUR_SHARED_VPC_NETWORK"

  • Wenn Sie ein freigegebenes VPC-Netzwerk angeben, das Vertex AI verwenden soll, achten Sie darauf, dass allen Nutzern oder Dienstkontonutzern für Vertex AI im Dienstprojekt die Rolle compute.networkUser im Hostprojekt zugewiesen ist.

  • Achten Sie darauf, dass Sie allen Diensterstellern, mit denen Ihr Netzwerk verbunden ist, einen ausreichenden IP-Bereich zugewiesen haben, einschließlich Vertex AI.

  • Wenn die Fehlermeldungen IP_SPACE_EXHAUSTED, RANGES_EXHAUSTED oder PEERING_RANGE_EXHAUSTED auftreten, müssen Sie die Anzahl der verfügbaren IP-Adressen für die Reservierung servicenetworking in Ihrem Netzwerk erhöhen. Sie können der vorhandenen VPC-Netzwerk-Peering-Konfiguration einen neuen Bereich hinzufügen oder einige Vertex AI-Ressourcen löschen, um zugewiesene IP-Adressen freizugeben.

  • Zeitüberschreitungen bei der Verbindung: Nach dem Export benutzerdefinierter Routen werden Verbindungen von Vertex AI über Ihr Netzwerk weitergeleitet, um Endpunkte in anderen Netzwerken zu erreichen. Diese Endpunkte werden jedoch möglicherweise nicht über Ihr Netzwerk weitergeleitet, um Antworten zurück an Vertex AI zu senden. Achten Sie darauf, dass Sie in diesen Netzwerken auch statische oder dynamische Routen für den Rückgabepfad zum zugewiesenen Vertex AI-IP-Bereich hinzufügen.

  • Fehler Verbindungszeitüberschreitungen / Host nicht erreichbar: Da transaktives Peering nicht unterstützt wird, können Verbindungen von Vertex AI keine Endpunkte in anderen Netzwerken erreichen, die direkt mit Ihrem Netzwerk verbunden sind. Dies gilt auch, wenn „Benutzerdefinierte Routen exportieren” aktiviert ist. Sorgen Sie mit Ihrem Netzwerkadministrator dafür, dass nicht versucht wird, Ihr Netzwerk direkt von einem mit Peering verbundenen Netzwerk zu einem anderen zu leiten. Bei Bedarf können Sie einen dieser Peering-Hops durch eine Lösung ersetzen, die statische oder dynamische Routen unterstützt.

  • DNS-Fehler bezüglich nicht erreichbarem Host: Wenn Ihr Vertex AI-Job Hostnamen in Ihrer VPC auflösen muss, müssen Sie die Konfiguration zum Freigeben privater DNS-Zonen für Dienstersteller abschließen.

Weitere Informationen zur Fehlerbehebung finden Sie in der Anleitung zur Fehlerbehebung für VPC-Netzwerk-Peering.

Nächste Schritte